Компьютерная сеть с филиалами

Объединение локальных сетей офисов и удаленных филиалов

Для того чтобы объединить локальные сети офисов и удаленных филиалов, применяют технологию виртуальных частных сетей — VPN (Virtual Private Network). Данная технология предназначена для криптографической защиты данных, передаваемых по компьютерным сетям. Виртуальная частная сеть представляет собой совокупность сетевых соединений между несколькими VPN-шлюзами, на которых производится шифрование сетевого трафика. VPN-шлюзы еще называют криптографическими шлюзами или крипто-шлюзами.

Существуют два метода построения единой защищенной корпоративной сети организации:

  1. с использованием оборудования и соответствующего комплекса услуг интернет-провайдера;
  2. с использованием собственного оборудования, расположенного в головном офисе и филиалах.

Далее рассмотрим условия применимости, достоинства и недостатки каждого из этих методов.

VPN и услуги предоставляет интернет-провайдер

Данное решение применимо, если головной офис и филиалы подключены к Интернет через одного интернет-провайдера. Если отделения компании разбросаны по городам, да еще в разных странах, вряд ли найдется провайдер, который сможет предоставить вам необходимый уровень сервиса, да еще за приемлемые деньги.

Если ваши офисы находяться в пределах одного города, узнайте у вашего интернет-провайдера, может ли он обеспечить объединение локальных сетей ваших офисов в единую сеть. Возможно это решение будет оптимальным для вас по стоимости.

Объединение сетей офисов и филиалов своими силами

Метод объединения двух сетей с применением технологии VPN в англозязычной литературе называетя «Peer-to-Peer VPN» или «site-to-site VPN». Между двумя сетями устанавливается режим «прозрачного шифрования». Для шифрования и передачи трафика в IP-сетях наиболее часто используют протокол IPSec.

Для организации VPN-соединенией (VPN-туннелей) между центральным офисом и филиалами небольших компаний рекомендуем использовать аппаратные интернет-шлюзы (firewall) со встроенной поддержкой VPN. Примером таких шлюзов могут быть ZyXEL ZyWALL, Netgear Firewall, Check Point Safe@Office, и т.п. Данный класс продуктов рассчитан на применение в небольших компаниях со средней численностью персонала от 5 до 100 человек. Эти устройства просты в настройке, обладают высокой надежностью и достаточной производительностью.

В головном офисе организации часто устанавливают программные интегрированные решения по защите сети, такие как «Microsoft Internet Security and Acceleration Server 2006» (Microsoft ISA 2006),CheckPoint Express, CheckPoint VPN-1 Edge и другие. Для управления этими средствами защиты необходимо наличие высококвалифицированного персонала, который, как правило, или имеется в головном офисе или заимствуется у компании-аутсорсера.

Читайте также:  Соответствие сетевых устройств уровням модели osi

Вне зависимости от применяемого оборудования, общая схема построения Peer-to-Peer VPN для безопасного объединения локальных сетей удаленных офисов в единую сеть, следующая:

Схема объединения локальных сетей офисов в единую сеть с использованием технологии виртуальных частных сетей (VPN).

Следует также заметить, что существуют специализированные аппаратные крипто-шлюзы, разработанные для решения узко-специализированных задач. Примерами могут служить Cisco VPN Concentrator, «Континент-К», и др. Их область применения — сети средних и крупных компаний, где необходимо обеспечить высокую производительность при шифровании сетевого трафика, а также специальные возможности. Например, обеспечить шифрование данных по ГОСТ («Континент-К»).

На что необходимо обратить внимание при выборе оборудования

Выбирая оборудование для организации виртуальной частной сети (VPN) необходимо обратить внимание на следующие свойства:

  • количество одновременно-поддерживаемых vpn-туннелей;
  • производительность;
  • возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех интернет-шлюзах);
  • поддержка управления качеством QoS (очень полезна при передаче голосового трафика между сетями);
  • совместимость с имеющимся оборудованием и применяемыми технологиями, например интеграция с LDAP, Microsoft Active Directory для сквозной авторизации пользователей и т.п.

Аппаратные решения

Преимущества решений, построенных на недорогих аппаратных интернет-шлюзах

  • Низкая стоимость;
  • Высокая надежность (нет необходимости в резервном копировании, при отключении питания ничего не выходит из строя);
  • Простота администрирования;
  • Малое энергопотребление;
  • Занимает мало места, можно установить где угодно;
  • в зависимости от выбранной платформы для построения VPN, имеется возможность для установки на vpn-шлюз дополнительных сервисов: антивирусная проверка интернет-трафика, обнаружение атак и вторжений, и др, что существенно увеличивает общий уровень защищенности сети и уменьшает общую стоимость решения по комплексной защите сети.

Недостатки

  • Решение не масштабируется, увеличение производительности достигается полной заменой оборудования;
  • Менее гибко в настройках;
  • Интеграция с Microsoft Active Directory (или LDAP), как правило, не поддерживается.

Программные решения

Преимущества программных решений

  • Гибкость;
  • Масштабируемость, т.е. возможность увеличить производительность по мере необходимости;
  • Тесная интеграция с Microsoft Active Directory (Microsoft ISA 2006, решения CheckPoint)

Недостатки

С чего начать

Прежде чем присупить к выбору оборудования и программного обеспечения (далее — ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

  1. Определить топологию:
    • Meshed (полносвязные) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
    • Star (звезда) — филиалы могут организовать защищенные соединения с центральным сайтом;
    • Hub and Spoke (связь через концентратор) — филиалы могут соединяться между собой через концентратор центрального сайта;
    • Remote Access (удаленный доступ) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
    • Комбинации перечисленных выше методов (например, топология Star with Meshed Center — звезда с полносвязным центром, — в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).
  2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
  3. Количество пользователей в центральном офисе и в каждом филиале;
  4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
  5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
  6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.
Читайте также:  Всемирная информационная компьютерная сеть является

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.

Материалы по теме:

Источник

4.3. Корпоративная компьютерная сеть

Закрепим полученные знания на примере типичной компьютерной сети предприятия.

Корпоративная информационная система (КИС) — это совокупность систем, выполняющих функцию автоматизированного управления предприятием. На рис. 14 приведен типовой состав корпоративной сети с подразделением, подключаемым с помощью удаленного доступа. Опишем работу такой сети, опираясь на вышеизложенную модель «клиент-сервер».

Рис. 14 Корпоративная компьютерная сеть.

Поскольку структура компьютерных сетей обычно строится соответственно структуре предприятия и его подразделений, наша сеть, являясь сетью с удаленным доступом, имеет 2 основные подсети — сеть центрального офиса (рис. 14, а) и сеть филиала (рис. 14, б). Между собой сети соединены с помощью пары модемов и маршрутизатора 3. В состав сети центрального офиса входит также удаленный компьютер 1. Удаленные компьютеры получают доступ к основной сети через сервис удаленного доступа и маршрутизатор, установленные на компьютере 3.

Топология сети филиала — звезда, сети центрального офиса — смешанная. Сеть построена на технологии Fast Ethernet с пропускной способностью 100 Мбит/с. Для внутрикорпоративной связи используется аналоговые модемы v.90 (56 кбит/с), для доступа в Интернет — цифровая абонентская линия DSL (128 кбит/с). В качестве основных сетевых протоколов используются TCP/IP и NetBIOS/SMB.

Доступ в глобальную сеть Интернет производится через сервер 3. Поскольку на нем установлено про-граммное обеспечение прокси-сервера, остальные компьютеры сети также имеют доступ к глобальным службам. Защита от хакерских атак сети центрального офиса реализуется с помощью межсетевого экрана, входящего в состав прокси-сервера. Отдельный доступ в Интернет через модем с протоколом v.90 есть также у одного из компьютеров филиала. Защита сети филиала выполняется при помощи межсетевого экрана провайдера. На всех серверах и рабочих станциях установлено соответствующее антивирусное программное обеспечение.

Читайте также:  Вычислительные машины комплексы системы и сети специалист

Сервер 2 выполняет функции файлового сервера, сервера сетевой безопасности, сервера приложений и веб-сервера внутренней службы Intranet. Сервер 4 является сервером баз данных предприятия. Также на нем установлена почтовая служба — сюда приходит внешняя (Интернет) и внутренняя (между филиалами) электронная почта. К нему подключено 2 принтера общего пользования, следовательно, дополнительно он является сервером печати.

Сетевые службы, построенные на основе компьютерных сетей, реализуются с помощью специального клиент-серверного сетевого программного обеспечения, которое зачастую входит в состав сетевых операционных систем.

4.4. Сетевые операционные системы

Как было сказано в главе «Операционные системы», ОС являются важнейшей частью программного обеспечения современных компьютеров.

Сетевая операционная система предназначена для работы в компьютерных сетях и имеет для этого в своем составе набор соответствующих служебных сетевых программ. Большинство современных ОС являются сетевыми.

В составе сетевой ОС есть средства управления локальными ресурсами, описанные выше, и программное обеспечение для работы с сетью, которое состоит из клиентской и серверной частей.

В зависимости от характера преобладающих в ней функций, сетевые ОС условно делятся на:

  • клиентские (например, Windows 95-98, Windows NT Workstation, MacOS X);
  • серверные (например, UNIX, Linux, Windows NT Server, Windows .NET Server).

Источник

Оцените статью
Adblock
detector