ВУЗ:
Составители:
Рубрика:
DMZ можно рассматривать как изолированную сеть между частной структурой и Internet. Ограни-
чивая доступ к системам, расположенным в DMZ, внешний маршрутизатор защищает сеть от атак из-
вне. С его помощью блокируется и исходящий информационный поток от клиентов частной сети, кото-
рые не обладают соответствующими правами. Внутренний маршрутизатор управляет доступом из DMZ
в частную сеть. При этом осуществляется пропуск прямого трафика от хоста-бастиона к узлам частной
сети, находящимся вне DMZ, и соответствующего обратного потока.
Чтобы атака достигла какого-либо внутреннего узла, находящегося за DMZ, необходимо пройти оба
маршрутизатора. Кроме того, при данной архитектуре для внешних структур существует только сеть
DMZ, в то время как сама частная сеть остаётся закрытой. Однако формирование корректной конфигу-
рации двух маршрутизаторов и хоста-бастиона остаётся трудоёмким.
2.2. ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ
При обмене данными через незащищённые сети общего пользования безопасное соединение между
источником и приёмником сообщений обеспечивают
виртуальные частные сети
(Virtual Private Network
– VPN). Безопасное соединение обычно связывают с применением частных сетей. (Частная сеть пред-
ставляет собой структуру для обмена данными, которая принадлежит либо контролируется через аренду
выделенных линий связи конкретной организацией.) В этой главе рассматриваются методы, которые
VРN использует для преобразования характеристик незащищённой сети общего пользования в характе-
ристики частной защищённой сети. Сети VPN снижают стоимость удалённого доступа, применяя ре-
сурсы сетей общего пользования. По сравнению с другими решениями, включая и частные сети, VPN
предоставляет самую недорогую услугу.
Сети VPN уже на протяжении многих лет применяются в телефонии, а с развитием интеллектуаль-
ных сетей стали доминировать. Сети ретрансляции кадра, которые были рассмотрены ранее, тоже могут
быть отнесены к VPN. Понятие виртуальных частных сетей можно признать нововведением только для
технологии IР-сетей, таких как Internet. Вероятно, некоторые авторы потому применяют термины Inter-
net-VPN и виртуальной частной сети передачи данных, чтобы отделить VPN, описанные в настоящей
главе, от остальных структур с тем же названием. В этой части определение VPN является синонимом
определения Internet-VPN [4].
Цель виртуальной частной сети – обеспечить защищённый режим передачи пользовательских дан-
ных через незащищённый Internet. Это даёт возможность компаниям применять Internet в качестве
опорной сети для своих корпоративных структур, что позволяет создавать виртуальные защищённые
каналы для взаимодействия через Internet головных учреждений корпорации с филиалами либо удалён-
ными офисами. Из-за низкой стоимости службы VPN большая часть информационного потока теперь
направляется через виртуальные частные сети, базирующиеся на Internet, вместо ранее применявшихся
ГВС, обеспечивающих конфиденциальность.
VPN использует криптографирование данных и другие способы обеспечения безопасности, препят-
ствующие несанкционированному доступу к информации. Кроме того, эти методы направлены на обес-
печение гарантии того, что попытка модифицировать данные в процессе передачи по сети Internet будет
замечена. В технологии VPN применяется метод туннелирования для транспортировки шифрованных
данных через Internet. Туннелирование – механизм инкапсуляции одного протокола передачи данных в
другой. В контексте сети Internet под туннелированием подразумевается возможность инкапсулировать
в протокол IР зашифрованные пакеты протоколов IР, IРХ, Арр1еТаllk. Точно так же в контексте VPN
туннелирование маскирует исходный протокол сетевого уровня путём кодирования пакета и размеще-
ния зашифрованного пакета в IР-конверт, который, по сути, остаётся IР-пакетом и в защищённом режи-
ме передаётся через Internet. На приёмном конце конверт отбрасывается, а его содержимое декодирует-
ся и переправляется соответствующему устройству доступа, например маршрутизатору.
Представим, что корпорация создаёт частный туннель через Internet для безопасной доставки своих
данных.
Туннель позволяет корпорации создать виртуальную ГВС, используя Internet. Это значительно де-
шевле, чем построение частной ГВС, и лучше защищает от злоумышленников.
К тому же сети VPN гарантируют заданный уровень качества обслуживания QoS. Для VPN обычно
определяется верхняя граница среднего времени задержки пакета в процессе его передачи по сети. За-
данные требования могут включать и определение нижней границы полосы пропускания, доступной
для пользователя. Эти требования разрабатываются совместно с провайдером услуг через систему со-
Страницы
- « первая
- ‹ предыдущая
- …
- 39
- 40
- 41
- 42
- 43
- …
- следующая ›
- последняя »
