NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
• Нельзя предварительно указать маршруты, поэтому для объекта туннеля необходимо включить<br />
опцию Динамически добавить маршрут в удаленную сеть после установки туннеля<br />
(Dynamically add route to the remote network when tunnel established). Если all-nets – это сеть<br />
назначения, необходимо отключить опцию Добавить маршрут в удаленную сеть (Add route for<br />
remote network).<br />
Примечание<br />
Нет необходимости включать опцию динамического добавления<br />
маршрутов в сценарии установки туннеля LAN to LAN.<br />
• Включите опцию Require IKE XAuth user authentication for inbound IPsec tunnels. При этом<br />
выполняется поиск соответствия правилу XAUTH в правилах аутентификации.<br />
3. Набор IP-правил должен содержать одно правило:<br />
Действие Интерфейс<br />
источника<br />
Сеть источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
Allow ipsec_tunnel all-nets lan lannet All<br />
Так как правило Allow разрешает установку соединения, разрешен двунаправленный поток трафика,<br />
поэтому в данном случае используется только одно правило. Вместо all-nets, используемого выше,<br />
может использоваться более защищенный IP-объект, который указывает точный диапазон<br />
предварительно назначенных IP-адресов.<br />
Б. IP-адреса выдаются системой NetDefendOS<br />
Если IP-адреса клиента неизвестны, то они могут быть назначены системой NetDefendOS. Для этого<br />
необходимо выполнить следующее:<br />
1. Если в качестве пула доступных адресов используется определенный диапазон IP-адресов, то:<br />
• Создайте объект Config Mode Pool (только один, связанный с установкой NetDefendOS) и<br />
укажите диапазон адресов.<br />
• Включите опцию IKE Config Mode в объекте IPsec Tunnel – ipsec_tunnel.<br />
2. Если IP-адреса клиента получены через DHCP:<br />
• Создайте объект IP Pool и укажите используемый DHCP-сервер. DHCP-сервер может быть<br />
указан в виде IP-адреса или, в качестве альтернативы, быть доступным на определенном<br />
интерфейсе. Если используется внутренний DHCP-сервер, то укажите адрес loopback 127.0.0.1 в<br />
качестве IP-адреса DHCP-сервера.<br />
• Создайте объект Config Mode Pool (только один, связанный с установкой NetDefendOS) и<br />
свяжите его с объектом IP Pool, указанным в предыдущем шаге.<br />
• Включите опцию IKE Config Mode в объекте IPsec Tunnel – ipsec_tunnel.<br />
Настройка IPsec-клиентов<br />
Оба варианта (A) и (Б), представленные выше, требуют корректной настройки IPsec-клиента. Для<br />
настройки клиента требуется следующее (также как и в случае с использованием общих ключей):<br />
• Укажите URL или IP-адрес межсетевого экрана NetDefend. Клиенту необходимо определить<br />
местоположение конечной точки туннеля.<br />
• Укажите общий ключ, используемый для IPsec security.<br />
• Укажите поддерживаемые системой NetDefendOS алгоритмы IPsec, которые будут<br />
использоваться в дальнейшем.<br />
• Укажите, будет ли использовать клиент режим настройки.<br />
Существует множество различных ПО IPsec, доступных у поставщиков, и данное руководство<br />
375