VPNを使用してルーター間でデータを送信している場合でも、ファイアウォールは必要ですか?
VPNサーバーを使用して、1つのシスコルーターから別のシスコルーターへのデータをカプセル化しています。各ルーターの前にファイアウォールを設置する必要がありますか?
ファイアウォール機能が組み込まれたCisco VPN Serverを使用している場合でも、ファイアウォールは必要ですか?
このトピックを読んでいると、2つの興味深い答えが見つかりました。
から Ciscoフォーラム:
IPSec VPNは、VPNを介して送信されているトラフィックの保護のみを提供します。受信される可能性のある他のトラフィックについては保護されません。他のトラフィックに対する保護を提供する多くのVPNルーターを展開しました。リモートネットワークのエッジで検出して破棄する、ネットワークのプローブや攻撃の可能性が高いものなど、他のトラフィックの量に時々驚かされます。
VPNの終端方法(インターネットに面したルーター、コンセントレーター、またはリモートネットワークのエッジの背後にあるその他のデバイス)によっては、VPN終端とリモートネットワークの間にファイアウォールが配置されている場合があります。トラフィックとそれを評価することができます。または、ファイアウォールがVPN終端とリモートネットワークエッジの間にある可能性があります。その場合、IPSecトラフィックは表示されますが、他のすべてのトラフィックを評価できる間は、ファイアウォールを評価できません。
そしてまたこれを見なさい:
ファイアウォールの背後にあるVPN:
インターネット上のファイアウォールの背後にあるVPNサーバー
画像クレジット:Technetフォーラム
はい、基本的には、VPN以外のリークをブロックします。
また、VPNサーバーにフィルタリング機能がある場合は、ファイアウォールを構築して以下から保護するのに最適な場所です。
他のあらゆる場所で、このファイアウォールは次のことを行います。
ファイアウォールを使用する通常のケースは、たとえば、パケットフィルターをインターネットインターフェイスに追加して、VPNサーバーのインターネットインターフェイスのIPアドレスとの間のVPNトラフィックのみを許可することです。ただし、( Common VPN Security Flaws )などのドキュメントを読むと、2つのルーターの間にファイアウォールを配置することは、VPNに必要なもう1つの優れたセキュリティレイヤーであることがわかります。
VPNは、本質的に2つのネットワークを安全にブリッジする方法です(特に質問のコンテキストでは、「LAN-to-LAN」または「サイト間」VPNと呼ばれることが多い)。
ファイアウォールは、さまざまな基準に応じて通過するパケットを管理するデバイスです。目的は通常、ファイアウォールの「背後」にあるサービスを不透明にすることです。さらに多くの可能な使用法があります。
彼らは一緒に、またはそれぞれ自分で作業します。
両方を組み合わせて使用することもできます(シスコが他の多くのベンダーと同様にそれらを作成します)。
だからあなたの質問に答えるために:いいえ、ファイアウォールは必須ではありませんVPNを使用するとき、それらは(大まかに言えば)異なる目的に役立ちます。