Технология виртуальных частных сетей (VPN) предоставляет недорогой и безопасный удаленный доступ к частным сетям. С помощью технологии виртуальной частной сети можно обеспечить доступ к частной сети через совместно используемую или общедоступную сеть, например Интернет, с имитацией частной линии связи "точка-точка". Использование компьютера Forefront TMG в качестве VPN-сервера позволяет защитить корпоративную сеть от вредоносных VPN-подключений. Поскольку VPN-сервер интегрирован в межсетевой экран, пользователи VPN попадают под действие политики межсетевого экрана Forefront TMG.

В следующих подразделах представлены сведения, которые помогут спланировать внедрение виртуальной частной сети Forefront TMG:

Виртуальные частные сети Forefront TMG

Forefront TMG поддерживает два типа виртуальных частных сетей:

  • VPN с удаленным доступом. Предоставляет внешним пользователям безопасный удаленный доступ к внутренней сети.

  • VPN типа "сеть-сеть". Позволяет быстро установить соединение между двумя площадками, например, между главным офисом и филиалами.

    Дополнительные сведения о том, как развернуть топологию сети "звезда" или "решетка", см. в статье Сценарии развертывания виртуальной частной сети в ISA Server Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=160842) (возможно, на английском языке).

Примечание.
Для того чтобы можно было отслеживать VPN-подключения, все VPN-подключения к компьютеру Forefront TMG регистрируются в журнале межсетевого экрана.

Forefront TMG реализует технологию Windows Server VPN. Дополнительные сведения см. в статье Что такое VPN? (http://go.microsoft.com/fwlink/?LinkId=160092) (возможно, на английском языке). При ознакомлении со статьей помните о функциональных различиях между Windows Server 2003 и более поздними версиями Windows, которые отражены в статье Новые возможности маршрутизации и удаленного доступа в Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=160094) (возможно, на английском языке).

Протоколы VPN

Forefront TMG поддерживает следующие протоколы VPN.

  • Протокол PPTP. Данный протокол может использоваться как для удаленного доступа, так и для VPN типа "сеть-сеть" для удаленных серверов, работающих под управлением операционных систем Windows Server со службами маршрутизации и удаленного доступа. VPN-подключения на основе протокола PPTP используют механизмы шифрования, которые не обеспечивают целостность данных (проверку на отсутствие изменений в данных при передаче) или проверку подлинности источника данных (проверку отправки данных авторизованным пользователем).

  • Протокол L2TP/IPSec. Данный протокол используется как для удаленного доступа, так и для VPN типа "сеть-сеть" для удаленных серверов, работающих под управлением операционных систем Windows Server со службами маршрутизации и удаленного доступа. Для использования протокола L2TP/IPSec на VPN-серверах должен быть установлен сертификат IPSec. Протокол IPsec обеспечивает конфиденциальность и целостность данных, а также проверку подлинности источника.

  • Туннельный режим IPsec. Используется для VPN типа "сеть-сеть" и для поддержки устройств сторонних производителей, таких как маршрутизаторы и шлюзы, не поддерживающие протокол PPTP или L2TP/IPSec. Для использования туннельного режима IPsec на VPN-серверах должен быть установлен сертификат IPSec. Протокол IPsec обеспечивает конфиденциальность и целостность данных, а также проверку подлинности источника.

    • Дополнительные сведения о туннельном режиме протокола IPsec см. в Техническом справочнике IPSec (http://go.microsoft.com/fwlink/?linkid=69735) (возможно, на английском языке).

    • Дополнительные сведения о проверке возможности взаимодействия VPN-подключения см. в статье Проверка возможности взаимодействия VPNC (http://go.microsoft.com/fwlink/?LinkId=160129) (возможно, на английском языке).

  • Протокол SSTP. Используется для VPN-подключений удаленного доступа. Протокол SSTP является формой VPN-туннеля, разрешающей транспортировку PPP-трафика через SSL-канал. Использование протокола SSTP улучшает способность VPN-подключений проходить через межсетевые экраны и прокси-серверы.

VPN-подключение удаленного доступа

Сведения, содержащиеся в следующих подразделах, относятся к VPN-подключениям удаленного доступа Forefront TMG:

Управление карантином

Если управление карантином включено, удаленные компьютеры не получат доступ к частной сети до тех пор, пока не будет протестирована и проверена их конфигурация. Forefront TMG может поместить VPN-клиентов, подключающихся к сети, в карантинную сеть VPN-клиентов. Эти клиенты будут находиться там до тех пор, пока не будет проверено их соответствие требованиям корпоративной политики безопасности; после этого они могут быть перемещены в сеть VPN-клиентов. Обе эти сети VPN-клиентов попадают под действие политики доступа межсетевого экрана Forefront TMG, поэтому можно контролировать доступ VPN-клиентов к сетевым ресурсам. Например, помещенным в карантин клиентам можно разрешить доступ только к ресурсам, необходимым для восстановления их соответствия политике безопасности, например доступ к обновлениям для антивирусного ПО или к серверу обновления Windows.

Для применения режима карантина можно использовать один из следующих механизмов:

  • Защита доступа к сети. Позволяет задать уровни доступа к сети на основании учетной записи клиента, групп, к которым принадлежит клиент, и степени соответствия корпоративной политики безопасности. Если клиент не соответствует корпоративной политике безопасности, защита доступа к сети предоставляет механизмы для автоматического приведения клиента в соответствие (процесс называющийся обновлением) с последующим динамическим повышением уровня доступа к сети.

  • Служба карантина для удаленного доступа и клиент карантина для удаленного доступа. Клиент карантина для удаленного доступа определяет состояние работоспособности клиентского компьютера и уведомляет службу карантина для удаленного доступа, требуется ли поместить в карантин клиентский компьютер.

Учетные данные VPN-клиента

Учетные данные, полученные компонентом Forefront TMG при подключении пользователя с помощью VPN-подключения удаленного доступа, могут зависеть от сценария подключения.

  • Когда удаленный пользователь устанавливает VPN-подключение, Forefront TMG сопоставляет эти учетные данные с подключением. Если этим подключением пользуются другие пользователи, Forefront TMG не получит их учетные данные, однако будет продолжать связывать трафик с учетными данными, которые использовались для установки соединения, что чревато угрозой безопасности. Например, если для подключения к клиентскому компьютеру пользователи используют службы терминалов и затем выполняют запрос через VPN-подключение или если клиентский компьютер настроен как устройство NAT и предоставляет доступ к VPN-подключению большому количеству пользователей других компьютеров.

  • Если на компьютере, поддерживающим VPN-подключение клиента, или на других компьютерах за ним правильно установлен и настроен клиент Forefront TMG или клиент межсетевого экрана, то эти компьютеры войдут в состав сети VPN-клиентов, однако Forefront TMG получит учетные данные каждого пользователя, а не учетные данные компьютера, поддерживающего VPN-подключение клиента.

VPN-клиенты, зараженные вирусами

На компьютерах с VPN-клиентом, зараженных вирусами, не выполняется автоматическая блокировка от атак переполнения на компьютер Forefront TMG (или защищаемой им сети) с помощью запросов. Для предотвращения подобных случаев можно использовать средства мониторинга для обнаружения аномалий, таких как большое количество оповещений или необычные пиковые моменты в передаче трафика, и настроить уведомления, отправляемые по электронной почте. При обнаружении зараженного компьютера с VPN-клиентом выполните одно из следующих действий.

  • Установите ограничения для VPN-доступа по имени пользователя. Для этого с помощью политики удаленного доступа исключите данного пользователя из списка VPN-клиентов, которым разрешено подключение.

  • Установите ограничения для VPN-доступа по IP-адресам. Для этого создайте новую сеть, в которой будут содержаться внешние заблокированные IP-адреса, и переместите IP-адрес зараженного клиента из внешней сети в новую сеть. Это возможно только в случае, если пользователь постоянно выполняет подключения с одного и того же IP-адреса. Если при каждом подключении к общедоступной сети клиентскому компьютеру назначаются разные адреса, рекомендуется ограничить доступ на основе имени пользователя.

Сопоставление пользователей

Сопоставление пользователей применяется для сопоставления VPN-клиентов, подключающихся к компоненту Forefront TMG, при создании политики межсетевого экрана для групп. Это позволяет применять правила доступа политики межсетевого экрана, определяющие наборы учетных записей для пользователей и групп Windows, и в отношении прошедших проверку подлинности пользователей, не использующих Windows. Если сопоставление пользователей не определено из пространств имен, не основанных на Windows, к пользователям не будут применяться стандартные правила доступа политики межсетевого экрана.

При планировании сопоставления пользователей следует учесть следующие моменты.

  • Если сервер RADIUS (Remote Authentication Dial-In User Service) и сервер Forefront TMG находятся в ненадежных доменах (или один из них входит в рабочую группу), сопоставление пользователей поддерживается только для методов проверки подлинности на основе протоколов проверки пароля PAP и SPAP. Сопоставление пользователей не следует использовать, если настроен другой метод проверки подлинности.

  • Если для пользователей, не использующих Windows, не включено сопоставление пользователей, необходимо создать набор учетных записей для таких пользователей, чтобы для них также применялись правила политики межсетевого экрана. Независимо от используемого метода проверки подлинности (RADIUS или EAP) набор учетных записей должен быть определен для пространства имен RADIUS.

  • Сопоставление пользователей с учетными записями домена не поддерживается, если сервер Forefront TMG установлен в рабочей группе. В этом сценарии сопоставление пользователей можно применять только для методов проверки пользователей PAP и SPAP.

Важно.
Чтобы создать политику межсетевого экрана для пользователей, можно определить наборы учетных записей в пространствах имен RADIUS.

См. также