Сравнительный анализ основных вариантов построения виртуальных защищённых каналов: канал «ЛВС-ЛВС», канал «клиент- ЛВС».
Безопасность информационного обмена необходимо обеспечивать как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных или мобильных пользователей. При проектировании VIRTUAL PERSONAL NETWORK (VPN) обычно рассматриваются две основные схемы:
1) виртуальный защищенный канал между локальными сетями (канал ЛВС—ЛВС);
2) виртуальный защищенный канал между узлом и локальной сетью (канал клиент—ЛВС) (рис. 1.4).
Рис. 1.4 – Виртуальные защищенные каналы типа ЛВС-ЛВС и клиент-ЛВС
Схема 1 соединения позволяет заменить дорогостоящие выделенные линии между отдельными офисами и создать постоянно доступные защищенные каналы между ними. В этом случае шлюз безопасности служит интерфейсом между туннелем и локальной сетью, при этом пользователи локальных сетей используют туннель для общения друг с другом. Многие компании используют данный вид VIRTUAL PERSONAL NETWORK (VPN) в качестве замены или дополнения к имеющимся соединениям глобальной виртуальной сети, таким как framerelay.
Схема 2 защищенного канала VIRTUAL PERSONAL NETWORK (VPN) предназначена для установления соединений с удаленными или мобильными пользователями. Создание туннеля инициирует клиент (удаленный пользователь). Для связи со шлюзом, защищающим удаленную сеть, он запускает на своем компьютере специальное клиентское ПО.
Этот вид VIRTUAL PERSONAL NETWORK (VPN) заменяет собой коммутируемые соединения и может использоваться наряду с традиционными методами удаленного доступа. Существуют варианты схем виртуальных защищенных каналов. В принципе любой из двух узлов виртуальной корпоративной виртуальной сети, между которыми формируется виртуальный защищенный канал, может принадлежать конечной или промежуточной точке защищаемого потока сообщений.
|
|
|
На взгляд обеспечения информационной безопасности лучшим считается вариант, при котором окончательные точки защищенного туннеля схожи с окончательными точками оберегаемого потока сообщений. Тогда поддерживается безопасность канала вдоль всего пути следования пакетов известий. Но таковой вариант ведет к децентрализации управления и избыточности ресурсных расходов. Тогда нужна установка средств создания VIRTUAL PERSONAL NETWORK (VPN) на любом клиентском PC локальной виртуальной сети. Данное усложняет централизованное управление доступом к компьютерным ресурсам и вовсе не постоянно целесообразно экономически. Отдельное администрирование любого клиентского PC имея цель конфигурирования в нем средств обороны считается довольно трудозатратной операцией в немаленький виртуальной сети.
Основные виды технической реализации VPN: на базе маршрутизаторов, на базе межсетевых экранов, на базе специализированных программных и аппаратных средств.
|
|
|
Конфигурация и характеристики виртуальной частной сети во многом определяются типом применяемых VPN-устройств.
По способу технической реализации различают VPN на основе:
• маршрутизаторов;
• межсетевых экранов;
• программных решений;
• специализированных аппаратных средств со встроенными шифропроцессорами.
VPN на основе маршрутизаторов. Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. Пример оборудования для VPN на маршрутизаторах — устройства компании Cisco Systems.
VPN на основе межсетевых экранов. МЭ большинства производителей поддерживают функции туннелирования и шифрования данных, например продукт Fire Wall-1 компании Check Point Software Technologies. При использовании МЭ на базе ПК нужно помнить, что подобное решение подходит только для небольших сетей с небольшим объемом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает МЭ.
|
|
|
VPN на основе программного обеспечения. VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость.
VPN на основе специализированных аппаратных средств. Главное преимущество таких VPN — высокая производительность, поскольку быстродействие обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако они дороги.
Дата добавления: 2018-06-01; просмотров: 493; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!