Có hai cách tiếp cận để firewall với máy phục vụ VPN.
• Máy phục vụ VPN được gắn với internet và firewall ở giữa máy phục vụ và mạng cục bộ.
• Firewall được gắn với internet và máy phục vụ VPN ở giữa firewall và mạng cục bộ.
1.19.1. VPN Server ở phía trước Firewall
Với máy phục vụ VPN nằm trước firewall được gắn tới internet, như trên hình 13, bạn cần thêm các bộ lọc gói tại giao diện với internet mà chỉ cho phép VPN truyền đi và từ các địa chỉ IP của máy phục vụ VPN trên internet.
Với giao dịch trước, một dữ liệu đường ngầm được giải mã bởi máy phục vụ VPN, nó chỉ hướng tới firewall, sử dụng các bộ lọc của nó để cho phép các giao dịch được hướng tới các tài nguyên của mạng cục bộ. Bởi vì chỉ những giao dịch được qua máy phục vụ VPN là những giao dịch được sinh bởi các máy khách VPN hợp pháp, bộ lọc firewall trong tình huống này có thể được sử dụng để ngăn chặn những người sử dụng VPN khỏi việc truy cập các tài nguyên mạng cục bộ đặc biệt.
Hình 13 VPN Server trên Internet ở phía trước Firewall
Bởi vì chỉ giao dịch internet được phép trong mạng cục bộ phải đi qua máy phục vụ VPN, sự tiếp cận này cũng ngăn chặn việc chia sẻ tài nguyên của giao thức truyền file Web nội bộ với những người sử dụng internet không qua VPN.
Tại giao diện internet trên máy phục vụ VPN, cấu hình theo các bộ lọc vào và ra sử dụng công cụ quản lý tuyến đoạn và truy cập từ xa.
1.19.2. Lọc gói tin trong PPTP
Cấu hình các bộ lọc vào sau với các bộ lọc được thiết lập theo danh sách sau :
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask là 255.255.255.255, và cổng TCP đích là 1723 (0x06BB). Các bộ lọc này cho phép giao thức PPTP duy trì giao dịch từ PPTP khách tới PPTP phục vụ.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask là 255.255.255.255, và ID của giao thức IP là 47 (0x2F). Bộ lọc này cho phép dữ liệu đường ngầm PPTP từ PPTP khách tới PPTP phục vụ.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask là 255.255.255.255, và cổng nguồn TCP ( đã được thiết lập ) là 1723 (0x06BB).
Bộ lọc này được yêu cầu nếu máy phục vụ VPN đang hoạt động như một máy khách VPN ( một bộ định tuyến theo kiểu gọi ) trũg một kết nối VPN router-to- router. Khi bạn chọn TCP ( đã được thiết lập ), giao dịch được chấp nhận chỉ nếu máy phục vụ VPN khởi tạo kết nối TCP.
Cấu hình các bộ lọc ra như sau :
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask là 255.255.255.255, và cổng TCP đích là 1723 (0x06BB). Các bộ lọc này cho phép giao thức PPTP duy trì giao dịch từ PPTP khách tới PPTP phục vụ.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask là 255.255.255.255, và ID của giao thức IP là 47 (0x2F). Bộ lọc này cho phép dữ liệu đường ngầm PPTP từ PPTP khách tới PPTP phục vụ.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask là 255.255.255.255, và cổng nguồn TCP ( đã được thiết lập ) là 1723 (0x06BB).
Bộ lọc này được yêu cầu nếu máy phục vụ VPN đang hoạt động như một máy
router. Khi bạn chọn TCP ( đã được thiết lập ), giao dịch được chấp nhận chỉ nếu máy phục vụ VPN khởi tạo kết nối TCP.
1.19.3. VPN Server nằm sau Firewall
Trong một cách cấu hình khác thường, được minh hoạ trong hình 14, firewall được kết nối tới internet và máy phục vụ VPN là một mạng nội bộ khác kết nối tới một vùng phi quân sự (DMZ). Một vùng phi quân sự là một đoạn mạng IP mà đạc biệt chứa các tài nguyên có khả năng với những người sử dụng internet như là các phục vụ Web và FTP.
Mày phục vụ VPN có một giao diện trên DMZ và một trên mạng nội bé.
Trong tình huống này, firewall phải được cấu hình với các bộ lọc vào và ra trên giao diện internet của nó để cho phép truyền qua giao dịch duy trì đường ngầm và dư liệu đường ngầm tới máy phục vụ VPN. Các bộ lọc thêm vào có thể cho phép truyền các gói tin tới các dịch vụ Web, FTP, và các dịch vụ khác trên DMZ.
Bởi vì firewall không có các khóa mã cho mỗi kết nối VPN, nó chỉ có thể lọc dựa vào các header rõ ràng của dữ liệu đường ngầm, nghĩa là tất cỏ các dữ liệu đường ngầm được qua firewall. Tuy nhiên, điều này không liên quan đến bảo mật bởi vì kết nối VPN yêu cầu một quá trình xác nhận mà ngăn chặn những truy cập bất hợp pháp dựa vào máy phục vụ VPN.
Với giao diện internet trên firewall, các bộ lọc vào vả ra sau cần được cấu hình sử dụng phần mềm cấu hình của firewall.
Figure 14 VPN Server Behind the Firewall on the Internet
1.19.4. Cáo bộ lọc PPTP
Cấu hình các bộ lọc vào như sau :
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng đích TCP là 1723 (0x06BB). Bộ lọc này cho phép đường ngầm duy trì giao dịch từ PPTP khách tới PPTP phục vụ.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và ID của giao thức IP là 47 (0x2F). Bộ lọc này cho phép dữ liệu đường ngầm PPTP từ PPTP khách tới PPTP phục vụ.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng nguồn TCP ( đã được thiết lập ) là 1723 (0x06BB). Bộ lọc này được yêu cầu chỉ nếu máy phục vụ VPN đang hoạt động như một máy khách VPN ( a calling router ) trong một kết nối VPN theo kiểu router-to-router. Khi bạn chọn TCP ( đã được thiết lập ), giao dịch được chấp nhận chỉ nếu máy phục vụ VPN khởi tạo kết nối TCP.
Cấu hình các bộ lọc ra như sau :
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng đích TCP là 1723 (0x06BB). Bộ lọc này cho phép đường ngầm duy trì giao dịch từ PPTP phục vụ tới PPTP khách.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và ID của giao thức IP là 47 (0x2F). Bộ lọc này cho phép dữ liệu đường ngầm PPTP từ PPTP phục vụ tới PPTP khách.
• Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng nguồn TCP ( đã được thiết lập ) là 1723 (0x06BB). Bộ lọc này được yêu cầu chỉ nếu máy phục vụ VPN đang hoạt động như một máy khách VPN ( a calling router ) trong một kết nối VPN theo kiểu router-to-router. Khi bạn chọn TCP ( đã được thiết lập ), giao dịch được gửi chỉ nếu máy phục vụ VPN khởi tạo kết nối TCP.
Giải đáp những thắc mắc về VPNs
Xử lý sự cố trong mạng riêng ảo, bạn phải xử lý sự cố trong kết nối IP, các kết nối truy cập từ xa, và định tuyến.