Использование базового брандмауэра. Разрешение входящего соединения.
В рамках сервера удаленного доступа Windows Server 2003 реализован базовый брандмауэр (basic firewall), представляющий собой механизм динамической фильтрации пакетов. Брандмауэр является одним из механизмов обеспечения безопасности периметра сети, ограничивая трафик через сетевой интерфейс определенными типами пакетов. Администратор может разрешить прохождение через сетевой интерфейс (как правило, тот, что используется для подключения корпоративной сети к внешней сети) пакетов определенного типа, запретив прохождение всех остальных. Новым в Windows Server 2003 является возможность интеграции брандмауэра с механизмом NAT. Администратор может активизировать этот брандмауэр для сетевого интерфейса, используемого механизмом NAT в качестве точки взаимодействия с открытой сетью.
Базовый брандмауэр, реализованный в рамках сервера удаленного доступа Windows. Server 2003, может быть активизирован только для сетевого интерфейса, подключенного к внешней сети (такой, как Интернет).
В случае интеграции механизма NAT с базовым брандмауэром процесс трансляции адресов осуществляется следующим образом. Вся информация об отправителях и получателях пакетов заносится в специальную таблицу. Весь трафик, проходящий через рассматриваемый сетевой интерфейс, сравнивается с содержимым этой таблицы. Брандмауэр пропустит пакеты только для тех соединений, что были установлены хостами корпоративной сети. Остальные пакеты будут отброшены. Фактически подобная интеграция позволяет реализовать защиту корпоративной сети от проникновения в нее нежелательного внешнего трафика.
Разрешение входящего соединения
Механизм NAT может быть использован не только для организации доступа внутренних пользователей к ресурсам сети Интернет. Администратор может настроить механизм NAT таким образом, чтобы предоставить возможность внешним пользователям получать доступ к ресурсам локальной сети. Например, можно предоставить доступ внешним пользователям к ресурсам корпоративного веб-сервера, располагающегося внутри корпоративной сети. В данном случае принято говорить о входящем соединении (inbound connection).
Для обслуживания входящих соединений локальный хост, к ресурсам которого планируется предоставить доступ внешним пользователям, должен иметь статическую конфигурацию стека протоколов TCP/IP. Другими словами, информация о параметрах стека протоколов должна быть статически прописана администратором. Хосту должен быть предоставлен постоянный IP-адрес и определена маска подсети, определен шлюз по умолчанию (частный IP-адрес сервера удаленного доступа, на котором функционирует NAT) и сервер DNS (частный IP-адрес компьютера с NAT). Предоставленный хосту IP-адрес должен быть исключен из диапазона адресов, распределяемых сервером удаленного доступа с NAT.
После этого на сервере удаленного доступа необходимо настроить специальный порт. Специальный порт представляет собой статическое отображение действительного адреса и номера порта в частный адрес и номер порта. Специальный порт отображает входящее соединение от пользователя из Интернета в специфический адрес в частной сети.