Функция Сервер ViPNet-FirewallКоординатор будет выполнять функции сервера ViPNet-Firewall, если в ЦУСе он зарегистрирован в задаче Сервер IP-адресов. ViPNet-координатор может устанавливаться на рабочей станции с одним сетевым адаптером или маршрутизаторе с несколькими сетевыми адаптерами, разделяющими сети друг от друга. ViPNet-координатор, установленный на границе сетей, выполняет функции NAT для VPN-соединений между узлами ViPNet в сторону каждой из сетей. То есть все IP-пакеты, упакованные в UDP-формат и проходящие через ViPNet-координатор, передаются в сеть от имени адреса соответствующего интерфейса координатора. Трафик узлов, работающих через координатор, предназначенный для других узлов: находящихся со стороны других сетевых интерфейсов координатора, или не работающих через этот координатор, и недоступных по широковещательным пакетам, автоматически маршрутизируется на адрес своего координатора (производится подмена IP и MAC-адреса), который, выполнив подмену адресов, направляет эти пакеты дальше от имени своего адреса. Аналогичным образом трафик следует и в обратную сторону. Одновременно ViPNet-координатор осуществляет фильтрацию открытых пакетов на каждом сетевом интерфейсе (функции межсетевого экрана) в соответствии с заданными настройками по адресам, протоколам и портам, но преобразования адресов для таких пакетов не производится. В ряде случаев на границе локальной сети может быть уже установлен другой Firewall, выполняющий функции NAT, и в соответствии с политикой безопасности организации, или просто, если нет возможности получить дополнительные внешние адреса, любой трафик во внешние сети должен проходить именно через этот Firewall. В таком случае на координаторе для одного из интерфейсов настраивается работа через этот Firewall. Другие узлы ViPNet автоматически (если в ЦУСе не указано иное) будут работать через этот координатор. В этом случае пакеты от всех узлов будут попадать на внешний Firewall через координатор и от имени его адреса. ViPNet-координатор может также работать через другой ViPNet-координатор. Все объекты ViPNet, работающие через ViPNet-координатор или другой Firewall, могут быть видны с защищенных компьютеров под виртуальными адресами, вырабатываемыми непосредственно на этих компьютерах. Программы ViPNet при взаимодействии с компьютерами, по умолчанию используют виртуальные адреса, если состояние этих компьютеров определилось, как " работающие через Firewall", и имеющие частные IP-адреса.
|
