web-dev-qa-db-ja.com

VPNを使用している場合、ファイアウォールは必要ですか

VPNを使用してルーター間でデータを送信している場合でも、ファイアウォールは必要ですか?

VPNサーバーを使用して、1つのシスコルーターから別のシスコルーターへのデータをカプセル化しています。各ルーターの前にファイアウォールを設置する必要がありますか?

ファイアウォール機能が組み込まれたCisco VPN Serverを使用している場合でも、ファイアウォールは必要ですか?

5
KimberleyK

このトピックを読んでいると、2つの興味深い答えが見つかりました。

から Ciscoフォーラム:

IPSec VPNは、VPNを介して送信されているトラフィックの保護のみを提供します。受信される可能性のある他のトラフィックについては保護されません。他のトラフィックに対する保護を提供する多くのVPNルーターを展開しました。リモートネットワークのエッジで検出して破棄する、ネットワークのプローブや攻撃の可能性が高いものなど、他のトラフィックの量に時々驚かされます。

VPNの終端方法(インターネットに面したルーター、コンセントレーター、またはリモートネットワークのエッジの背後にあるその他のデバイス)によっては、VPN終端とリモートネットワークの間にファイアウォールが配置されている場合があります。トラフィックとそれを評価することができます。または、ファイアウォールがVPN終端とリモートネットワークエッジの間にある可能性があります。その場合、IPSecトラフィックは表示されますが、他のすべてのトラフィックを評価できる間は、ファイアウォールを評価できません。

そしてまたこれを見なさい:

ファイアウォールの背後にあるVPN:

enter image description here

インターネット上のファイアウォールの背後にあるVPNサーバーenter image description here

画像クレジット:Technetフォーラム

はい、基本的には、VPN以外のリークをブロックします。

また、VPNサーバーにフィルタリング機能がある場合は、ファイアウォールを構築して以下から保護するのに最適な場所です。

  • vPNの外に出ようとするものは何でも、
  • vPNサーバーを外部および内部から(さらにはVPNの外部および内部から)攻撃しようとするもの。

他のあらゆる場所で、このファイアウォールは次のことを行います。

  • 別の機器が必要です
  • 交通に比べて遅すぎる。
3
dan

ファイアウォールを使用する通常のケースは、たとえば、パケットフィルターをインターネットインターフェイスに追加して、VPNサーバーのインターネットインターフェイスのIPアドレスとの間のVPNトラフィックのみを許可することです。ただし、( Common VPN Security Flaws )などのドキュメントを読むと、2つのルーターの間にファイアウォールを配置することは、VPNに必要なもう1つの優れたセキュリティレイヤーであることがわかります。

1
user45139

VPNは、本質的に2つのネットワークを安全にブリッジする方法です(特に質問のコンテキストでは、「LAN-to-LAN」または「サイト間」VPNと呼ばれることが多い)。

ファイアウォールは、さまざまな基準に応じて通過するパケットを管理するデバイスです。目的は通常、ファイアウォールの「背後」にあるサービスを不透明にすることです。さらに多くの可能な使用法があります。

彼らは一緒に、またはそれぞれ自分で作業します。

  • vPNは、「このようなネットワークを安全でないパス(インターネットなど)を介して接続する方法」の問題を解決します
  • ファイアウォールは、「ネットワーク内のサービスがネットワークの外部に表示されないようにする方法」の問題を解決します(ここでも、質問のコンテキストで)。

両方を組み合わせて使用​​することもできます(シスコが他の多くのベンダーと同様にそれらを作成します)。

だからあなたの質問に答えるために:いいえ、ファイアウォールは必須ではありませんVPNを使用するとき、それらは(大まかに言えば)異なる目的に役立ちます。

1
WoJ