Расположение VPN-устройств в сети

При организации VPN администратор должен решать следующие задачи:

1. Привлекать или нет к этому проекту провайдеров VPN-услуг.

2. На чьей территории размещать VPN-устройства.

3. Сделать ставку целиком на VPN-шлюзы при защите сетей, или сочетать этот вариант с установкой VPN-клиентов на отдельных компьютерах.

При построении VPN администратор часто сталкивается с тем, что для обеспечения безопасности корпоративной сети уже используется какое-либо защитное устройство (брандмауэр или фильтрующий маршрутизатор, выполняющий роль брандмауэра). В этом случае необходимо решать задачу относительного расположения брандмауэра и VPN-шлюза для общей безопасности сети. Современная тенденция совмещения функции брандмауэра и VPN-шлюза ее снимает, но частично. Это объясняется тем, что уже выпущено и продолжает выпускаться большое количество VPN-шлюзов без функции брандмауэров и брандмауэров без VPN-шлюзов. При выборе взаимного расположения VPN-шлюза и брандмауэра необходимо учитывать следующие обстоятельства:

1. Брандмауэр не может контролировать сетевой доступ на основании зашифрованных пакетов.

2. VPN-шлюз сам требует защиты от угроз из публичной сети.

3. Конфигурация связей, образованная VPN-шлюзом и брандмауэром может повлиять на надежность соединения корпоративной сети.

Варианты взаимного расположения VPN-шлюза и брандмауэра