ГЛАВНАЯ

УСЛУГИ

РЕШЕНИЯ

СКОРАЯ ПОМОЩЬ

ПРОЕКТЫ

СОБЫТИЯ

О КОМПАНИИ

Статьи и публикации

Объединение локальных сетей офисов и удаленных филиалов

Главная / Статьи

 

07.09.2006

Объединение локальных сетей офисов и удаленных филиалов

Для того чтобы объединить локальные сети офисов и удаленных филиалов, применяют технологию виртуальных частных сетей - VPN (Virtual Private Network). Данная технология предназначена для криптографической защиты данных, передаваемых по компьютерным сетям. Виртуальная частная сеть представляет собой совокупность сетевых соединений между несколькими VPN-шлюзами, на которых производится шифрование сетевого трафика. VPN-шлюзы еще называют криптографическими шлюзами или крипто-шлюзами.

Существуют два метода построения единой защищенной корпоративной сети организации:

  1. с использованием оборудования и соответствующего комплекса услуг интернет-провайдера;
  2. с использованием собственного оборудования, расположенного в головном офисе и филиалах.

Далее рассмотрим условия применимости, достоинства и недостатки каждого из этих методов.

VPN и услуги предоставляет интернет-провайдер

Данное решение применимо, если головной офис и филиалы подключены к Интернет через одного интернет-провайдера. Если отделения компании разбросаны по городам, да еще в разных странах, вряд ли найдется провайдер, который сможет предоставить вам необходимый уровень сервиса, да еще за приемлемые деньги.

Если ваши офисы находяться в пределах одного города, узнайте у вашего интернет-провайдера, может ли он обеспечить объединение локальных сетей ваших офисов в единую сеть. Возможно это решение будет оптимальным для вас по стоимости.

Объединение сетей офисов и филиалов своими силами

Метод объединения двух сетей с применением технологии VPN в англозязычной литературе называетя "Peer-to-Peer VPN" или "site-to-site VPN". Между двумя сетями устанавливается режим "прозрачного шифрования". Для шифрования и передачи трафика в IP-сетях наиболее часто используют протокол IPSec.

Для организации VPN-соединенией (VPN-туннелей) между центральным офисом и филиалами небольших компаний рекомендуем использовать аппаратные интернет-шлюзы (firewall) со встроенной поддержкой VPN. Примером таких шлюзов могут быть ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office, и т.п. Данный класс продуктов рассчитан на применение в небольших компаниях со средней численностью персонала от 5 до 100 человек. Эти устройства просты в настройке, обладают высокой надежностью и достаточной производительностью.

В головном офисе организации часто устанавливают программные интегрированные решения по защите сети, такие как "Microsoft Internet Security and Acceleration Server 2006" (Microsoft ISA 2006),CheckPoint Express, CheckPoint VPN-1 Edge и другие. Для управления этими средствами защиты необходимо наличие высококвалифицированного персонала, который, как правило, или имеется в головном офисе или заимствуется у компании-аутсорсера.

Вне зависимости от применяемого оборудования, общая схема построения Peer-to-Peer VPN для безопасного объединения локальных сетей удаленных офисов в единую сеть, следующая:

Схема объединения локальных сетей офисов в единую сеть с использованием технологии виртуальных частных сетей (VPN).

Следует также заметить, что существуют специализированные аппаратные крипто-шлюзы, разработанные для решения узко-специализированных задач. Примерами могут служить Cisco VPN Concentrator, "Континент-К", и др. Их область применения - сети средних и крупных компаний, где необходимо обеспечить высокую производительность при шифровании сетевого трафика, а также специальные возможности. Например, обеспечить шифрование данных по ГОСТ ("Континент-К").

На что необходимо обратить внимание при выборе оборудования

Выбирая оборудование для организации виртуальной частной сети (VPN) необходимо обратить внимание на следующие свойства:

  • количество одновременно-поддерживаемых vpn-туннелей;
  • производительность;
  • возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех интернет-шлюзах);
  • поддержка управления качеством QoS (очень полезна при передаче голосового трафика между сетями);
  • совместимость с имеющимся оборудованием и применяемыми технологиями, например интеграция с LDAP, Microsoft Active Directory для сквозной авторизации пользователей и т.п.

Аппаратные решения

Преимущества решений, построенных на недорогих аппаратных интернет-шлюзах

  • Низкая стоимость;
  • Высокая надежность (нет необходимости в резервном копировании, при отключении питания ничего не выходит из строя);
  • Простота администрирования;
  • Малое энергопотребление;
  • Занимает мало места, можно установить где угодно;
  • в зависимости от выбранной платформы для построения VPN, имеется возможность для установки на vpn-шлюз дополнительных сервисов: антивирусная проверка интернет-трафика, обнаружение атак и вторжений, и др, что существенно увеличивает общий уровень защищенности сети и уменьшает общую стоимость решения по комплексной защите сети.

Недостатки

  • Решение не масштабируется, увеличение производительности достигается полной заменой оборудования;
  • Менее гибко в настройках;
  • Интеграция с Microsoft Active Directory (или LDAP), как правило, не поддерживается.

Программные решения

Преимущества программных решений

  • Гибкость;
  • Масштабируемость, т.е. возможность увеличить производительность по мере необходимости;
  • Тесная интеграция с Microsoft Active Directory (Microsoft ISA 2006, решения CheckPoint)

Недостатки

  • Высокая цена;
  • Сложность администрирования.

С чего начать

Прежде чем присупить к выбору оборудования и программного обеспечения (далее - ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

  1. Определить топологию:
    • Meshed (полносвязные) - каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
    • Star (звезда) - филиалы могут организовать защищенные соединения с центральным сайтом;
    • Hub and Spoke (связь через концентратор) - филиалы могут соединяться между собой через концентратор центрального сайта;
    • Remote Access (удаленный доступ) - пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
    • Комбинации перечисленных выше методов (например, топология Star with Meshed Center - звезда с полносвязным центром, - в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).
  2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
  3. Количество пользователей в центральном офисе и в каждом филиале;
  4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
  5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
  6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.


Количество показов: 16648
Автор:  КирСаныч

Возврат к списку


Материалы по теме:



Rambler's Top100