NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
передачу незашифрованных данных, отправленных на сервер или полученных с сервера.<br />
Преимущества этого подхода следующие:<br />
• Поддержка TLS может быть централизована в межсетевом экране NetDefend вместо установки<br />
на отдельных серверах.<br />
• Можно централизованно управлять сертификатами на межсетевом экране NetDefend, а не на<br />
отдельных серверах. Нет необходимости в том, чтобы уникальные сертификаты (или один «wildcard<br />
certificate») присутствовали на каждом сервере.<br />
• Дополнительная обработка шифрования / дешифрования, необходимая TLS, может быть<br />
выполнена на межсетевом экране NetDefend. Эту обработку иногда называют SSL acceleration.<br />
Любые полученные преимущества обработки могут изменяться и будут зависеть от возможностей<br />
обработки, поддерживаемых серверами и межсетевым экраном NetDefend.<br />
• Расшифрованный TLS-трафик может быть объектом для других функций NetDefendOS, таких<br />
как traffic shaping или поиск потенциальных угроз для сервера с помощью IDP-сканирования.<br />
• Протокол TLS может быть объединен с функцией балансировки нагрузки сервера (server load<br />
balancing) системы NetDefendOS для обеспечения передачи трафика между серверами.<br />
Включение TLS<br />
Для того чтобы включить протокол TLS в NetDefendOS выполните следующие шаги:<br />
1. Загрузите в NetDefendOS корневые сертификаты и сертификаты хоста для их использования TLSпротоколом.<br />
2. Определите новый объект TLS ALG, соответствующие корневые сертификаты и сертификаты<br />
хоста. Если сертификат самозаверяющий, то корневой сертификат и сертификат хоста должны быть<br />
одинаковыми.<br />
3. Создайте новый объект Служба на основе TCP-протокола.<br />
4. Далее необходимо связать объект TLS ALG с недавно созданным объектом Служба.<br />
5. Создайте IP-правило NAT или Allow для целевого трафика и свяжите объект службы с ним.<br />
6. Дополнительно можно создать правило SAT, чтобы изменить порт назначения для<br />
незашифрованного трафика. В качестве альтернативы для балансировки нагрузки можно<br />
использовать правило SLB_SAT (порт назначения также может быть изменен с помощью<br />
пользовательского объекта службы).<br />
URL-адреса, рассылаемые серверами<br />
Следует отметить, что использование NetDefendOS для терминации TLS не изменит URL-адреса<br />
Web-cтраниц, рассылаемые серверами, которые находятся позади межсетевого экрана NetDefend.<br />
Это означает, что если клиент подключается к Web-серверу, который находится позади межсетевого<br />
экрана NetDefend, используя протокол https://, то любые Web-страницы, переданные обратно,<br />
содержащие абсолютные URL-адреса, включающие протокол http:// (возможно, для ссылки на<br />
другие страницы того же сайта), не будут иметь этих URL-адресов, так как они преобразованы<br />
системой NetDefendOS в https://. Для решения этого вопроса серверы должны использовать<br />
относительные URL-адреса, а не абсолютные<br />
286