JBreaker - новости консолей Sony: PS3, PS Vita, PS4

Использование каналов и статических карт для входящего доступа через PIX Firewall
13.07.2016 03:20

роутер

Создание каналов и статических карт для входящего доступа через PIX Firewall может потребоваться тогда, когда ресурсы защищенной сети необходимы пользователям внешней сети. Например, рассмотрим использование концентратора VPN во внутренней защищенной сети в случае, если вы купили маршрутизатор в Москве. Концентратор VPN является конечной точкой туннелей IPSec, создаваемых программным обеспечением клиента VPN, установленным на ноутбуках мобильных пользователей.

Конфигурация брандмауэра PIX Firewall должна специально разрешить трафик IPSec от внешней сети к внутренней, поскольку политика защиты брандмауэра по умолчанию запрещает весь входящий трафик. Для разрешения движения данных IPSec через брандмауэр создаются статические карты и каналы. Статическая карта отображает IP-адрес открытого интерфейса концентратора VPN во внешний глобальный IP-адрес. Канал действует подобно списку доступа в маршрутизаторе Cisco, фильтруя трафик, разрешенный статической трансляцией (в данном случае это трафик IPSec). Избирательное разрешение движения данных VPN через брандмауэр PIX Firewall с помощью канала позволяет концентратору VPN обрабатывать трафик VPN независимо от брандмауэра.

Вы можете спросить, зачем использовать концентратор VPN в защищенной части сети, если его можно разместить за брандмауэром PIX Firewall, обеспечив точно такое же завершение туннелей VPN? Ответ прост. При размещении в открытой части сети концентратор VPN открыт для атак, которые в данном случае явно нежелательны. Размещение концентратора VPN в защищенной сети (его можно разместить в рамках интерфейса ДМЗ брандмауэра, например интерфейса Ethernet2) позволит защитить его, а его администрирование (в частности, изменение и резервное копирование параметров конфигурации) станет значительно проще и безопаснее. Разрешая указанным образом трафик через брандмауэр PIX Firewall, мы допускаем потенциальный риск захвата входящего соединения противником. Но грамотная реализация этой идеи позволяет свести риск к минимуму. При этом средства ASA брандмауэра PIX Firewall обеспечивают полноценную защиту трафика VPN, движущегося по соответствующему каналу.