FORS-ITIS Informatikai és Idegen Nyelvi Oktatási Központ
2017. Szept. 26.
Főoldal
Cégismertető
Tanfolyamok
Tudástár
Elérhetőségek
Vendégkönyv
Fórum


Tűzfal beállítása VPN-kiszolgálókhoz


Vissza a Tudástár oldalra

A tűzfal használata VPN-kiszolgálóval kétféleképpen történhet:

• A VPN-kiszolgáló csatlakozik az internetre, a tűzfal a VPN-kiszolgáló és az intranet között van.
• A tűzfal csatlakozik az internetre, a VPN-kiszolgáló a tűzfal és az intranet között van.

VPN-kiszolgáló a tűzfal előtt

Amikor a tűzfal előtt lévő VPN-kiszolgáló csatlakozik az internetre, olyan csomagszűrőket kell hozzáadni az internetes hálózati kártyához, amelyek csak VPN-forgalmat engedélyeznek az internetes hálózati kártya IP-címén keresztül.

Bejövő forgalom esetén, amikor a VPN-kiszolgáló visszafejti a bújtatott adatokat, az adatok a tűzfalnak továbbítódnak. A tűzfal szűrői segítségével teszi lehetővé, hogy a forgalom eljusson az intranetes erőforrásokhoz. Mivel ebben az esetben csak hitelesített VPN-ügyfelek által létrehozott forgalom megy keresztül a VPN-kiszolgálón, a tűzfal szűrésével megakadályozható, hogy a VPN-felhasználók meghatározott intranet erőforrásokhoz hozzáférjenek. Mivel az intraneten engedélyezett egyedüli internetforgalomnak át kell haladnia a VPN-kiszolgálón, ez a megoldás azt is megakadályozza, hogy meg lehessen osztani az FTP (File Transfer Protocol) vagy webes intranet-erőforrásokat a nem VPN hálózaton kívüli internetfelhasználókkal.

Az alábbi ábra a tűzfal előtt lévő VPN-kiszolgálót mutatja be.



A VPN-kiszolgálón lévő internetes hálózati kártyához állítsa be a következő ki- és bemeneti szűrőket az Útválasztás és távelérés szolgáltatás segítségével:

Csomagszűrők a PPTP (Point-to-Point Tunneling Protocol) protokollhoz

Állítsa be az alábbi bemeneti szűrőket A lenti feltételnek megfelelők kivételével összes csomag eldobása szűrőművelet megadásával:

• A VPN-kiszolgáló internetes hálózati kártyájának célként megadott IP-címe, alhálózati maszk: 255.255.255.255 és 1723-as TCP célport.
A szűrő engedélyezi a PPTP-bújtatásnak a PPTP-ügyfélről a PPTP-kiszolgáló felé irányuló üzemi forgalmát.
• A VPN-kiszolgáló internetes hálózati kártyájának célként megadott IP-címe, alhálózati maszk: 255.255.255.255 és 47-es IP protokollazonosító.
A szűrő engedélyezi a PPTP-ügyfélről a PPTP-kiszolgáló felé irányuló, PPTP-vel bújtatott adatok forgalmát.
• A VPN-kiszolgáló internetes hálózati kártyájának célként megadott IP-címe, alhálózati maszk: 255.255.255.255 és 1723-as TCP [létrehozott] forrásport.
Ez a szűrő csak akkor szükséges, ha a VPN-kiszolgáló VPN-ügyfélként (hívó útválasztóként) szerepel a két útválasztó közötti VPN-kapcsolatban. A TCP [létrehozott] forgalom csak akkor fogadható el, ha a VPN-kiszolgáló kezdeményezte a TCP-kapcsolatot.

Állítsa be az alábbi kimeneti szűrőket A lenti feltételnek megfelelők kivételével összes csomag eldobása szűrőművelet megadásával:

• A VPN-kiszolgáló internetes hálózati kártyájának forrás IP-címe, alhálózati maszk: 255.255.255.255 és 1723-as TCP forrásport.
A szűrő engedélyezi a PPTP-bújtatásnak a VPN-kiszolgálóról a VPN-ügyfél felé irányuló üzemi forgalmát.
• A VPN-kiszolgáló internetes hálózati kártyájának forrás IP-címe, alhálózati maszk: 255.255.255.255 és 47-es IP protokollazonosító.
A szűrő engedélyezi a VPN-kiszolgálóról a VPN-ügyfél felé irányuló, PPTP-vel bújtatott adatok forgalmát.
• A VPN-kiszolgáló internetes hálózati kártyájának forrás IP-címe, alhálózati maszk: 255.255.255.255 és 1723-as TCP célport.
Ez a szűrő csak akkor szükséges, ha a VPN-kiszolgáló VPN-ügyfélként (hívó útválasztóként) szerepel a két útválasztó közötti VPN-kapcsolatban. A TCP [létrehozott] forgalom csak akkor kerül elküldésre, ha a VPN-kiszolgáló kezdeményezte a TCP-kapcsolatot.

Csomagszűrők az L2TP/IPSec protokollhoz

Állítsa be az alábbi bemeneti szűrőket A lenti feltételnek megfelelők kivételével összes csomag eldobása szűrőművelet megadásával:

• A VPN-kiszolgáló internetes hálózati kártyájának célként megadott IP-címe, alhálózati maszk: 255.255.255.255 és 500-as UDP célport.
Ez a szűrő engedélyezi az internetes kulcscsere (IKE) forgalmat a VPN-kiszolgálóhoz.
• A VPN-kiszolgáló internetes hálózati kártyájának célként megadott IP-címe, alhálózati maszk: 255.255.255.255 és 1701-es UDP célport.
Ez a szűrő engedélyezi VPN-ügyfélről a VPN-kiszolgáló felé irányuló L2TP forgalmat.
• A VPN-kiszolgáló internetes hálózati kártyájának célként megadott IP-címe, alhálózati maszk: 255.255.255.255 és 4500-as UDP célport.

Ez a szűrő engedélyezi a hálózati címfordításon alapuló bejárást (NAT-T).

Állítsa be az alábbi kimeneti szűrőket A lenti feltételnek megfelelők kivételével összes csomag eldobása szűrőművelet megadásával:

• A VPN-kiszolgáló internetes hálózati kártyájának forrás IP-címe, alhálózati maszk: 255.255.255.255 és 500-as UDP forrásport.
A szűrő engedélyezi a VPN-kiszolgálóról induló IKE-forgalmat.
• A VPN-kiszolgáló internetes hálózati kártyájának forrás IP-címe, alhálózati maszk: 255.255.255.255 és 1701-es UDP forrásport.
Ez a szűrő engedélyezi a VPN-kiszolgálóról a VPN-ügyfél felé irányuló L2TP forgalmat.
• A VPN-kiszolgáló internetes hálózati kártyájának forrás IP-címe, alhálózati maszk: 255.255.255.255 és 4500-as UDP forrásport.
Ez a szűrő engedélyezi a hálózati címfordításon alapuló bejárást (NAT-T).

Nincs szükség szűrőkre az 50-es IP-azonosítójú ESP-forgalom esetén. Az IPSec-összetevők eltávolítják az ESP-fejlécet, mielőtt az L2TP-csomagot átadnák az Útválasztás és távelérés szolgáltatásnak.

Tűzfal mögött lévő VPN-kiszolgáló

Általánosabb az a konfiguráció, amikor a tűzfal csatlakozik az internetre, és a VPN-kiszolgáló egy intranet erőforrás, ami csatlakozik a peremhálózathoz. A VPN-kiszolgáló mind a peremhálózattal, mind az intranettel kapcsolatban van. Ebben az esetben a tűzfalat úgy kell beállítani az internetes hálózati kártyán lévő be- és kimeneti szűrőkkel, hogy lehetővé tegye az alagút karbantartásához szükséges forgalom és a bújtatott adat számára a VPN-kiszolgálóhoz való eljutást. Különleges szűrők elérhetővé tudják tenni a forgalom számára a web-, FTP- és más peremhálózati kiszolgálókat. A különleges biztonsági szint elérése érdekében a VPN-kiszolgálót be lehet állítani PPTP- vagy L2TP/IPSec-csomagszűrőkkel is a peremhálózati összeköttetésen.

Mivel a tűzfal nem rendelkezik minden egyes VPN-kapcsolat titkosító kulcsával, ezért a bújtatott adatnak csak az egyszerű szöveges fejlécét képes szűrni. Vagyis minden bújtatott adat áthalad a tűzfalon. Ez nem biztonságos, azonban a VPN-kapcsolat olyan hitelesítési folyamatot kíván meg, amely megakadályozza a VPN-kiszolgálóhoz való engedély nélküli hozzáférést.

Az alábbi ábra a tűzfal mögött lévő peremhálózati VPN-kiszolgálót mutatja be.



A tűzfal konfigurációs szoftverének segítségével állítsa be az alábbi be- és kimeneti szűrőket a tűzfalon lévő internetes és a peremhálózatos összeköttetésekre is.

Csomagszűrők a PPTP protokollhoz

Külön bemeneti és kimeneti csomagszűrőket lehet beállítani az internetes és a peremhálózatos összeköttetéseken.

Szűrők az internetes összeköttetésen

A megadott típusú forgalom engedélyezéséhez konfigurálja a következő bemeneti csomagszűrőket a tűzfal internetes összeköttetésén:

• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 1723-as (0x6BB) TCP-célport.
A szűrő engedélyezi a PPTP-bújtatásnak a PPTP-ügyfélről a PPTP-kiszolgáló felé irányuló üzemi forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és a 47-es (0x2F) IP-protokollazonosító.
A szűrő engedélyezi a PPTP-ügyfélről a PPTP-kiszolgáló felé irányuló, PPTP-vel bújtatott adatok forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 1723-as (0x6BB) TCP-forrásport.
Ez a szűrő csak akkor szükséges, ha a VPN-kiszolgáló VPN-ügyfélként (hívó útválasztóként) szerepel a két útválasztó közötti VPN-kapcsolatban. Ez a szűrő csak a VPN-kiszolgáló a tűzfal előtt című fejezetben ismertetett PPTP csomagszűrőkkel együtt használható, és a VPN-kiszolgáló peremhálózati összeköttetésén kell beállítani. Azáltal, hogy minden forgalmat engedélyez a VPN-kiszolgáló felé az 1723-as portról, megvan a lehetősége a portot használó internetes források hálózati támadásának.

A megadott típusú forgalom engedélyezéséhez konfigurálja a következő kimeneti csomagszűrőket a tűzfal internetes összeköttetésén:

• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 1723-as (0x6BB) TCP-forrásport.
A szűrő engedélyezi a PPTP-bújtatásnak a VPN-kiszolgálóról a VPN-ügyfél felé irányuló üzemi forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és a 47-es (0x2F) IP-protokollazonosító.
A szűrő engedélyezi a VPN-kiszolgálóról a VPN-ügyfél felé irányuló, PPTP-vel bújtatott adatok forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 1723-as (0x6BB) TCP-célport.
Ez a szűrő csak akkor szükséges, ha a VPN-kiszolgáló VPN-ügyfélként (hívó útválasztóként) szerepel a két útválasztó közötti VPN-kapcsolatban. Ez a szűrő csak a VPN-kiszolgáló a tűzfal előtt című fejezetben ismertetett PPTP csomagszűrőkkel együtt használható, és a VPN-kiszolgáló peremhálózati összeköttetésén kell beállítani. Azáltal, hogy minden forgalmat engedélyez a VPN-kiszolgálótól az 1723-as port felé, megvan a lehetősége a portot használó internetes források hálózati támadásának.

Szűrők a peremhálózati összeköttetésen

A megadott forgalomtípusok engedélyezéséhez konfigurálja a következő bemeneti csomagszűrőket a tűzfal peremhálózati összeköttetésén:

• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 1723-as (0x6BB) TCP-forrásport.
A szűrő engedélyezi a PPTP-bújtatásnak a VPN-kiszolgálóról a VPN-ügyfél felé irányuló üzemi forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és a 47-es (0x2F) IP-protokollazonosító.
A szűrő engedélyezi a VPN-kiszolgálóról a VPN-ügyfél felé irányuló, PPTP-vel bújtatott adatok forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 1723-as (0x6BB) TCP-célport.
Ez a szűrő csak akkor szükséges, ha a VPN-kiszolgáló VPN-ügyfélként (hívó útválasztóként) szerepel a két útválasztó közötti VPN-kapcsolatban. Ez a szűrő csak a VPN-kiszolgáló a tűzfal előtt című fejezetben ismertetett PPTP csomagszűrőkkel együtt használható, és a VPN-kiszolgáló peremhálózati összeköttetésén kell beállítani. Azáltal, hogy minden forgalmat engedélyez a VPN-kiszolgálótól az 1723-as port felé, megvan a lehetősége a portot használó internetes források hálózati támadásának.

A megadott forgalomtípusok engedélyezéséhez konfigurálja a következő kimeneti csomagszűrőket a tűzfal peremhálózati összeköttetésén:
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 1723-as (0x6BB) TCP-célport.
A szűrő engedélyezi a PPTP-bújtatásnak a PPTP-ügyfélről a PPTP-kiszolgáló felé irányuló üzemi forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és a 47-es (0x2F) IP-protokollazonosító.
A szűrő engedélyezi a PPTP-ügyfélről a PPTP-kiszolgáló felé irányuló, PPTP-vel bújtatott adatok forgalmát.
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 1723-as (0x6BB) TCP-forrásport.
Ez a szűrő csak akkor szükséges, ha a VPN-kiszolgáló VPN-ügyfélként (hívó útválasztóként) szerepel a két útválasztó közötti VPN-kapcsolatban. Ez a szűrő csak a VPN-kiszolgáló a tűzfal előtt című fejezetben ismertetett PPTP csomagszűrőkkel együtt használható, és a VPN-kiszolgáló peremhálózati összeköttetésén kell beállítani. Azáltal, hogy minden forgalmat engedélyez a VPN-kiszolgáló felé az 1723-as porttól, megvan a lehetősége a portot használó internetes források hálózati támadásának. Csomagszűrők az L2TP/IPSec protokollhoz

Külön bemeneti és kimeneti csomagszűrőket lehet beállítani az internetes és a peremhálózatos összeköttetéseken.

Szűrők az internetes összeköttetésen

A megadott típusú forgalom engedélyezéséhez konfigurálja a következő bemeneti csomagszűrőket a tűzfal internetes összeköttetésén:

• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 500-as (0x1F4) UDP-célport.
A szűrő engedélyezi a VPN-kiszolgáló felé irányuló IKE-forgalmat.
• A virtuális magánhálózati kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és a 4500-as (0x1194) UDP-célport.
Ez a szűrő engedélyezi a hálózati címfordításon alapuló bejárás IPSec-adatforgalmát a VPN-kiszolgáló felé.
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 50-es (0x32) IP-protokollazonosító.
A szűrő engedélyezi a VPN-ügyfélről a VPN-kiszolgáló felé irányuló IPSec ESP-forgalmat.

A megadott típusú forgalom engedélyezéséhez konfigurálja a következő kimeneti csomagszűrőket a tűzfal internetes összeköttetésén:

• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 500-as (0x1F4) UDP-forrásport.
A szűrő engedélyezi a VPN-kiszolgálóról induló IKE-forgalmat.
• A virtuális magánhálózati kiszolgáló peremhálózati összeköttetésének forrásként megadott IP-címe és a 4500-as UDP-forrásport.
Ez a szűrő engedélyezi a hálózati címfordításon alapuló bejárás IPSec-adatforgalmát a VPN-kiszolgáló felől.
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 50-es (0x32) IP-protokollazonosító.
A szűrő engedélyezi a VPN-kiszolgálóról a VPN-ügyfél felé irányuló IPSec ESP-forgalmat.
Az 1701-es UDP porton nem szükséges szűrő az L2TP-forgalomhoz. A tűzfalnál minden L2TP-forgalom - beleértve az alagút karbantartásához szükséges forgalmat és a bújtatott adatot - IPSec ESP adatként van titkosítva.

Szűrők a peremhálózati összeköttetésen

A megadott forgalomtípusok engedélyezéséhez konfigurálja a következő bemeneti csomagszűrőket a tűzfal peremhálózati összeköttetésén:
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 500-as (0x1F4) UDP-forrásport.
A szűrő engedélyezi a VPN-kiszolgálóról induló IKE-forgalmat.
• A virtuális magánhálózati kiszolgáló peremhálózati összeköttetésének forrásként megadott IP-címe és a 4500-as UDP-forrásport.
Ez a szűrő engedélyezi a hálózati címfordításon alapuló bejárás IPSec-adatforgalmát a VPN-kiszolgáló felől.
• A VPN-kiszolgáló peremhálózati összeköttetésének forrás IP-címe és az 50-es (0x32) IP-protokollazonosító.
A szűrő engedélyezi a VPN-kiszolgálóról a VPN-ügyfél felé irányuló IPSec ESP-forgalmat.

A megadott forgalomtípusok engedélyezéséhez konfigurálja a következő kimeneti csomagszűrőket a tűzfal peremhálózati összeköttetésén:

• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 500-as (0x1F4) UDP-célport.
A szűrő engedélyezi a VPN-kiszolgáló felé irányuló IKE-forgalmat.
• A virtuális magánhálózati kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és a 4500-as (0x1194) UDP-célport.
Ez a szűrő engedélyezi a hálózati címfordításon alapuló bejárás IPSec-adatforgalmát a VPN-kiszolgáló felé.
• A VPN-kiszolgáló peremhálózati összeköttetésének célként megadott IP-címe és az 50-es (0x32) IP-protokollazonosító.
A szűrő engedélyezi a VPN-ügyfélről a VPN-kiszolgáló felé irányuló IPSec ESP-forgalmat.
Az 1701-es UDP porton nem szükséges szűrő az L2TP-forgalomhoz. A tűzfalnál minden L2TP-forgalom – beleértve az alagút karbantartásához szükséges forgalmat és a bújtatott adatokat – IPSec ESP-terhelésként van titkosítva.



Vissza a Tudástár oldalra



Induló tanfolyamok
» Windows Server 2012
» Windows Server 2016
» Exchange Server 2016
» SQL Server 2016
» Windows 10
» Cisco CCNA, CCNP
» Linux LPI
» HTML5, ASP .NET



Kedvencek közé!
.
Bejelentkezés:

Név:

Jelszó:

.
.
.
Ön szerint:
Melyik a legkeresettebb?
MCSA
CCNA
MCP
Valami más
A szavazás állása