Wat is reverse tunneling
Reverse tunneling is een methode om de communicatie tussen clients en servers achter een firewall te beveiligen. Deze techniek verbetert de beveiliging en vereenvoudigt het beheer van de firewall. Bij gebruik van een reverse tunnel initieert de server een verbinding met de client. Deze tunnelverbinding wordt beveiligd door een eerder gedeeld sleutelbestand dat een identiteitscertificaat bevat. Wanneer de reverse tunnel is ingesteld, is bidirectionele communicatie mogelijk zonder dat inkomende firewallpoorten hoeven te worden geopend.
Context
In Security Center SaaS wordt reverse tunneling meestal gebruikt om één of meer externe Security Center-systemen te verbinden met de Federation™-host in de cloud. Het gebruik van een reverse tunnel vereenvoudigt het beheer en de configuratie van de firewall van Security Center Federation. Standaard gebruikt de tunnel uitgaande TCP 5500 om de externe site te verbinden met de Federation-host.
Het volgende diagram toont de communicatiestroom van een reguliere federatie, weergegeven in blauw, en een federatie via reverse tunnel, weergegeven in paars.
In een reguliere federatie is de Federation-host de client die een verbinding tot stand brengt met de gefedereerde site, die als server fungeert. Deze stroom wordt omgekeerd in een federatie via een reverse tunnel.
- De rol Reverse Tunnel Server genereert een sleutelbestand met een identiteitscertificaat, informatie over de netwerkconnectiviteit en een token voor eenmalig gebruik.
- De rol Reverse Tunnel accepteert het sleutelbestand om de reverse tunnel te openen.
- De rol Security Center Federation™ maakt via de reverse tunnel verbinding met de gefedereerde site.
Beperkingen en vereisten
- Reverse tunneling ondersteunt alleen TCP
- Het netwerksegment dat wordt gebruikt voor tunneling tussen de externe site en de Federation™-host moet unicast TCP ondersteunen. Nadat video de cloud heeft bereikt, kan het Best beschikbare transportprotocol worden gebruikt.
- Videostreams moeten voor en na de tunnel door een redirector gaan
- Het tunnelmechanisme wordt alleen geïmplementeerd op het niveau van video-redirectors en is transparant voor de clienttoepassing.