Типы VPN-устройств

Виртуальные частные сети представляют собой весьма разнообразную и пеструю картину. Их отличают друг от друга многие характеристики. Набор функциональных возможностей, точки размещения VPN-устройств, тип платформы, на которой эти средства работают, применяемые протоколы шифрования и аутентификации. Облик виртуальных частных сетей во многом определяется типом применяемых VPN-устройств:

· Отдельное аппаратное устройство VPN на основе специализированной ОС реального времени, имеющее два или более сетевых интерфейса и аппаратную криптографическую поддержку.

· Отдельное программное решение, которое дополняет стандартную ОС функциями VPN.

· Расширение брандмауэра за счет дополнительных функций защищенного канала.

· Средства VPN, встроенные в коммутатор или маршрутизатор.

Существуют также комбинированные пограничные устройства, которые включают в себя функции маршрутизатора, брандмауэра, средства управления пропускной способностью и функции VPN. Устройства VPN могут играть в виртуальных частных сетях роль шлюза или клиента. Шлюз VPN это сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него. Размещение шлюза VPN должно быть аналогично размещению брандмауэра, т.е. таким, чтобы через него проходил весь траффик, предназначенный для внутренней корпоративной сети. Если в сети имеется и брандмауэр и VPN-шлюз, то их относительное расположение является нетривиальной задачей (см. параграф «Расположение VPN-устройств в сети»). Сетевое соединение VPN прозрачно для пользователей позади шлюзов, оно представляется им выделенной линией, хотя прокладывается в действительности через сеть с коммутацией пакетов. В зависимости от стратегии безопасности предприятия, исходящие пакеты либо шифруются, либо посылаются в открытом виде, либо блокируются шлюзом. Для входящих туннелируемых пакетов внешний адрес является адресом VPN-шлюза, а внутренний адрес – адресом некоторого хоста позади шюза. Шлюз VPN может быть реализован всеми перечисленными выше способами:

· Отдельно аппаратное устройство

· Отдельное программное решение

· В виде брандмауэра или маршрутизатора, дополненного функциями VPN

Клиент VPN это программный или программно-аппаратный комплекс, обычно на базе ПК. Его сетевое транспортное обеспечение модифицировано для выполнения шифрования и аутентификации траффика, в котором устройство обменивается со шлюзами VPN и/или другими VPN-клиентами. Реализация VPN-клиента чаще всего представляет из себя программное решение, дополняющее стандартные ОС, например Windows или *nix.

Для создания VPN крупного предприятия требуются как VPN-шлюзы, так и VPN-клиенты. Шлюзы требуются для защиты локальных сетей предприятия (как правило, это филиалы крупных предприятий), а VPN-клиенты для удаленных пользователей, которым требуется устанавливать соединение с корпоративной сетью через интернет. В том случае, если организацию VPN берет на себя провайдер, вся виртуальная частная сеть может быть построена на его шлюзах, прозрачных для сетей и удаленных пользователей предприятия.