NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
• Установите remote_gw для Remote Endpoint.<br />
• Установите Tunnel для Encapsulation mode.<br />
• Для Authentication выберите объект Pre-shared Key (Общий ключ), определенный выше в<br />
шаге (1).<br />
В последующих шагах объект IPsec Tunnel обрабатывается так же, как любой объект Interface<br />
NetDefendOS.<br />
5. Укажите два IP-правила в наборе IP-правил для туннеля:<br />
• Правило Allow для исходящего трафика, у которого есть предварительно определенный объект<br />
ipsec_tunnel в качестве Destination Interface. Сеть назначения (Destination Network) правила – это<br />
удаленная сеть remote_net.<br />
• Правило Allow для входящего трафика, у которого есть предварительно определенный объект<br />
ipsec_tunnel в качестве Source Interface. Сеть источника (Source Network) – это удаленная сеть<br />
remote_net.<br />
Действие Интерфейс<br />
источника<br />
Сеть источника Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
Allow lan lannet ipsec_tunnel remote_net All<br />
Действие Интерфейс<br />
источника<br />
Сеть источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
Allow ipsec_tunnel remote_net lan lannet All<br />
В данных правилах используется сервис All, однако это может быть предварительно определенный<br />
сервис.<br />
6. Укажите новый Маршрут (Route) NetDefendOS, который определяет, что VPN туннель<br />
ipsec_tunnel – это Интерфейс, используемый для ограничения маршрутизации пакетов для<br />
удаленной сети на другом конце туннеля.<br />
Интерфейс Сеть Шлюз<br />
ipsec_tunnel remote_net <br />
9.2.2. Создание IPsec-туннелей LAN to LAN с<br />
использованием сертификатов<br />
Как правило, безопасность LAN to LAN обеспечивается за счет общих ключей, но иногда вместо них<br />
необходимо использовать сертификаты X.509. В таких случаях используются сертификаты,<br />
выданные центром сертификатов (Certificate Authority, CA), взятые с внутреннего сервера CA или<br />
предоставленные коммерческим поставщиком сертификатов.<br />
Создание туннеля LAN to LAN с использованием сертификатов выполняется с помощью тех же<br />
шагов, что и в предыдущем разделе, описывающем использование общего ключа. Различие<br />
заключается в том, что в данном случае для аутентификации общие ключи заменены на<br />
сертификаты.<br />
Для аутентификации туннеля LAN to LAN требуются два сертификата, выданных CA (два для<br />
каждой конечной точки, корневой сертификат и сертификат для шлюза).<br />
Для установки выполняются следующие шаги:<br />
1. Откройте Web-интерфейс управления межсетевого экрана NetDefend в одной точке туннеля.<br />
2. В Authentication Objects (Объекты аутентификации) добавьте Root Certificate и Host Certificate.<br />
Для корневого сертификата добавляются два компонента: файл сертификата и файл приватного<br />
ключа. Для сертификата шлюза требуется добавить только файл сертификата.<br />
372