VPN на базе операционных систем
VPN на базе Windows 20090.
Для создания VPN-объединений на базе Windows 2000, как правило, используются протоколы РРТР и L2TP в сочетании с протоколом IPSec. Протокол РРТР является более универсальным, позволяя инкапсулировать не только IP-трафик, но и пакеты других протоколов (например, IPX).В среде Windows 2000 можно организовать VPN-соединения как по ЛВС (типа «сервер-сервер», а также «клиент-сервер»), так и поверх коммутируемого I соединения. Встроенное программное обеспечение Dial-Up networking позво- ляет организовать соединения для удаленного доступа в корпоративную сеть, динамически назначая сетевые адреса системам, подключаемым к шлюзам IPSec.
Создание виртуальных частных сетей осуществляется посредством управляющей консоли ММС (Microsoft Management Console), входящей во все версии операционных систем семейства Windows 2000. Консоль может объединять несколько интегрируемых компонентов, автоматически размещаемых по именованным контейнерам (каждый компонент создает и именует свой контейнер). На рис. П.2.11 в качестве примера показана консоль, содержащая интегрируемые компоненты.
Сама процедура конфигурирования VPN-средств операционной систе-мы, по большому счету, заключается в назначении правилфункционирова-
ния протокола IPSec на локальных машинах. После окончания установки операционной системы пользователь оказывается наедине с рядом стандарт-ных правил, однако ни одно из них не является активным по умолчанию. Любое из указанных правил можно применить как ко всему трафику локаль-ной системы, так и к отдельным его «потокам». При этом разделение трафика выполняется по адресу удаленной системы, позволяя шифровать весь трафик локальной станции с сервером А, оставляя незащищенным трафик с сервером Кроме того, можно установить шифрование трафика по запросу удаленного хоста. Это позволяет осуществлять открытый обмен информацией с серве-ром, подключая шифровку трафика только для особо секретных его фрагмен-
|
|
|
тов. После отсылки клиентом запроса на конфиденциальную сессию сервер инициирует защищенную сессию путем посылки запроса на согласование параметров защищенной передачи. Если согласование параметров между клиентом и серверов прошло успешно, то устанавливается закрытое соедине-ние и инициируется передача информации. Недостатком рассмотренных мер безопасности является тот факт, что, несмотря на наличие выбора между ними, в каждый конкретный момент времени активной может быть только одна из них. Кроме того, без хорошо продуманного плана создания VPN кон-фигурирование политики IPSec на каждой локальной машине представляет
Рис. 1.5.Консоль MMC.
значительные трудности. А если речь идет о сети не из 5-20 компьютеров, а из нескольких сотен рабочих станций, то в этом случае необходимость ло-кального задания политик безопасности лишает всю систему требуемой гибкости, возлагая на пользователей зачастую тяжесть переконфигурирова-ния своих рабочих станций под новую модель безопасности.
|
|
|
VPN на базе выделенных аппаратных средств
Выделенные аппаратные VPN-шлюзы реализованы в виде отдельного аппаратного устройства, основная функция которого —высокопроизводи-тельное шифрование трафика. По удобству и простоте инсталляции аппа-ратные шлюзы превосходят такие комбинированные решения, как шлюзы на основе межсетевых экранов и маршрутизаторов. Аппаратное устройство уже при включении готово к работе, ему не нужно проходить громоздкий процесс инсталляции в среде какой-нибудь операционной системы.
Дата добавления: 2018-04-15; просмотров: 202; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!