Главная страница
Навигация по странице:

  • Вопрос 1. Корпоративные сети: основные понятия.

  • Архитектура «клиент-сервер».

  • Уровни архитектуры «клиент-сервер».

  • Вопрос 2. Роль Интернет в корпоративных сетях.

  • Локальные сети и сеть Интернет.

  • Технический аспект построения сети.

  • Вопрос 3. Сети Интранет.

  • Основные принципы Интранет.

  • Основные преимущества Интранет.

  • Вопрос 4. Виртуальные защищенные сети VPN.

  • Концепция построения виртуальных защищенных сетей VPN.

  • Основные варианты архитектуры VPN.

  • VPN с удаленным доступом.

  • Внутрикорпоративная сеть VPN

  • Межкорпоративная сеть VPN

  • Вопросы для самопроверки

  • исит7. Литература по теме Тема Управление корпорацией


    Скачать 3.64 Mb.
    НазваниеЛитература по теме Тема Управление корпорацией
    Анкорисит7
    Дата02.03.2022
    Размер3.64 Mb.
    Формат файлаpdf
    Имя файлаsg.pdf
    ТипЛитература
    #380803
    страница6 из 9
    1   2   3   4   5   6   7   8   9
    Тема 6. Корпоративные компьютерные сети
    Цели и задачи изучения данной темы – получение общетеоретических знаний о назначении и структуре компьютерных сетей, используемых для организации корпоративных информационных систем.
    Вопросы темы:
    1. Корпоративные сети: основные понятия.
    2. Роль Интернет в корпоративных сетях.
    3. Сети Интранет.
    4. Виртуальные защищенные сети VPN.
    Вопрос 1. Корпоративные сети: основные понятия.
    Существование любой корпоративной информационной системы немыслимо без сетевых каналов коммуникации. Корпоративная сеть, именуемая также сетью масштаба предприятия, предназначена для автоматизации всех работ, выполняемых предприятием.
    Корпоративная сеть – это сложная система, включающая тысячи разнообразных компонентов: компьютеры, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему.
    В основе корпоративных сетей лежит абонентская модель сетевой системы с архитектурой «клиент-сервер». Абонентская модель состоит из
    N-го числа абонентских компьютерных систем, объединённых коммуникационной сетью передачи данных (рис. 29).

    91
    Рис. 29. Пространственная структура корпоративной сети
    Основная задача системных интеграторов и администраторов состоит в том, чтобы система:
     как можно лучше справлялась с обработкой потоков информации, циркулирующих между сотрудниками предприятия;
     позволяла принимать им своевременные и рациональные решения, обеспечивающие выживание предприятия в жесткой конкурентной борьбе.
    Содержание корпоративной информации, интенсивность ее потоков и способы ее обработки постоянно меняются. В настоящее время глобальная сеть Интернет доступна практически всем предприятиям, что существенно облегчает задачу построения территориальной корпоративной сети, одновременно выдвинув на первый план задачу защиты корпоративных данных при передаче их через общедоступную публичную сеть с многомиллионным «населением».

    92
    Корпоративную сеть полезно рассматривать как сложную систему, состоящую из нескольких взаимодействующих слоев. В основании пирамиды, представляющей корпоративную сеть, лежит слой компьютеров – центров хранения и обработки информации, и транспортная подсистема, обеспечивающая надежную передачу информационных пакетов между компьютерами (рис. 30).
    Рис. 30. Представление структуры корпоративной сети в виде
    пирамиды
    Над транспортной системой работает слой сетевых операционных систем, который организует работу приложений в компьютерах и предоставляет через транспортную систему ресурсы своего компьютера в общее пользование.
    Над операционной системой работают различные приложения, причем особая роль при надлежит системе управления базами данных, хранящих в упорядоченном виде основную корпоративную информацию и производящих над ней базовые операции поиска.

    93
    На следующем уровне работают системные сервисы, которые, пользуясь СУБД, как инструментом для поиска нужной информации, хранимой на дисках, предоставляют конечным пользователям эту информацию в удобной для принятия решения форме, а также выполняют некоторые общие для предприятий всех типов процедуры обработки информации.
    К этим сервисам относится служба WWW, система электронной почты, системы коллективной работы и многие другие.
    И, наконец, верхний уровень корпоративной сети представляют специальные программные системы, которые выполняют задачи, специфические для данного предприятия или предприятий данного типа.
    Примерами таких систем могут служить системы автоматизации банка, организации бухгалтерского учета, автоматизированного проектирования, управления технологическими процессами и т.п.
    Конечная цель корпоративной сети воплощена в прикладных программах верхнего уровня. Для их успешной работы необходимо, чтобы подсистемы других слоев четко выполняли свои функции.
    Архитектура «клиент-сервер».
    В такой архитектуре определено два типа абонентских систем: серверы и клиенты. Каждый из них является комплексом взаимосвязанных прикладных программ. Серверы предоставляют ресурсы, необходимые абонентам. К ним, в первую очередь, относятся
    Базы Данных (БД), файлы, память. Клиенты используют эти ресурсы и предоставляют удобные интерфейсы для пользователей.
    В корпоративных интрасетях обычно используются серверы следующих типов (рис. 31):
     серверы баз данных (data base servers);
     серверы приложений (application servers);
     серверы печати (print servers);
     Web-серверы (WEB servers).
    Первые обслуживают (с помощью СУБД) базы данных функциональных подразделений предприятия и входят в состав оперативных систем обработки транзакций (OLTP). На вторых можно размещать корпоративные прикладные системы (приложения), например,
    ERP, BPM и др. Третьи содержат ПО, поддерживающее сетевой принтер и обслуживающее запросы клиентов на печать документации. Четвертые поддерживают корпоративную интранет-сеть, базирующуюся на Web- технологиях Интернета.

    94
    Рис. 31. Абоненты архитектуры «клиент-сервер»
    В объединениях локальных сетей, образующих инфраструктуру крупных КИС, используются иерархии серверов, включающие центральные и локальные серверы (рис. 32). При этом каждый клиентский ПК («рабочая станция») использует как «свой» локальный, так и центральный серверы.

    95
    Рис. 32. Концепция многоступенчатых серверов
    Уровни архитектуры «клиент-сервер».
    В зависимости от сложности выполняемых прикладных процессов и числа работающих клиентов различают двух-, трехуровневые и многоуровневые клиент-серверные архитектуры.
    Двухуровневая локальная сеть клиент-серверной архитектуры
    (использующая для обмена данными коммуникационную систему с шинной топологией) показана на рис. 33.
    Это наиболее простая клиент-серверная архитектура. Здесь, клиенты выполняют простые операции обработки данных, отрабатывают интерфейс взаимодействия с сервером, обращаются к нему с запросами.
    Большую же часть задач обработки выполняет сервер. Для этих целей он имеет базу данных. В случае сетевой многопользовательской работы все клиенты используют общую библиотеку, размещаемую на файловом сервере.

    96
    Рис. 33. Локальная сеть с двухуровневой архитектурой «клиент-сервер»
    Трехуровневая клиент-серверная архитектура (рис. 34) позволяет помещать прикладные программы на отдельные серверы приложений, с которыми через API-интерфейс (Application Program Interface) устанавливается связь клиентских компьютеров.
    Рис. 34. Локальная сеть КИС с трёхуровневой архитектурой «клиент-
    сервер»

    97
    Работа клиентской части приложения сводится к вызову необходимых функций сервера приложения, которые называются
    «сервисами». Прикладные программы в свою очередь обращаются к серверу базы данных с помощью SQL запросов. Такая организация позволяет еще более повысить производительность и эффективность
    КИС за счет:
     многократности повторного использования общих функций обработки данных в множестве клиентских приложений при существенной экономии системных ресурсов;
     параллельности в работе сервера приложений и сервера базы данных, причем сервер приложений может быть менее мощным по сравнению с сервером базы данных;
     оптимизации доступа к базе данных через сервер приложений из клиентских мест путем диспетчеризации выполнения запросов в вычислительной сети;
     повышения скорости и надежности обработки данных в результате дублирования программного обеспечения на нескольких серверах приложений, которые могут заменять друг друга в сети в случае перегрузки или выхода из строя одного из них;
     переноса функций администрирования системы по проверке полномочий доступа пользователей с сервера базы данных на сервер приложений.
    Многоуровневая архитектура «клиент-сервер» создается для территориально-распределенных КИС. Для нее в общем случае характерны отношения «многие ко многим» между клиентскими компьютерами и серверами приложений, между серверами приложений и серверами баз данных. Такая организация позволяет более рационально организовать информационные потоки между структурными подразделениями в процессе выполнения общих деловых процессов.
    Так, каждый сервер приложений, как правило, обслуживает потребности какой-либо одной функциональной подсистемы КИС и размещается в соответствующем функциональном подразделении предприятия. Например, сервер приложения по управлению сбытом – в отделе сбыта, сервер приложения по управлению снабжением – в отделе закупок и т.д. Естественно, что локальная сеть каждого из подразделений обеспечивает более быструю реакцию на запросы основного контингента пользователей из соответствующего подразделения.

    98
    Интегрированная база данных находится на отдельном сервере, на котором обеспечиваются централизованное ведение и администрирование общих данных для всех приложений.
    Корпоративная сеть как правило, является территориально распределенной, т.е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Часто узлы корпоративной сети оказываются расположенными в различных городах, а иногда и странах.
    Принципы, по которым строится такая сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети, даже охватывающей несколько зданий.
    Если при создании локальной сети основные затраты приходятся на закупку оборудования и прокладку кабеля, то в территориально- распределенных сетях наиболее существенным элементом стоимости оказывается арендная плата за использование каналов, которая быстро растет с увеличением качества и скорости передачи данных.
    В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Основными задачами корпоративной сети оказываются взаимодействие системных приложений, расположенных в различных узлах, и доступ к ним удаленных пользователей.
    Первая проблема, которую приходится решать при создании корпоративной сети – организация каналов связи. Если в пределах одного города можно рассчитывать на аренду выделенных линий, в том числе высокоскоростных, то при переходе к географически удаленным узлам стоимость аренды каналов становится весьма высокой, а качество и надежность их часто оказываются весьма невысокими.
    Естественным решением этой проблемы является использование уже существующих глобальных сетей. В этом случае достаточно обеспечить каналы от офисов до ближайших узлов сети. Задачу доставки информации между узлами глобальная сеть при этом возьмет на себя.
    Даже при создании небольшой сети в пределах одного города следует иметь в виду возможность дальнейшего расширения и использовать технологии, совместимые с существующими глобальными сетями. Часто первой, а то и единственной такой сетью, оказывается сеть
    Интернет.

    99
    Вопрос 2. Роль Интернет в корпоративных сетях.
    При использовании Интернет в качестве основы для корпоративной сети передачи данных выясняется очень интересная вещь. Оказывается, сеть Интернет сетью-то как раз и не является. Это именно Интернет (англ.
    Internet) - междусетие.
    Если заглянуть внутрь сети Интернет, мы увидим, что информация проходит через множество абсолютно независимых узлов, связанных через самые разнородные каналы и сети передачи данных. Бурный рост услуг, предоставляемых Интернет, приводит к перегрузке узлов и каналов связи, что резко снижает скорость и надежность передачи информации.
    При этом поставщики услуг Интернет не несут никакой ответственности за функционирование сети в целом, а каналы связи развиваются крайне неравномерно и в основном там, где государство считает нужным вкладывать в это средства. Кроме того, Интернет привязывает пользователей к одному протоколу IP (Internet Protocol).
    Еще одна проблема Интернет – безопасность. Непредсказуемость путей информации между множеством независимых узлов Интернет не только повышает риск того, что какой-либо не в меру любопытный оператор сети может сложить ваши данные себе на диск, но и делает невозможным определение места утечки информации.
    Другой аспект проблемы безопасности связан с децентрализованностью Интернет - нет никого, кто мог бы ограничить доступ к ресурсам вашей частной сети. Поскольку это открытая система, где все видят всех, то любой желающий может попробовать попасть в вашу офисную сеть и получить доступ к данным или программам.
    Локальные сети и сеть Интернет.
    Интернет является совершенно доступной общемировой глобальной сетью. Прежде, чем появилась Интернет, существовало множество локальных компьютерных сетей, установленных внутри крупных предприятий, организаций и фирм, создающих информационное поле внутри организации.
    Успех коммерческой деятельности фирмы зависит от правильного построения системы обмена внутренней информацией, в которую входят:
     автоматизированные рабочие места менеджеров, бухгалтеров, плановиков, администраторов, инженеров и других категорий работников;
     базы данных и базы знаний;
     центры справочной, аналитической информации;
     электронная почта, электронный обмен данными и т. д.

    100
    Структура любой внутрифирменной компьютерной сети основывается на структуре самой фирмы, поэтому наследует принципы распределения информационных ресурсов, горизонтального разделения труда (на основе создания подразделений), а также вертикального разделения труда.
    Основной функцией любой локальной сети является распределение информации между конкретными работниками, так, чтобы выполнялись два условия:
    1. Любая информация должна быть защищена от несанкционированного ее использования. То есть каждый сотрудник должен работать только с той информацией, на которую у него есть права, независимо от того, на каком компьютере он вошел в сеть.
    2. Работая в одной сети и используя одни и те же технические средства передачи данных, клиенты сети не должны мешать друг другу.
    Существует такое понятие, как загрузка сети: Сеть должна быть построена таким образом, чтобы не давать сбоев и работать достаточно быстро при любом количестве клиентов и обращений.
    У любой сети должен быть администратор. Это человек (или группа лиц), которые настраивают ее и обеспечивают бесперебойную работу.
    В задачи администраторов входит:
     распределение информации по рабочим группам и между конкретными клиентами;
     создание и поддержка общего банка данных;
     защита сети от несанкционированного проникновения, а информации – от порчи и т.д.
    Технический аспект построения сети.
    Для организации локальной компьютерной сети необходим целый комплекс организационных, технических и программных средств.
    1. Интерфейсная плата в компьютерах пользователей. Это устройство для присоединения компьютера к общему кабелю локальной сети.
    2. Прокладка кабеля. С помощью специальных кабелей организовывается физическая связь между устройствами локальной сети.
    3. Протоколы локальной сети, которые обеспечивают транспортировку данных между устройствами, подключенными к сети.
    4. Сетевая операционная система. Это программа, которая устанавливается на файл-сервере и служит для обеспечения интерфейса между пользователями и данными на сервере.
    5. Файл-сервер. Он служит для хранения и размещения программ и файлов данных, которые используются для коллективного доступа пользователей.

    101 6. Сетевая печать. Она позволяет многим пользователям локальной сети совместно использовать одно или несколько печатающих устройств.
    7. Защита локальной сети - представляет собой набор методов, применяемых для защиты данных от повреждений со стороны несанкционированного доступа или какой-либо случайности.
    8. Мосты, шлюзы и маршрутизаторы. Они позволяют соединять сети между собой.
    9. Управление локальной сетью. Это все, что относится к перечисленным ранее задачам администратора.
    Все перечисленные средства необходимы и для реализации корпоративных компьютерных сетей. При этом появилась необходимость внедрения новых систем, которые выполняли бы функции как общемировой, так и локальной сети организации. Причем желательно, чтобы стоимость таких систем была минимальной.
    Решение было найдено: если практически каждая организация уже подключена к Интернет, если у нее уже есть своя локальная сеть, то почему бы не объединить эти две вещи воедино? Проблема лишь заключается в том, чтобы обеспечить секретность внутренней информации, поскольку Интернет – система, открытая всем и каждому.
    Новая система получила название Интранет (Intranet).
    Вопрос 3. Сети Интранет.
    Современные корпоративные сети объединяют службы, первоначально разработанные для глобальной сетевой среды Интернет.
    Такие корпоративные сети называются интрасетями.
    Интранет, или интрасеть – это, как следует из названия, внутренняя сеть для сотрудников, работающая по тем же принципам, что и интернет, закрытая для посторонних пользователей.
    Интернет и Интранет являются не только близкими по звучанию названиями сетей, но они также имеют одинаковый способ построения, в них может использоваться одинаковое программное обеспечение для доступа к информации и управления сетью. Технология Интранет используется для построения информационной структуры организации по образу и подобию Интернет, с Web-cервисом в качестве концептуальной основы (рис. 35).

    102
    Рис. 35. Информационная структура организации по принципу
    Интранет
    Интранет представляет собой информационную среду, основанную на Web-интерфейсе, пользователями которой являются сотрудники компании.
    В принципе, Интранет можно рассматривать как целостную информационную инфраструктуру компании, включающую средства организации документооборота.
    Полнофункциональную интрасеть определяют восемь ключевых служб включающих:
     работу с файлами;
     печать;
     работу с каталогами;
     эффективную защиту;
     систему обмена сообщениями;
     возможность внесения и просмотра WEB-публикаций;
     организацию глобальных сетей и управления ими.
    Основные принципы Интранет.
    Интранет – это внутренняя информационная система, основанная на технологии Интернет, сервисах Web, TCP/IP и HTTP протоколах связи, и HTML-страницах.
    Интранет – технология, которая позволяет организации определять себя в целом как объект, группу, где каждый знает свою роль, и работа каждого направлена на усовершенствование организации.

    103
    Основные преимущества Интранет.
     не требуется приобретать новое программное обеспечение. Одни и те же программы могут быть использованы и для работы в Интернете, и в Интранете;
     не требуется использовать специальное программное обеспечение для сопряжения в одной сети компьютеров с различными платформами и операционными системами - технологии Интернет являются платформо-независимыми;
     возможность иметь обратную связь – легко создавать статистику посещения web-сервера сотрудниками компании для получения новых версий документов;
     использовать в сети компании мультимедийные возможности компьютера;
     обеспечить доступ сотрудников к закрытой информации компании через Интернет;
     автоматизировать обновление служебной документации компании, путем ее опубликования на внутреннем web-сервере интрасети.
    Все задания, цели, процессы, связи, взаимодействия, инфраструктура, проекты, графики, бюджеты и пр. интерактивно, в едином интерфейсе, связываются воедино. Причем каждый сотрудник может пользоваться необходимой информацией, и по мере своей компетенции, пополнять ее.
    Сотрудники, находящиеся, в командировке могут пользоваться, например, базами данных компании. Конечно, для этого они должны иметь пароль доступа в интрасеть.
    Архитектура Интранет.
    В организации сохраняется и локальная сеть, и выход в Интернет.
    Появляется лишь новый узел, называемый брандмауэром или Firewall
    (рис. 36).

    104
    Рис. 36. Архитектура сети Интранет

    105
    Брандмауэр или Firewall – это компьютер с установленным на нем специальным программным обеспечением, позволяющим:
     идентифицировать любого входящего пользователя с тем, чтобы разрешить или запретить ему доступ;
     распределять между пользователями права доступа;
     производить аудит и протоколирование вхождений, т. е. запись, когда и кто входил во внутреннюю сеть;
     использовать криптографию, т. е. шифрование секретной информации;
     применять экранирование, т. е. возможность односторонней передачи данных.
    Вся информация может быть просмотрена и отредактирована в любом месте, с любого компьютера, независимо от операционной системы или платформы, причем, нет никакой разницы, создается ли она в соседней комнате или на другом конце земного шара.
    Вопрос 4. Виртуальные защищенные сети VPN.
    Современная инфраструктура корпораций включает в себя географически распределенные подразделения самой корпорации, ее партнеров, клиентов и поставщиков. В связи с бурным развитием
    Интернет и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации.
    Пользователи получили дешевые и доступные каналы связи.
    Предприятия стремятся использовать такие каналы для передачи критичной коммерческой и управленческой информации.
    Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей активно применяются виртуальные защищенные сети – VPN
    (Virtual Private Network).
    Концепция построения виртуальных защищенных сетей VPN.
    В основе концепции построения виртуальных защищенных сетей
    VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, тогда между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети. Доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям.

    106
    Преимущества, получаемые компанией от cоздания таких виртуальных туннелей, заключаются прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных сетей Интранет/Экстранет и использовать для этого дешевые интернет-каналы.
    Виртуальная защищенная (иногда называют частная) сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN.
    Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через Интернет (рис.
    37).
    Рис. 37. Виртуальная защищенная сеть VPN
    Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций:
     аутентификация взаимодействующих сторон;
     криптографическое закрытие (шифрование) передаваемых данных;
     проверка подлинности и целостности доставляемой информации.

    107
    При реализации этих функций используются криптографические методы защиты информации.
    Туннель VPN, формируемый устройствами VPN, обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Интернета.
    Устройства VPN могут играть в виртуальных частных сетях роль
    VPN-клиента, VPN-сервера или шлюза безопасности VPN.
    VPN-клиент представляет собой программный или программно- аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое программное обеспечение модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPN-клиентами, VPN-серверами или шлюзами безопасности VPN. Обычно реализация VPN-клиента представляет собой программное решение, дополняющее стандартную операционную систему – Windows или Unix.
    VPN-сервер представляет собой программный или программно- аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN-сервер обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими
    VPN-продуктами.
    VPN-сервер является функциональным аналогом продукта VPN-клиент для серверных платформ. Он отличается прежде всего расширенными ресурсами для поддержания множественных соединений с VPN-клиентами. VPN-сервер может поддерживать защищенные соединения с мобильными пользователями.
    Шлюз безопасности VPN (security gateway) - это сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещение шлюза безопасности VPN выполняется таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, оно представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Шлюз безопасности VPN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или межсетевого экрана, дополненных функциями
    VPN.

    108
    Открытая внешняя среда передачи информации включает как каналы скоростной передачи данных, в качестве которой используется сеть Интернет, так и более медленные общедоступные каналы связи, в качестве которых могут применяться каналы телефонной сети.
    Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Для безопасной передачи данных через открытые сети широко используют инкапсуляцию и туннелирование. С помощью методики туннелирования пакеты данных передаются через общедоступную сеть как по обычному двухточечному соединению.
    Между каждой парой «отправитель - получатель данных» устанавливается своеобразный туннель - логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого туннелирования состоит в том, чтобы инкапсулировать, т.е.
    «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт».
    Следует отметить, что туннелирование само по себе не защищает данные от несанкционированного доступа или искажения, но благодаря туннелированию появляется возможность полной криптографической защиты инкапсулируемых исходных пакетов.
    По прибытии в конечную точку защищенного канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по внутренней сети.
    Механизм туннелирования широко применяется для формирования защищенного канала. Обычно туннель создается только на участке открытой сети, где существует угроза нарушения конфиденциальности и целостности данных, например между точкой входа в открытый Интернет и точкой входа в корпоративную сеть.
    Туннели VPN могут создаваться для различных типов конечных пользователей – либо это локальная сеть LAN (local area network) c шлюзом безопасности, либо отдельные компьютеры удаленных и мобильных пользователей.
    Для создания виртуальной частной сети крупного предприятия нужны VPN-шлюзы, VPN-серверы и VPN-клиенты. VPN-шлюзы целесообразно использовать для защиты локальных сетей предприятия,
    VPN-серверы и VPN-клиенты используют для организации защищенных соединений удаленных и мобильных пользователей с корпоративной сетью через Интернет.

    109
    Основные варианты архитектуры VPN.
    Существует множество разновидностей виртуальных частных сетей. Их спектр варьируется от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями. Тем не менее, принято выделять по архитектуре технического решения три основных вида виртуальных частных сетей:
     VPN с удаленным доступом (Remote Access VPN);
     внутрикорпоративные VPN (Intranet VPN);
     межкорпоративные VPN (Extranet VPN).
    VPN с удаленным доступом. Виртуальные частные сети VPN с удаленным доступом (Remote Access VPN) обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники- надомники и т. д.).
    Виртуальные частные сети с удаленным доступом завоевали всеобщее признание благодаря тому, что они позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети, после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров.
    Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети. Схема виртуальной частной сети с удаленным доступом показана на рис. 38.

    110
    Рис. 38. Схема виртуальной частной сети с удаленным доступом
    Внутрикорпоративная сеть VPN. Внутрикорпоративные сети
    VPN (Интранет VPN) используются для организации защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи.
    Компании, нуждающиеся в организации доступа к централизованным хранилищам информации для своих филиалов и отделений, могут соединить удаленные узлы при помощи виртуальной частной сети (рис.
    39).

    111
    Рис. 39. Соединение узлов сети с помощью технологии Интранет VPN
    Сети Интранет VPN строятся с использованием Интернет или разделяемых сетевых инфраструктур, предоставляемых сервис- провайдерами. Компания может отказаться от использования дорогостоящих выделенных линий, заменив их более дешевой связью через Интернет.
    Для Интранет VPN характерны следующие достоинства:
     применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
     надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и системы управления базами данных;
     гибкость управления для более эффективного размещения быстро возрастающего количества новых пользователей, новых офисов и новых программных приложений.
    Построение Интранет VPN, использующее Интернет, является самым рентабельным способом реализации VPN-технологии.

    112
    Межкорпоративная сеть VPN. Межкорпоративные сети VPN
    (Экстранет VPN) используются для организации эффективного взаимодействия и защищенного обмена информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т. д. (рис.
    40).
    Рис. 40. Межкорпоративная сеть Экстранет VPN
    Экстранет – это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании и, таким образом, способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества. Сети Экстранет VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой.
    Соединения Экстранет VPN развертываются, используя те же самые архитектуру и протоколы, которые применяются при реализации
    Интранет VPN и Remote Access VPN. Основное различие заключается в том, что разрешение доступа, которое дается пользователям Экстранет
    VPN, связано с сетью их партнера.

    113
    Средства построения виртуальных защищенных сетей VPN отличаются большим разнообразием. По способу технической реализации различают группы VPN на основе:
     маршрутизаторов;
     межсетевых экранов;
     программных решений;
     специализированных аппаратных средств.
    Каждое из перечисленных решений имеет свои достоинства и недостатки. Следует иметь в виду, что корпоративные заказчики предъявляют, как правило, достаточно жесткие требования к таким характеристикам VPN, как:
     интегрируемость с уже существующими в подразделениях компании средствами защиты информации, а также прозрачность работы
    VPN для всех работающих внутрикорпоративных приложений (системы документооборота, системы аудита и управления компьютерными сетями и т. д.);
     масштабируемость применяемых технических решений;
     пропускная способность защищаемой сети, т. е. VPN устройства не должны вносить существенные задержки в процесс обработки и передачи информации, а также заметно суживать полосу пропускания канала связи;
     стойкость применяемых алгоритмов криптозащиты, а также обеспечение целостности передаваемой по сетям информации и надежной аутентификации пользователей VPN;
     унифицируемость VPN решения, позволяющая данной компании в будущем без особых технических и организационных проблем устанавливать защищенные соединения с новыми партнерами по бизнесу;
     общая совокупная стоимость построения корпоративной VPN.
    Следует заметить, что в настоящее время рынок VPN-продуктов предлагает потенциальным клиентам широкий спектр оборудования и
    ПО для создания виртуальных защищенных сетей: от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов.

    114
    Вопросы для самопроверки:
    1. Каково назначение корпоративной компьютерной сети?
    2. Назовите основные компоненты корпоративной сети?
    3. Какая модель сетевой системы лежит в основе корпоративных сетей?
    4. Опишите корпоративную сеть как сложную систему, состоящую из нескольких взаимодействующих слоев.
    5. Перечислите типы серверов, которые обычно используются в корпоративных интрасетях.
    6. Опишите состав и различия двух-, трехуровневых и многоуровневых клиент-серверных архитектур.
    7. Какие технические и программные средства необходимы для организации корпоративной компьютерной сети?
    8. Что такое сеть Интранет?
    9. В чем суть и назначение виртуальных защищенных сетей –
    VPN?
    10. Что такое туннелирование?
    Литература по теме:
    Основная литература:
    1. Корпоративные информационные системы: учебное пособие
    Никитаева А. Ю., Чернова О. А., Федосова М. Н. Издательство Южного федерального университета, 2017. http://biblioclub.ru
    2.
    Корпоративные информационные системы: учебное пособие
    Курбесов А. В. Издательство: Издательско-полиграфический комплекс
    РГЭУ (РИНХ), 2018. http://biblioclub.ru/
    3. Корпоративные информационные системы: учебное пособие.
    Матяш С. А. Издательство: Директ-Медиа, 2015. http://biblioclub.ru/
    Дополнительная литература:
    1. В. Олифер, Н. Олифер. Компьютерные сети. Принципы, технологии, протоколы. Учебник. Издательство «Питер». 2016 г.
    2. Э. Таненбаум, Д. Уэзеролл. Компьютерные сети. Издательский
    Дом ПИТЕР. 2012 г.
    3. Организация корпоративных сетей на основе VPN: построение, управление, безопасность. Оригинал статьи: https://www.kp.ru.

    115
    1   2   3   4   5   6   7   8   9


    написать администратору сайта