VPN-сервер включен за брандмауэром
В более распространенной конфигурации к Интернету подключается брандмауэр, а VPN-сервер является ресурсом интрасети, подключенным к сети периметра, также известной как демилитаризованная зона (demilitarized zone, DMZ) или экранированная подсеть. Сеть периметра представляет собой сегмент сети, содержащий ресурсы, доступные пользователям Интернета, такие как веб-серверы или FTP-серверы. У VPN-сервера имеется интерфейс сети периметра, и интерфейс интрасети. В этой конфигурации на внешнем интерфейсе брандмауэра должны быть настроены фильтры входа и выхода, разрешающие передачу к VPN-серверу обслуживающего трафика туннеля и туннелированных данных. Дополнительные фильтры могут разрешать передачу трафика на веб-серверы, FTP-серверы и серверы других типов в сети периметра. Для обеспечения дополнительной безопасности на VPN-сервере можно также настроить фильтры пакетов PPTP или L2TP/IPSec на интерфейсе сети периметра.
Брандмауэр в данной конфигурации выступает в роли фильтра Интернет-трафика и может предоставлять доступ к определенным ресурсам сети периметра, определять попытки вторжения, защиту от DoS-атак (DoS, denial of service – отказ в обслуживании), а также выполнять другие функции.
Поскольку брандмауэр не содержит ключей шифрования для каждого VPN-подключения, он может фильтровать только обычные текстовые заголовки туннелированных данных. Другими словами, все туннелированные данные передаются через брандмауэр. Однако это не угрожает безопасности, так как VPN-подключения требуют проверки подлинности, что предотвращает несанкционированный доступ за пределы VPN-сервера.
На рисунке 4 показана схема включения VPN-сервера за брандмауэром в сети периметра.
Рисунок 4 – VPN-сервер включен за брандмауэром в сети периметра
Для обоих интерфейсов брандмауэра – интерфейса Интернета и интерфейса сети периметра – настройте следующие фильтры входа и выхода с помощью программы настройки брандмауэра.