Интернетмагазин

Обеспечение удаленного доступа к сети 
 
207
В этом сценарии NAC отвечает не только за проверку текущего состояния 
работоспособности удаленного устройства, но и за выполнение сегментации 
на уровне программного обеспечения, позволяя исходному устройству обме-
ниваться данными только с предварительно определенными ресурсами, рас-
положенными локально. Это добавляет дополнительный уровень сегментации 
и безопасности. Хотя данная схема не включает в себя брандмауэр, некоторые 
компании могут выбрать изоляцию всех пользователей удаленного доступа 
в одной конкретной виртуальной локальной сети и установить межсетевой 
экран между этим сегментом и корпоративной сетью для контроля трафика, 
поступающего от удаленных пользователей. Обычно это используется, когда 
вы хотите ограничить тип доступа, который получат пользователи при удален-
ном доступе к системе.

Мы предполагаем, что часть аутентификации при этом обмене данными уже была вы-
полнена и что для пользователей удаленного доступа одним из предпочтительных ме-
тодов является использование протокола 802.1X или нечто совместимое.
Также важно иметь изолированную сеть, чтобы держать в карантине 
компью теры, которые не отвечают минимальным требованиям для доступа 
к сетевым ресурсам. В этой карантинной сети должны иметься службы, отве-
чающие за исправления, которые будут сканировать компьютер и применять 
соответствующее исправление, чтобы позволить ему получить доступ к кор-
поративной сети.
VPN типа «сеть–сеть»
Один из распространенных сценариев для организаций, имеющих удаленные 
местоположения, состоит в том, чтобы иметь безопасный частный канал об-
мена данными между основной сетью корпорации и удаленной сетью. Обычно 
это делается через VPN типа «сеть–сеть». При планировании сегментации сети 
вы должны подумать об этом сценарии и о том, как это подключение повлияет 
на вашу сеть.
Приведенная ниже диаграмма показывает пример этого подключения 
(рис. 10.9).
В схеме сети, показанной на предыдущей диаграмме, у каждого филиала 
есть набор правил в брандмауэре. Это означает, что когда соединение будет 
установлено, у удаленного филиала не будет доступа к основной сети всего го-
ловного офиса, а только к некоторым сегментам. При планировании VPN типа
«сеть–сеть» убедитесь, что вы используете принцип «нужно знать» и разре-
шаете доступ только к тому, что действительно необходимо. Если 

Download 18,66 Mb.

Do'stlaringiz bilan baham: