Безопасность сетей

    0f1a9e67   

Понятие стандартных технологий функционирования VPN - часть 2


Это обстоятельство необходимо принимать во внимание при построении систем.

VPN-сервер должен быть расположен в сети. Сервер может быть межсетевым экраном или пограничным маршрутизатором (см. рис. 11.7), что упрощает размещение VPN-сервера. В качестве альтернативы сервер может являться и отдельной системой. В этом случае сервер должен быть расположен в выделенной демилитаризованной зоне (DMZ) (см. рис. 11.8). В идеальном случае демилитаризованная зона VPN должна содержать только VPN-сервер и быть отдельной от DMZ интернета, содержащей веб-серверы и почтовые серверы организации. Причиной является то, что VPN-сервер разрешает доступ ко внутренним системам авторизованным пользователям и, следовательно, должен рассматриваться как объект с большей степенью доверия, нежели почтовые и веб-серверы, доступ к которым может быть осуществлен лицами, не пользующимися доверием. Демилитаризованная зона VPN защищается набором правил межсетевого экрана и разрешает передачу только того трафика, который требует VPN.

Архитектура сети VPN, в которой межсетевой экран является VPN-сервером

Рис. 11.7.  Архитектура сети VPN, в которой межсетевой экран является VPN-сервером

Архитектура сети VPN для отдельного сервера VPN

Рис. 11.8.  Архитектура сети VPN для отдельного сервера VPN

Примечание

Если VPN-сервер расположен в демилитаризованной зоне VPN, межсетевой экран может потребовать усовершенствования для поддержки нагрузки трафика. Даже несмотря на то, что межсетевой экран не будет выполнять функцию шифрования, исходный межсетевой экран может обладать недостаточными характеристиками для обеспечения вычислительной мощности, необходимой для трафика VPN. Если трафик VPN является важным для организации, на межсетевом экране должна присутствовать некоторая система обхода ошибок. В качестве альтернативы можно использовать отдельную платформу VPN. Такое устройство обеспечит разгрузку межсетевого экрана, взяв на себя функции обработки VPN.

Правила политики межсетевого экрана для демилитаризованной зоны VPN определены в табл. 11.1. Здесь содержатся правила, необходимые для демилитаризованной зоны интернета и демилитаризованной зоны VPN.




Содержание  Назад  Вперед