На этой странице
Существует несколько общих подходов к использованию брандмауэра с VPN-сервером.
| • | VPN-сервер подключен к Интернету, а брандмауэр включен между VPN-сервером и сайтом. |
| • | Брандмауэр подключен к Интернету, а VPN-сервер включен между брандмауэром и сайтом. |
| • | Используются два брандмауэра. Один из них включен между VPN-сервером и сайтом, а другой – между VPN-сервером и Интернетом. |
VPN-маршрутизатор включен перед брандмауэром
Чтобы разрешить для интерфейса подключения к Интернету маршрутизатора работу только с VPN-трафиком и защитить от передачи и получения всего остального трафика, Вам необходимо настроить фильтры входящих и исходящих пакетов PPTP или L2TP/IPSec для этого интерфейса. Поскольку на интерфейсе подключения к Интернету включена IP-маршрутизация, то если для него не настроены фильтры PPTP или L2TP/IPSec, любой трафик, приходящий на этот интерфейс, маршрутизируется. Это может привести к передаче нежелательного Интернет-трафика в Вашу внутреннюю сеть.
Если VPN-сервер подключен к Интернету перед брандмауэром, Вам необходимо добавить фильтры пакетов для интерфейса подключения к Интернету VPN-сервера, разрешающие входящий и исходящий VPN-трафик только с IP-адреса этого интерфейса.
Входящий трафик после расшифровки туннелированных данных VPN-сервером передается на брандмауэр. В этой конфигурации брандмауэр выступает в качестве фильтра внутреннего трафика и может закрывать доступ к отдельным ресурсам, предотвращать распространение вирусов, определять попытки вторжения, а также выполнять другие функции.
Поскольку весь Интернет-трафик, разрешенный во внутренней сети, должен проходить через VPN-сервер, такой подход также предотвращает предоставление общего доступа к протоколу FTP и веб-ресурсам сайта для пользователей Интернета, не являющихся пользователями VPN.
На Рисунке 3 показана схема включения VPN-сервера перед брандмауэром.
Увеличить рисунок Рисунок 3 – Схема включения VPN-сервера перед брандмауэром
В соответствии с политиками безопасности Вашей сети на брандмауэре настраиваются соответствующие правила для трафика, который принимается или передается хостам других сайтов.
Для интерфейса подключения к Интернету VPN-сервера настройте следующие фильтры входа и выхода (input/output filters) с помощью оснастки Маршрутизация и удаленный доступ (Routing and Remote Access). Для этого нужно запустить оснастку, раскрыть узел IP-маршрутизация (IP Routing), выбрать элемент Общие (General) и открыть свойства нужного интерфейса.
Фильтры пакетов для протокола PPTP
Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
| • | IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол TCP, порт назначения (destination port) 1723. Данный фильтр разрешает передачу обслуживающего трафика PPTP-туннеля к VPN-серверу. |
| • | IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол IP, номер протокола IP 47. Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу. |
| • | IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол TCP, исходный порт (source port) 1723. Этот фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении «маршрутизатор-маршрутизатор». Трафик фильтра для протокола TCP [установлено] (TCP [established]) принимается, только если TCP-подключение инициировано VPN-сервером. |
Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
| • | Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол TCP, исходный порт 1723. Данный фильтр разрешает передачу обслуживающего трафика PPTP-туннеля от VPN-сервера. |
| • | Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол IP, номер протокола IP 47. Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера. |
| • | Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол TCP, порт назначения 1723. Этот фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении «маршрутизатор-маршрутизатор». |
Фильтры пакетов для протокола L2TP/IPSec
Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
| • | IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, порт назначения (destination port) 500. Данный фильтр разрешает передачу трафика обмена ключами в Интернете (Internet Key Exchange, IKE) к VPN-серверу. |
| • | IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, порт назначения 1701. Данный фильтр разрешает передачу данных протокола L2TP к VPN-серверу. |
Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
| • | Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, исходный порт 500. Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера. |
| • | Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, исходный порт 1701. Данный фильтр разрешает передачу данных протокола L2TP от VPN-сервера. |
Трафик протокола ESP (Encapsulating Security Protocol) с номером протокола 50 не требует фильтров, поскольку фильтры службы маршрутизации и удаленного доступа применяются после того, как заголовок ESP удаляется компонентами IPSec.
Наверх страницы
VPN-сервер включен за брандмауэром
В более распространенной конфигурации к Интернету подключается брандмауэр, а VPN-сервер является ресурсом сайта, подключенным к сети периметра, также известной как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть. Сеть периметра представляет собой сегмент сети, содержащий ресурсы, доступные пользователям Интернета, такие как FTP- и веб-серверы. В этой конфигурации VPN-сервер имеет интерфейс, подключенный к сети периметра, а также интерфейс, подключенный к внутренней сети. При этом на интерфейсе подключения к Интернету брандмауэра должны быть настроены фильтры входа и выхода, разрешающие передачу на VPN-сервер обслуживающего трафика туннеля и туннелированных данных. Дополнительные фильтры могут разрешать передачу трафика на FTP- и веб-серверы, а также на серверы других типов в сети периметра. Для обеспечения дополнительной безопасности на VPN-сервере можно также настроить фильтры пакетов PPTP или L2TP/IPSec для интерфейса сети периметра.
В данной конфигурации брандмауэр выступает в качестве фильтра Интернет-трафика и может ограничивать доступ к определенным ресурсам сети периметра, определять попытки вторжения, выполнять защиту от DoS-атак (отказ в обслуживании), а также выполнять другие функции.
Поскольку брандмауэр не содержит ключей шифрования для каждого VPN-подключения, он может фильтровать только обычные текстовые (незашифрованные) заголовки туннелированных данных. Другими словами, все туннелированные данные передаются через брандмауэр. Однако это не угрожает безопасности, так как VPN-подключения требуют проверки подлинности, что предотвращает несанкционированный доступ за пределы VPN-сервера.
На Рисунке 4 показана схема включения VPN-сервера за брандмауэром в сети периметра.
Увеличить рисунок Рисунок 4 - Схема включения VPN-сервера за брандмауэром в сети периметра
Для обоих интерфейсов брандмауэра – внешнего (подключенного к Интернету) и интерфейса сети периметра – настройте следующие фильтры входа и выхода с помощью программы настройки брандмауэра.
Фильтры пакетов для протокола PPTP
Для интерфейса подключения к Интернету и для интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.
Фильтры для интерфейса подключения к Интернету
Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения (destination port) 1723 (0x6BB). Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу. |
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F). Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу. |
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол CP, исходный порт (source port) 1723 (0x6BB). Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в части VPN-сервер включен перед брандмауэром этого раздела. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт. |
Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, исходный порт 1723 (0x6BB). Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера. |
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F). Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера. |
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения 1723 (0x6BB). Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в разделе VPN-сервер включен перед брандмауэром этого документа. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт. |
Фильтры для интерфейса сети периметра
Настройте для интерфейса сети периметра брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, исходный порт (source port) 1723 (0x6BB). Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP от VPN-сервера. |
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F). Данный фильтр разрешает передачу туннелированных данных протокола PPTP от VPN-сервера. |
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения destination port) 1723 (0x6BB). Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в разделе VPN-сервер включен перед брандмауэром этого документа. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт. |
Настройте для интерфейса сети периметра брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол TCP, порт назначения 1723 (0x6BB). Данный фильтр разрешает передачу обслуживающего трафика туннеля PPTP к VPN-серверу. |
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 47 (0x2F). Данный фильтр разрешает передачу туннелированных данных протокола PPTP к VPN-серверу. |
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол TCP, исходный порт 1723 (0x6BB). Данный фильтр необходим, только если VPN-сервер работает как вызывающий маршрутизатор в VPN-подключении «маршрутизатор-маршрутизатор». Этот фильтр следует использовать только совместно с фильтрами пакетов протокола PPTP, настроенными для интерфейса сети периметра VPN-сервера и описанными в разделе VPN-сервер включен перед брандмауэром этого документа. Разрешение прохождения всего трафика на VPN-сервер с TCP-порта 1723 создает возможность атаки на сеть из источника в Интернете, использующего этот порт. |
Фильтры пакетов для протокола L2TP/IPSec
Для интерфейса подключения к Интернету и для интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.
Фильтры для интерфейса подключения к Интернету
Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры входа чтобы разрешить следующие типы трафика:
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол UDP, порт назначения (destination port) 500 (0x1F4). Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) к VPN-серверу. |
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32). Данный фильтр разрешает передачу ESP-трафика протокола IPSec к VPN-серверу. |
Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол UDP, исходный порт (source port) 500 (0x1F4). Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера. |
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32). Данный фильтр разрешает передачу ESP-трафика протокола IPSec от VPN-сервера. |
Для L2TP-трафика на UDP-порте 1701 фильтры не требуются. Весь L2TP-трафик брандмауэра, включая обслуживающий трафик туннеля и туннелированные данные, шифруется как полезные данные ESP протокола IPSec.
Фильтры для интерфейса сети периметра
Настройте для интерфейса сети периметра брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол UDP, исходный порт (source port) 500 (0x1F4). Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера. |
| • | Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32). Данный фильтр разрешает передачу ESP-трафика протокола IPSec от VPN-сервера. |
Настройте для интерфейса сети периметра брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол UDP, порт назначения (destination port) 500 (0x1F4). Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) к VPN-серверу. |
| • | IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32). Данный фильтр разрешает передачу ESP-трафика протокола IPSec к VPN-серверу. |
Для L2TP-трафика на UDP-порте 1701 фильтры не требуются. Весь L2TP-трафик брандмауэра, включая обслуживающий трафик туннеля и туннелированные данные, шифруется как полезные данные ESP протокола IPSec.
Наверх страницы
VPN-маршрутизатор включен между двумя брандмауэрами
Существует еще одна конфигурация, в которой VPN-сервер расположен в сети периметра между двумя брандмауэрами. Внешний брандмауэр (брандмауэр между VPN-сервером и Интернетом) фильтрует весь Интернет-трафик от клиентов Интернета. Внутренний брандмауэр (брандмауэр между VPN-сервером и сайтом) фильтрует весь трафик от хостов других сайтов.
На Рисунке 5 показана схема включения VPN-сервера в сети периметра между двумя брандмауэрами.
Увеличить рисунок Рисунок 5 - схема включения VPN-сервера в сети периметра между двумя брандмауэрами
В случае использования этой конфигурации выполните следующее:
| • | Настройте фильтры пакетов на внешнем брандмауэре и VPN-сервере, как описано в части VPN-сервер включен за брандмауэром этого раздела. |
| • | Настройте внутренний брандмауэр при помощи соответствующих правил для трафика, который принимается или передается вызывающими маршрутизаторами, в соответствии с политиками безопасности Вашей сети. |
