Выбор режима для сетевых интерфейсов и настройки правил фильтрации

 

Рассмотрим некоторые простейшие варианты использования ViPNet Coordinator:

. Требуется обеспечить возможность взаимодействия любых компьютеров локальной сети, в том числе туннелируемых, с открытыми ресурсами Интернета, а также взаимодействие туннелируемых ресурсов с защищенными узлами.

В этом случае на всех интерфейсах следует установить 2 режим.

В окне Открытая сеть следует создать транзитное правило для диапазона адресов локальной сети на соответствующем интерфейсе (устройства 1) и всех адресов на внешнем интерфейсе (устройства 2). Для этого правила создать фильтр Все протоколы, в котором задать направление соединения от устройств 1 к устройствам 2.

Для работы туннелируемых устройств никаких дополнительных правил создавать не надо, поскольку правило по умолчанию в окне Туннелируемые ресурсы разрешает работу туннелируемых устройств (если их адреса заданы на координаторе в качестве туннелируемых) со всеми защищенными узлами, с которыми связан Ваш координатор. При таких настройках:

* координатор полностью защищен от любых видов атак из открытой внешней сети (Интернет) и из локальной сети;

* осуществляется защищенное взаимодействие с сетевыми узлами из окна

Защищенная сеть и туннелируемыми ресурсами координаторов;

* все компьютеры (туннелируемые и нетуннелируемые) внутренней (локальной) сети смогут устанавливать инициативные соединения с открытыми ресурсами во внешней сети;

* соединения извне с открытых компьютеров внешней сети на компьютеры локальной сети будут невозможны.

. Если требуется установить какие-либо ограничения на работу пользователей локальной сети с ресурсами внешней сети (например, Интернет), то следует воспользоваться следующими рекомендациями:

Если ViPNet Coordinator используется для организации взаимодействия только защищенных компьютеров (с ПО ViPNet), то устанавливаем для всех сетевых интерфейсов 1 режим работы.

Если ViPNet Coordinator осуществляет туннелирование незащищенных компьютеров локальной сети и при этом должна быть исключена возможность работы этих и других открытых компьютеров локальной сети с открытыми ресурсами во внешней сети, то для внешних сетевых интерфейсов, устанавливаем 1 режим работы, а для внутренних - 2 режим.

Если требуются какие-либо ограничения для туннелируемых компьютеров при их взаимодействии с внешними сетевыми узлами, то в окне Туннелируемые ресурсы можно задать частные (пропускающие или блокирующие) фильтры между туннелируемыми IP-адресами и сетевыми узлами.

. Если ViPNet Coordinator используется для организации доступа из внешней сети со стороны открытых источников к отдельным открытым ресурсам, расположенным в демилитаризованной зоне - ДМЗ (за отдельным интерфейсом координатора), то:

На всех интерфейсах следует установить 2 режим.

В транзитных фильтрах добавьте правило для всех адресов со стороны внешних интерфейсов (Устройства 1) и конкретных адресов серверов со стороны интерфейса ДМЗ. В этом правиле создайте фильтры для пропуска конкретных протоколов и портов с направлением соединения от устройств 1 к устройствам 2. Например, чтобы разрешить работу с FTP-сервером в ДМЗ достаточно задать пропускающий фильтр для TCP- протокола на 21 порт.

. Если все же используются на координаторе какие-либо сетевые службы, которые должны работать с открытыми ресурсами локальной или внешней сети, то в этом случае:

Можно установить на соответствующем интерфейсе 3 режим, который разрешит все исходящие соединения этой службы на координаторе с открытыми ресурсами соответствующей сети. Но лучше оставить интерфейсы во 2 режиме и настроить в локальных фильтрах правила для исходящих соединений по конкретным протоколам данной службы.