Управление карантином обеспечивает поэтапный сетевой доступ для удаленных (VPN) клиентов за счет их помещения в режим карантина перед тем, как они смогут получить доступ к сети. После того как конфигурация клиентского компьютера приведена в соответствие с определенными карантинными ограничениями организации, к подключению применяется стандартная политика VPN, соответствующая типу указанного карантина. При подключении к сети организации карантинные ограничения могут требовать, например, установки и запуска конкретного антивирусного ПО. Управление карантином не защищает от атак злоумышленников, однако позволяет проверить и при необходимости исправить настройку компьютеров авторизованных пользователей, прежде чем предоставить им доступ к сети. Можно также настроить таймер, позволяющий задать время, по истечении которого подключение разрывается, если клиент не удовлетворяет требованиям конфигурации.

Forefront TMG позволяет выбрать способ включения режима карантина.

• Включение режима карантина с помощью маршрутизации и удаленного доступа. Если выбирается параметр Помещать в карантин в соответствии с политиками RADIUS-сервера, то при попытке VPN-клиента выполнить подключение служба маршрутизации и удаленного доступа определяет, следует ли помещать его в карантин. После выхода клиента из карантина он, безусловно, входит в состав сети VPN-клиентов.
  
  
• Включение режима карантина с помощью Forefront TMG. Если выбирается параметр Помещать VPN-клиентов в карантин в соответствии с политиками Forefront TMG, то при попытке VPN-клиента выполнить подключение служба маршрутизации и удаленного доступа, безусловно, передает запрос компьютеру Forefront TMG. Forefront TMG определяет, следует ли помещать клиента в карантин. После выхода из карантина клиент, безусловно, входит в состав сети VPN-клиентов.
  
  

Режим карантина можно также отключить. По умолчанию управление карантином отключено и включается в сети VPN-клиентов, помещенных в карантин. Дополнительные сведения о настройке управления карантином см. в разделе Настройка управления карантином на основе RQS/RQC и Настройка карантина на основе защиты доступа к сети (NAP).

Учетные данные, полученные Forefront TMG при подключении через VPN-клиента, могут зависеть от сценария подключения.

Если пользователь устанавливает VPN-подключение с клиентского компьютера, Forefront TMG сопоставляет эти учетные данные с подключением. Следует обратить внимание на то, что, если этим подключением пользуются другие пользователи, Forefront TMG не получит их учетные данные, однако будет продолжать связывать трафик с учетными данными, которые использовались для установки соединения, что чревато угрозой безопасности. Это может произойти в случае, если подключение к клиентскому компьютеру осуществляется с помощью служб терминалов, а запросы выполняются через VPN-подключение. Другой пример: клиентский компьютер настроен как устройство NAT, предоставляя доступ к VPN-подключению большому количеству пользователей других компьютеров.

Если на компьютере, поддерживающем подключение VPN-клиента, или на других компьютерах правильно установлен и настроен клиент межсетевого экрана, то эти компьютеры войдут в состав сети VPN-клиентов, однако Forefront TMG получит учетные данные каждого пользователя, а не учетные данные ведомого компьютера.

На компьютерах с VPN-клиентом, зараженных вирусами, не выполняется автоматическая блокировка от переполнения компьютера Forefront TMG (или защищаемой им сети) большим количеством запросов. Для предотвращения подобных случаев можно использовать средства мониторинга для обнаружения аномалий, таких как большое количество оповещений или необычные пиковые моменты в передаче трафика, и настроить уведомления, отправляемые по электронной почте. При обнаружении зараженного компьютера с VPN-клиентом выполните одно из следующих действий.

• Установите ограничения для VPN-доступа по имени пользователя. Для этого с помощью политики удаленного доступа исключите пользователя, соединение с которыми запрещено, из списка VPN-клиентов.
  
  
• Установите ограничения для VPN-доступа по IP-адресам. Для этого создайте новую сеть, в которой будут содержаться внешние заблокированные IP-адреса, и переместите IP-адрес зараженного клиента из внешней сети в новую сеть. Это возможно только в случае, если пользователь постоянно выполняет подключения с одного и того же IP-адреса. Если при каждом подключении к общедоступной сети клиентскому компьютеру назначаются разные адреса, рекомендуется ограничить доступ на основе имени пользователя.
  
  

Протокол PPTP - это сетевой протокол, позволяющий осуществлять безопасную передачу данных с удаленного клиента на частный, корпоративный сервер путем создания VPN-подключения в TCP/IP-сетях передачи данных. PPTP поддерживает работу предоставляемой по требованию и использующей несколько протоколов виртуальной частной сети, которая позволяет выполнять подключение через общедоступные сети (например Интернет). Благодаря PPTP IP-трафик шифруется, а затем инкапсулируется в IP-заголовок для передачи в корпоративной IP-сети или общедоступной сети, такой как Интернет.

Протокол L2TP - это стандартный отраслевой туннельный протокол, обеспечивающий инкапсуляцию для отправки кадров протокола PPP через пакетно-ориентированные сети. L2TP обеспечивает шифрование IP-трафика и последующую его отправку посредством любой передающей среды, поддерживающей доставку датаграмм «точка-точка» (например IP). Для защиты потока данных, передающегося с одного VPN-сервера на другой, используется шифрование IPsec, являющееся реализацией корпорацией Майкрософт протокола L2TP. Туннельный режим IPsec обеспечивает шифрование IP-трафика и его инкапсуляцию в IP-заголовок для передачи в корпоративной IP-сети или общедоступной сети, такой как Интернет.

PPTP-подключения требуют лишь проверки подлинности на уровне пользователя с использованием протокола проверки подлинности на основе PPP. Для подключений L2TP через IPsec требуется та же самая проверка подлинности на уровне пользователя, дополнительно к которой выполняется проверка на уровне компьютера с использованием сертификатов или предварительного ключа.

Важно.
При выборе протокола для VPN-подключений типа «сеть-сеть» - PPTP или L2TP через IPsec - следует учитывать следующие моменты.

• PPTP может использоваться для VPN-подключения типа «сеть-сеть» для серверов под управлением Microsoft Windows Server 2003 или Windows 2000 Server со службой маршрутизации и удаленного доступа или Windows NT Server 4.0 со службой маршрутизации и удаленного доступа (RRAS). Для PPTP не требуется инфраструктура открытого ключа (PKI) для выдачи сертификатов компьютеров. Благодаря технологии шифрования VPN-подключения на основе протокола PPTP обеспечивают конфиденциальность данных. Расшифровать перехваченные данные можно только с помощью ключа шифрования. Однако VPN-подключения на основе PPTP не обеспечивают целостность данных (проверку на отсутствие изменений в данных при передаче) или проверку подлинности источника данных (проверку отправки данных авторизованным пользователем).
  
  
• L2TP может использоваться для серверов, на которых установлены ОС Windows Server 2003 или Windows 2000 Server. При работе и с тем, и с другим сервером для выдачи сертификатов компьютеров всем маршрутизаторам требуется PKI. Серверы, работающие под управлением ОС Windows Server 2003, дополнительно поддерживают единый предварительный ключ, настроенный на отвечающем сервере и на всех вызывающих серверах. Благодаря IPsec VPN-подключения на основе L2TP через IPsec обеспечивают конфиденциальность и целостность данных, а также проверку подлинности их источника.
  
  

При использовании протокола IPsec в туннельном режиме сам протокол IPsec обеспечивает инкапсуляцию только IP-трафика. Основной причиной использования туннельного режима IPsec является возможность взаимодействия с другими маршрутизаторами, шлюзами или оконечными системами, которые не поддерживают VPN-туннелирование на основе PPTP или L2TP через IPsec. Сведения о взаимодействии представлены на веб-узле консорциума VPN.

Туннелирование - это процесс, включающий инкапсуляцию, маршрутизацию и последующее удаление инкапсуляции. Туннелирование подразумевает заключение или инкапсуляцию исходного пакета в новый. Новый пакет может иметь новые адресные и маршрутные данные, позволяющие осуществлять его передачу по сети. При комбинации туннелирования и конфиденциальности данных исходные данные пакета (а также исходный адрес и место назначения) не выявляются при прослушивании трафика в сети. После того как инкапсулированные пакеты достигают своего места назначения, инкапсуляция удаляется и для передачи пакета в конечный пункт используется заголовок исходного пакета.

Сам туннель представляет собой логический путь данных, по которому передаются инкапсулированные пакеты. Для одноранговых узлов источника и места назначения туннель обычно прозрачен и отображается в сетевом пути как подключение типа «точка-точка». Узлы не могут определить маршрутизаторы, коммутаторы, прокси-серверы или другие шлюзы безопасности между начальной и конечной точками туннеля. Комбинация туннелирования и конфиденциальности данных может применяться для создания VPN.

Инкапсулированные пакеты передаются в сети через туннель. В данном примере сетью является Интернет. В качестве шлюза может выступать пограничный шлюз, расположенный между Интернетом и частной сетью. Пограничным шлюзом может быть маршрутизатор, межсетевой экран, прокси-сервер или другой шлюз безопасности. Кроме того, для защиты трафика в ненадежных частях сети можно использовать два шлюза, расположенных в рамках виртуальной частной сети.

Дополнительные сведения о туннельном режиме IPsec см. в техническом справочнике «IPSec Technical Reference» веб-узле на веб-узле Microsoft TechNet.

Примечание.
При создании удаленной сети, использующей туннельный протокол IPsec, служба межсетевого экрана Майкрософт изменяет фильтры IPsec после своего перезапуска. В зависимости от количества подсетей, включенных в диапазоны адресов для сети, этот процесс может занять несколько минут. Для снижения эффекта рекомендуется определить диапазоны IP-адресов, которые находятся на границах подсети.