Иллюстрированный самоучитель по развертыванию виртуальных частных сетей › Приложение А. Конфигурация VPN-сервера Windows 2000 и брандмауэров. › VPN-маршрутизатор включен перед брандмауэром [страница - 55] | Самоучители по операционным системам

VPN-маршрутизатор включен перед брандмауэром

Чтобы разрешить для интерфейса подключения к Интернету маршрутизатора работу только с VPN-трафиком и защитить от передачи и получения всего остального трафика, Вам необходимо настроить фильтры входящих и исходящих пакетов PPTP или L2TP/IPSec для этого интерфейса. Поскольку на интерфейсе подключения к Интернету включена IP-маршрутизация, то если для него не настроены фильтры PPTP или L2TP/IPSec, любой трафик, приходящий на этот интерфейс, маршрутизируется. Это может привести к передаче нежелательного Интернет-трафика в Вашу внутреннюю сеть.

Если VPN-сервер подключен к Интернету перед брандмауэром, Вам необходимо добавить фильтры пакетов для интерфейса подключения к Интернету VPN-сервера, разрешающие входящий и исходящий VPN-трафик только с IP-адреса этого интерфейса.

Входящий трафик после расшифровки туннелированных данных VPN-сервером передается на брандмауэр. В этой конфигурации брандмауэр выступает в качестве фильтра внутреннего трафика и может закрывать доступ к отдельным ресурсам, предотвращать распространение вирусов, определять попытки вторжения, а также выполнять другие функции.

Поскольку весь Интернет-трафик, разрешенный во внутренней сети, должен проходить через VPN-сервер, такой подход также предотвращает предоставление общего доступа к протоколу FTP и веб-ресурсам сайта для пользователей Интернета, не являющихся пользователями VPN.

На Рисунке 3 показана схема включения VPN-сервера перед брандмауэром.

Иллюстрированный самоучитель по развертыванию виртуальных частных сетей › Приложение А. Конфигурация VPN-сервера Windows 2000 и брандмауэров. › VPN-маршрутизатор включен перед брандмауэром

Рисунок 3 – Схема включения VPN-сервера перед брандмауэром

В соответствии с политиками безопасности Вашей сети на брандмауэре настраиваются соответствующие правила для трафика, который принимается или передается хостам других сайтов.

Для интерфейса подключения к Интернету VPN-сервера настройте следующие фильтры входа и выхода (input/output filters) с помощью оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Для этого нужно запустить оснастку, раскрыть узел IP-маршрутизация (IP Routing), выбрать элемент Общие(General) и открыть свойства нужного интерфейса.