Быстрое и безопасное подключение к сети Интернет сегодня стало актуально не только для IT-фирм и провайдерских центров, но и для многих других организаций, активно использующих Интернет в своей деятельности. Требования к скорости и безопасности приводят к необходимости использования специализированного оборудования, подбора конфигурации, настройки как аппаратной, так и программной частей.

Наиболее распространена схема подключения, в которой участвует аппаратный маршрутизатор, прокси-сервер и - опционально - модем для выделенной линии (рис. 1). Необходимость использования модема зависит от способа доставки интернет-подключения в офис компании (выделенная ISDN/xDSL линия или Ethernet). Потребность в маршрутизаторе и прокси-сервере определяется тем, насколько важно для компании иметь защищенную сеть с возможностями организации дополнительных сервисов.

Рис. 1. Общая схема подключения LAN компании к сети Интернет

xDSL-модем

Необходим в случае, когда доступ в Интернет осуществляется по выделенной линии. Тип модема и конкретная модель зависят от параметров линии и интерфейса подключения к оборудованию интернет-провайдера. Если в офис проложена Ethernet-линия от провайдера, такой модем не нужен.

Маршрутизатор

Маршрутизатор выполняет основные функции по обеспечению безопасности и предоставлению дополнительных сервисов.

Безопасность обеспечивается гибко настраиваемой функцией "firewall", позволяющей ограничить или полностью запретить доступ в локальную сеть извне. Это пресекает попытки злоумышленников нарушить функционирование компании или получить конфиденциальную информацию.

В случае, когда закрыть внешний доступ ко всем компьютерам компании невозможно - например, если среди них есть почтовые сервера - используется другая важная возможность маршрутизатора: разграничение доступа к разным подсетям. Подсеть с рабочими местами пользователей может быть полностью защищена, в то время как почтовые и веб-сервера будут частично открыты.

Маршрутизатор может обеспечивать независимое "питание Интернетом" различных отделов, не объединенных в единую локальную сеть. Эта же возможность позволяет компании снабдить интернет-каналом свое независимое подразделение или просто компанию-соседа, не выполняя объединения локальных сетей.

Поддержка VLAN позволяет с помощью маршрутизатора создавать и выделять виртуальные сети внутри одной локальной сети, обеспечивать гарантированную полосу пропускания для таких сетей. Эта особенно важно при использовании в компании IP-телефонии, которая накладывает определенные требования на ширину канала.

Важной сервисной функцией маршрутизатора является счетчик трафика. Он полезен для сопоставления с отчетами провайдера, если на их основе осуществляется выставление счетов за использование компанией интернет-канала. Подсчет трафика может выполняться и без маршрутизатора, но статистика других систем является менее легитимной и, как правило, не рассматривается провайдерами в случае возникновения споров.

Многие маршрутизаторы также поддерживают функцию VPN - передачу защищенной информации в публичных сетях. Эта функция позволяет объединять удаленные филиалы в информационном пространстве, без угрозы потери конфиденциальности передаваемых данных.

Среди относительно простых устройств можно порекомендовать маршрутизаторы Cisco Systems серии 1600, 1700 и 2600, а также некоторые модели компании D-Link. Из более функциональных моделей с поддержкой VPN хорошо зарекомендовали себя высокопроизводительные маршрутизаторы Cisco и Avaya.

Прокси-сервер

Наиболее часто используемая возможность прокси-сервера - кэширование проходящего трафика, которое позволяет оптимизировать потребление Интернета (и, соответственно, сократить его стоимость в случаях, когда оплата производится за входящий трафик). Кроме того, на прокси-сервере можно гибко настроить фильтры нежелательного контента - рекламных баннеров, порно-ресурсов и так далее. Аппаратные маршрутизаторы обыно не имеют подобных возможностей и не обладают столь гибкими настройками.

В большинстве случаев прокси-сервер совмещается с почтовым и/или веб-сервером. Даже если в момент установки и настройки интернет-подключения компания не предполагает иметь собственный почтовый сервер, данная возможность не должна упускаться из виду, поскольку может стать очень актуальной в будущем. Как показывает практика, подавляющее большинство компаний, активно работающих с Интернетом, со временем приходят к необходимости хранить почту и веб-контент на собственных серверах.

Также прокси-сервер позволяет получать гибкую статистику использования Интернета различными пользователями. Это дает возможность внутри компании оптимизировать использование трафика и в целом - сокращать его потребление, снижая стоимость Интернета (в случае с прогрессивной формой расчетов).

Прокси-сервер, являясь аппаратно-программной системой, может выполнять и множество других функций при установке дополнительных программ (при разработке специальных скриптов и приложений).

Для прокси-сервера может быть использован компьютер с достаточно скромной конфигурацией, например Pentium II 300 МГц. При расширении функциональности прокси-сервера (до веб/почтового сервера) требования к конфигурации повышаются, но не принципиально. Прокси сервера на базе Pentium III 800 МГц будет достаточно даже для крупных сетей.

В качестве операционной системы прокси-сервера настоятельно рекомендуется использовать UNIX или ее аналоги (Linux, Solaris, и т. д.). На момент написания материала хорошо зарекомендовали себя следующие версии: Linux Red Hat 7.0, FreeBSD 4.1. Для самого прокси-сервера рекомендуется Squid (например, 2.3.stable4).

Общее резюме

Рассмотренную схему можно назвать "профессиональной", рекомендованной для компаний, в которых требуется подключить к Интернету десять и более рабочих мест, обеспечивая безопасность и конфиденциальность информации. При необходимости объединения удаленных локальных сетей компании, при необходимости установки почтовых и веб-серверов, в ряде других случаев - данная схема является минимально необходимой.

Рассмотренная схема не является единственно возможной. Отказавшись от маршрутизатора и/или прокси-сервера, можно получить существенно упрощенную схему. Можно идти и по пути усложнения. Однако получающаяся схема будет либо слишком сложной и экзотической, либо слишком простой и небезопасной.

Материал подготовил Александр Русин (компания НооЛаб),
специально для www.telecomsite.ru
2 августа 2002 г.