Использование каналов и статических карт для входящего доступа через PIX Firewall

Создание каналов и статических карт для входящего доступа через PIX Firewall может потребоваться тогда, когда ресурсы защищенной сети необходимы пользователям внешней сети. Например, рассмотрим использование концентратора VPN во внутренней защищенной сети. Концентратор VPN является конечной точкой туннелей IPSec, создаваемых программным обеспечением клиента VPN, установленным на ноутбуках мобильных пользователей.

Конфигурация брандмауэра PIX Firewall должна специально разрешить трафик IPSec от внешней сети к внутренней, поскольку политика защиты брандмауэра по умолчанию запрещает весь входящий трафик. Для разрешения движения данных IPSec через брандмауэр создаются статические карты и каналы. Статическая карта отображает IP-адрес открытого интерфейса концентратора VPN во внешний глобальный IP-адрес. Канал действует подобно списку доступа в маршрутизаторе Cisco, фильтруя трафик, разрешенный статической трансляцией (в данном случае это трафик IPSec). Избирательное разрешение движения данных VPN через брандмауэр PIX Firewall с помощью канала позволяет концентратору VPN обрабатывать трафик VPN независимо от брандмауэра.

Вы можете спросить, зачем использовать концентратор VPN в защищенной части сети, если его можно разместить за брандмауэром PIX Firewall, обеспечив точно такое же завершение туннелей VPN? Ответ прост. При размещении в открытой части сети концентратор VPN открыт для атак, которые в данном случае явно нежелательны. Размещение концентратора VPN в защищенной сети (его можно разместить в рамках интерфейса ДМЗ брандмауэра, например интерфейса Ethernet2) позволит защитить его, а его администрирование (в частности, изменение и резервное копирование параметров конфигурации) станет значительно проще и безопаснее. Разрешая указанным образом трафик через брандмауэр PIX Firewall, мы допускаем потенциальный риск захвата входящего соединения противником. Но грамотная реализация этой идеи позволяет свести риск к минимуму. При этом средства ASA брандмауэра PIX Firewall обеспечивают полноценную защиту трафика VPN, движущегося по соответствующему каналу.