Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому важно понимать основы взаимодействия брандмауэров и виртуальных частных сетей:
• В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовместимой с некоторыми реализациями VPN.
• VPN способны создавать сквозные связующие "туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный трафик.
• Только конечные точки VPN-канала обладают доступом к данным в незашифрованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств.
Во время принятия решения о внедрении VPN-компонентов в сетевую архитектуру администратор сети стоит перед выбором из двух вариантов: поддержка VPN-модуля в качестве обособленного от брандмауэра устройства или же интеграция VPN в брандмауэр для обеспечения обеих функций одной системой. Брандмауэр плюс VPN в качестве обособленного, внешнего устройства.
Существует множество вариантов проектирования сети, позволяющих сделать конечную точку VPN внешним по отношению к брандмауэру устройством.
Система трансляции адресов NAT является причиной большинства проблем, возникающих в случае обособленного по отношению к брандмауэру варианта размещения VPN-оборудования. Еще одна проблема отдельно расположенных VPN-устройств заключается в управлении адресами: некоторые из VPN-спецификации требуют, чтобы внешнее VPN-устройство обладало легальным IP-адресом. Еще одним очевидным недостатком размещения VPN-устройств перед брандмауэром является отсутствие соответствующей защиты с его стороны. Другими словами, в случае взлома VPN-системы, злоумышленник получает прямой доступ к данным, конфиденциальность которых обеспечивалась средствами VPN.
Брандмауэр и VPN, размещенные как единое целое.
Вариант устройства, объединяющего функции брандмауэра и VPN в одной системе, позволит сэкономить определенное количество денег по сравнению с решением, использующим два отдельных устройства. Правда, большая часть этой экономии не касается первоначальных затрат на приобретение соответствующего комплекса средств, поскольку добавление к брандмауэру VPN-функциональности потребует покупки дополнительных программных лицензий, а также, возможно, обновления аппаратной части. Иначе говоря, интегрированное решение оказывается менее дорогостоящим в плане своего дальнейшего технического сопровождения.
Один из главных минусов максимально удовлетворяющие запросам реализации брандмауэров могут оказаться не приспособленными к построению на их основе VPN-компонентов. А значит, вполне возможны ситуации, в которых выгоднее обратиться к ранее рассмотренному варианту применения внешнего специализированного VPN-устройства.
