(!) Режимы доступа SSL VPN

В SSL VPN существует три режима доступа. Что они собой представляют?

Применение SSL VPN-концентратора ZyWALL SSL 10 в вашей сети возможно в одном из двух вариантов: за аппаратным шлюзом серии ZyWALL или в качестве нового шлюза.
Можно подключить SSL 10 к аппаратному шлюзу вашей локальной сети. Если используется шлюз с портом DMZ, подключите SSL 10 в этот порт.
Если в вашей локальной сети нет аппаратного шлюза, то вы можете установить SSL 10 в качестве шлюза с возможностью SSL VPN-подключений. Для безопасности подключений можно настраивать управление доступом и управление политиками на SSL 10.


ZyWALL SSL 10 поддерживает 3 режима доступа SSL VPN:

Рассмотрим более подробно каждый режим.


Режим обратного прокси-соединения (Reverse Proxy Mode)


Режим обратного прокси-соединения предназначен для безопасной работы веб-приложений. Используя обратное прокси-соединение, пользователь может получить доступ к любому расположенному в корпоративной сети веб-ресурсу.

В режиме Reverse Proxy ZyWALL SSL 10 работает как прокси-сервер для входящих подключений к защищаемой локальной сети и предоставляет удаленным пользователям доступ к серверам локальной сети, например веб-серверам или почтовым серверам. Режим Reverse Proxy обеспечивает дополнительный уровень безопасности для внутренних серверов.

При использовании режима Reverse Proxy удаленные пользователи могут легко получить доступ к любому веб-приложению в локальной сети, нажав на настроенные администратором сети ссылки или введя определенный URL. При этом, для доступа к ресурсу не нужно устанавливать дополнительного программного обеспечения на компьютерах удаленных пользователей.

Прокси является решением направленным на ограничение доступа, т.е. позволяет удаленному пользователю только получить доступ к URL, указанному в настройках режима Reverse Proxy. Если опубликованный сайт содержит какие-либо внешние URL-адреса, то удаленный пользователь не сможет иметь к ним доступ. Для того чтобы разрешить удаленным пользователям доступ к внешним URL-адресам, администратору следует создать дополнительные веб-приложения в Reverse Proxy, отражающие внешние URL-адреса. В этом режиме шлюз SSL 10 запрещает любой доступ, кроме доступа к опубликованным URL.

Режим Reverse Proxy может применяться для снижения времени отклика и улучшения пропускной способности, а также для защиты веб-серверов от атак, скрывая внутренние ресурсы.



Информацию о настройке SSL-соединения в режиме обратного прокси-соединения (Reverse Proxy) на примере RDP-подключения в аппаратных шлюзах серии ZyWALL USG вы можете найти в статье: KB-2229


Режим перенаправления портов (Port Forwarding Mode)


Режим Port Forwarding используется для предоставления доступа к приложениям, которые осуществляют соединения по отличным от http портам (то есть не веб-приложения, например такие, как FTP и Telnet). Авторизовавшись на SSL 10, удаленному пользователю нужно запустить соответствующую клиентскую программу для доступа к серверу. Таким образом, к примеру, удаленный пользователь может использовать любой удобный ему FTP-клиент для гарантированно безопасного подключения к серверу, расположенному во внутренней сети.


Режим «полный туннель» (Full Tunnel Mode)


В режиме Full Tunnel создается виртуальное соединение для удаленных пользователей с частными IP-адресами из той же подсети, что и в локальной сети. Это позволит пользователям получить доступ к сетевым ресурсам таким же образом, как если бы они были частью внутренней сети. Режим Full Tunnel позволяет удаленным пользователям получать полный доступ к LAN-сегменту без ограничений.

При использовании режима полного доступа к сети после авторизации (ввода имени и пароля) у удаленного пользователя автоматически происходит подключение типа точка-сеть, при том что работа идет исключительно через зашифрованный SSL-туннель. Данный режим работает в ОС Windows XP и начиная с версии микропрограммы 2.00(AQH.0) в ОС Windows Vista.



В режиме Full Tunnel для удаленных пользователей создается виртуальное подключение при помощи Java-приложения SSL VPN SecuExtender на стороне клиента. Оно создает виртуальный сетевой интерфейс и затем устанавливает SSL-туннель между клиентом и ZyWALL SSL 10, а также обновляет таблицу маршрутизации на клиентском компьютере. Процесс осуществляется автоматически после обращения через обычный интернет-браузер на WAN-порт ZyWALL SSL 10. Для работы клиента (если вы используете режим Full Tunnel) в операционной системе должно быть установлено приложение JAVA Runtime Environment (JVM 1.4.3 и старше).
При использовании режима Full Tunnel в настройках SSL 10 необходимо включить Network Extension.


Информацию о настройке SSL-соединения в режиме полного туннелирования (Full Tunnel) в аппаратных шлюзах серии ZyWALL USG вы можете найти в статье: «Настройка SSL-соединения в режиме полного туннелирования»

 

KB-1810

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0