VPN-сервер включен за брандмауэром
В более распространенной конфигурации к Интернету подключается брандмауэр, а VPN-сервер является ресурсом сайта, подключенным к сети периметра, также известной как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть. Сеть периметра представляет собой сегмент сети, содержащий ресурсы, доступные пользователям Интернета, такие как FTP- и веб-серверы. В этой конфигурации VPN-сервер имеет интерфейс, подключенный к сети периметра, а также интерфейс, подключенный к внутренней сети. При этом на интерфейсе подключения к Интернету брандмауэра должны быть настроены фильтры входа и выхода, разрешающие передачу на VPN-сервер обслуживающего трафика туннеля и туннелированных данных. Дополнительные фильтры могут разрешать передачу трафика на FTP- и веб-серверы, а также на серверы других типов в сети периметра. Для обеспечения дополнительной безопасности на VPN-сервере можно также настроить фильтры пакетов PPTP или L2TP/IPSec для интерфейса сети периметра.
В данной конфигурации брандмауэр выступает в качестве фильтра Интернет-трафика и может ограничивать доступ к определенным ресурсам сети периметра, определять попытки вторжения, выполнять защиту от DoS-атак (отказ в обслуживании), а также выполнять другие функции.
Поскольку брандмауэр не содержит ключей шифрования для каждого VPN-подключения, он может фильтровать только обычные текстовые (незашифрованные) заголовки туннелированных данных. Другими словами, все туннелированные данные передаются через брандмауэр. Однако это не угрожает безопасности, так как VPN-подключения требуют проверки подлинности, что предотвращает несанкционированный доступ за пределы VPN-сервера.
На Рисунке 4 показана схема включения VPN-сервера за брандмауэром в сети периметра.
Рисунок 4-Схема включения VPN-сервера за брандмауэром в сети периметра
Для обоих интерфейсов брандмауэра – внешнего (подключенного к Интернету) и интерфейса сети периметра – настройте следующие фильтры входа и выхода с помощью программы настройки брандмауэра.