NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
В данном разделе представлена подробная информация о подключении удаленных клиентов через<br />
IPsec туннель с использованием общих ключей. Существует два типа удаленных клиентов:<br />
A. IP-адреса клиентов уже назначены.<br />
Б. IP-адреса клиентов неизвестны и должны быть выданы системой NetDefendOS при подключении<br />
клиентов.<br />
A. IP-адреса уже назначены<br />
IP-адреса могут быть известны заранее и предварительно назначены удаленным клиентам перед их<br />
подключением. IP-адрес вводится вручную.<br />
1. Настройка аутентификации пользователя. Аутентификация пользователя XAuth не требуется<br />
удаленным клиентам IPsec, однако, это рекомендуемая функция (для упрощения первоначальной<br />
настройки можно пропустить данный шаг). Источник аутентификации может быть одним из<br />
следующих:<br />
• Встроенная база данных пользователей (Local <strong>User</strong> DB).<br />
• Внешний сервер аутентификации.<br />
В данном разделе выполняется настройка внутренней базы данных пользователя. Позднее можно<br />
заменить на внешний сервер.<br />
Аутентификация пользователя с помощью внутренней базы данных осуществляется следующим<br />
образом:<br />
• Укажите объект Local <strong>User</strong> DB (назовем его Trusted<strong>User</strong>s).<br />
• Добавьте пользователей в объект Trusted<strong>User</strong>s. Необходима, как минимум, комбинация имени<br />
пользователя и пароля.<br />
Можно указать строку пользователя Group, если необходимо ограничить доступ группы к<br />
определенным сетям источника. Также можно указать Group (с той же текстовой строкой) в разделе<br />
Authentication IP-объекта. Если IP-объект используется далее как Source Network правила в наборе<br />
IP-правил, данное правило будет применяться только к пользователю, если строка Group<br />
соответствует строке Group IP-объекта.<br />
Примечание<br />
Строка Group не имеет значения в Правилах Аутентификации<br />
(Authentication Rules).<br />
• Создайте новое правило аутентификации пользователя (<strong>User</strong> Authentication Rule) с<br />
источником аутентификации (Authentication Source), установленным со значением Trusted<strong>User</strong>s.<br />
Остальные параметры для правила:<br />
Agent Auth Source Src Network Interface Client Source IP<br />
XAUTH Local all-nets any all-nets (0.0.0.0/0)<br />
2. У объекта IPsec Tunnel ipsec_tunnel должны быть следующие параметры:<br />
• Установите значение lannet для Local Network.<br />
• Установите значение all-nets для Remote Network.<br />
• Установите значение all-nets для Remote Endpoint.<br />
• Установите значение Tunnel для Encapsulation mode.<br />
• Укажите списки выбора алгоритмов IPsec и IKE, соответствующие возможностям клиентов.<br />
374