NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
пользователя не сконцентрировано на определенном ПО. Сетевой администратор должен использовать клиента, наиболее выгодного экономически и удовлетворяющего потребности. 9.2.4. Подключение удаленных клиентов к IPsecтуннелю с использованием сертификатов Если при работе с удаленными IPsec-клиентами вместо общих ключей используются сертификаты, то в таком случае нет необходимости использовать объект Pre-shared Key, и различия в настройке будут следующими: 1. Загрузите Корневой сертификат и Сертификат шлюза в NetDefendOS. Необходимо загрузить два компонента корневого сертификата: файл сертификата и файл приватного ключа. Для сертификата шлюза необходимо добавить только файл сертификата. 2. При настройке объекта IPsec Tunnel определите сертификаты для использования в Authentication. Для этого выполните следующее: а. Включите опцию X.509 Certificate. б. Выберите Gateway Certificate (Сертификат шлюза). в. Добавьте Root Certificate (Корневой сертификат). 3. Необходимо корректно настроить программное обеспечение IPsec с использованием сертификатов и удаленных IP-адресов. Как указано выше, программное обеспечение доступно у поставщиков и в данном руководстве не обсуждается какой-либо определенный клиент. Шаг по настройке аутентификации пользователя является опциональным, так как представляет собой дополнительный уровень безопасности сертификатов. Примечание: Системные дата и время должны быть корректно установлены Следует установить корректное время и дату в NetDefendOS, так как у сертификатов ограниченный срок действия. Также необходимо просмотреть Раздел 9.6, «Доступ к серверу CA», в котором описывается проверка подлинности сертификатов. 9.2.5. Подключение клиентов к L2TP-туннелю с использованием общих ключей L2TP, встроенный в Microsoft Windows, популярен среди VPN-клиентов удаленного доступа. Как правило, L2TP инкапсулируется в IPsec, обеспечивая шифрование при работе IPsec в режиме transport mode вместо tunnel mode. Для настройки L2TP over IPsec необходимы следующие шаги: 1. Создайте IP-объект (назовем его l2tp_pool), с указанием диапазона назначаемых клиенту IPадресов. Диапазон может быть двух типов: • Диапазон взят из внутренней сети, к которой подключены клиенты. Если диапазон внутренней сети – 192.168.0.0/24, то можно использовать адреса в диапазоне 192.168.0.10 – 192.168.0.20. Опасность заключается в случайном использовании IP-адреса во внутренней сети и его назначении клиенту. • Используйте новый диапазон адресов, полностью отличающийся от диапазона любой внутренней сети, чтобы исключить возможность использования адреса во внутренней сети. 2. Укажите два других IP-объекта: • ip_ext – внешний публичный IP-адрес для подключения клиентов (предположим, что это IPадрес интерфейса ext). • ip_int – внутренний IP-адрес интерфейса для подключения внутренней сети (назовем этот интерфейс int). 376
3. Укажите совместно используемый ключ (Pre-shared Key) для IPsec-туннеля. 4. Укажите объект IPsec Tunnel (назовем этот объект ipsec_tunnel) со следующими параметрами: • Для Local Network (Локальная сеть) укажите значение ip_ext (укажите all-nets, если NetDefendOS находится позади устройства, преобразующего адреса с помощью NAT). • Для Remote Network (Удаленная сеть) укажите значение all-nets. • Для Remote Endpoint (Удаленная конечная точка) укажите значение none. • Для Authentication (Аутентификация) выберите объект Pre-shared Key, заданный в первом шаге. • Для Encapsulation Mode (Режим шифрования) укажите значение Transport. • Укажите списки выбора алгоритмов IPsec и IKE. • Включите опцию Динамически добавить маршрут в удаленную сеть после установки туннеля (Dynamically add route to the remote network when tunnel established). • Если для сети назначения указано значение all-nets, как в данном случае, необходимо выключить опцию Добавить маршрут для удаленной сети (Add route for remote network). Данная настройка включена по умолчанию. 5. Укажите PPTP/L2TP-сервер (назовем этот объект l2tp_tunnel) со следующими параметрами: • Для Inner IP Address укажите значение ip_int. • Для Tunnel Protocol укажите значение L2TP. • Для Outer Interface Filter укажите значение ipsec_tunnel. • Для Outer Server IP укажите значение ip_ext. • Выберите Microsoft Point-to-Point Encryption. Поскольку используется шифрование IPsec, может быть установлено только значение None, в противном случае, двойное шифрование снизит пропускную способность. • Для IP Pool (Пул IP-адресов) укажите значение l2tp_pool. • Включите Proxy ARP на интерфейсе int, к которому подключена внутренняя сеть. • Добавьте интерфейс в определенную таблицу маршрутизации, таким образом, маршруты автоматически добавляются в таблицу. Как правило, выбирается таблица main. 6. Для аутентификации пользователя: • Укажите объект Local User DB (назовем его TrustedUsers). • Добавьте отдельных пользователей в TrustedUsers. Необходима, как минимум, комбинация имени пользователя и пароля. Можно указать строку Group, подробная информация об этом представлена в аналогичном шаге в вышеуказанном разделе IPsec Roaming Clients. • Укажите Правило аутентификации пользователя: Agent Auth Source Src Network Interface Client Source IP PPP Local all-nets l2tp_tunnel all-nets (0.0.0.0/0) 7. Для того чтобы разрешить прохождение трафика по L2TP-туннелю, необходимо указать следующие правила в наборе IP-правил: Действие Интерфейс источника Сеть источника Интерфейс назначения Сеть назначения Сервис Allow l2tp_tunnel l2tp_pool any int_net All 377
- Page 325 and 326: 6.7. «Черный список»
- Page 327 and 328: Глава 7. Преобразов
- Page 329 and 330: пулы». IP-адрес исто
- Page 331 and 332: 4. Удостоверьтесь, ч
- Page 333 and 334: ситуации, когда мно
- Page 335 and 336: 7.4. SAT 2. Затем введит
- Page 337 and 338: Рисунок 7.4. Роль зон
- Page 339 and 340: • Service: http • Source Interf
- Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80
- Page 343 and 344: Создайте соответст
- Page 345 and 346: • При обращении к п
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375: • Нельзя предварит
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
пользователя не сконцентрировано на определенном ПО. Сетевой администратор должен<br />
использовать клиента, наиболее выгодного экономически и удовлетворяющего потребности.<br />
9.2.4. Подключение удаленных клиентов к IPsecтуннелю<br />
с использованием сертификатов<br />
Если при работе с удаленными IPsec-клиентами вместо общих ключей используются сертификаты,<br />
то в таком случае нет необходимости использовать объект Pre-shared Key, и различия в настройке<br />
будут следующими:<br />
1. Загрузите Корневой сертификат и Сертификат шлюза в NetDefendOS. Необходимо загрузить два<br />
компонента корневого сертификата: файл сертификата и файл приватного ключа. Для сертификата<br />
шлюза необходимо добавить только файл сертификата.<br />
2. При настройке объекта IPsec Tunnel определите сертификаты для использования в Authentication.<br />
Для этого выполните следующее:<br />
а. Включите опцию X.509 Certificate.<br />
б. Выберите Gateway Certificate (Сертификат шлюза).<br />
в. Добавьте Root Certificate (Корневой сертификат).<br />
3. Необходимо корректно настроить программное обеспечение IPsec с использованием сертификатов<br />
и удаленных IP-адресов. Как указано выше, программное обеспечение доступно у поставщиков и в<br />
данном руководстве не обсуждается какой-либо определенный клиент.<br />
Шаг по настройке аутентификации пользователя является опциональным, так как представляет собой<br />
дополнительный уровень безопасности сертификатов.<br />
Примечание: Системные дата и время должны быть<br />
корректно установлены<br />
Следует установить корректное время и дату в NetDefendOS, так как у<br />
сертификатов ограниченный срок действия.<br />
Также необходимо просмотреть Раздел 9.6, «Доступ к серверу CA», в котором описывается проверка<br />
подлинности сертификатов.<br />
9.2.5. Подключение клиентов к L2TP-туннелю с<br />
использованием общих ключей<br />
L2TP, встроенный в Microsoft Windows, популярен среди VPN-клиентов удаленного доступа. Как<br />
правило, L2TP инкапсулируется в IPsec, обеспечивая шифрование при работе IPsec в режиме<br />
transport mode вместо tunnel mode. Для настройки L2TP over IPsec необходимы следующие шаги:<br />
1. Создайте IP-объект (назовем его l2tp_pool), с указанием диапазона назначаемых клиенту IPадресов.<br />
Диапазон может быть двух типов:<br />
• Диапазон взят из внутренней сети, к которой подключены клиенты. Если диапазон внутренней<br />
сети – 192.168.0.0/24, то можно использовать адреса в диапазоне 192.168.0.10 – 192.168.0.20.<br />
Опасность заключается в случайном использовании IP-адреса во внутренней сети и его назначении<br />
клиенту.<br />
• Используйте новый диапазон адресов, полностью отличающийся от диапазона любой<br />
внутренней сети, чтобы исключить возможность использования адреса во внутренней сети.<br />
2. Укажите два других IP-объекта:<br />
• ip_ext – внешний публичный IP-адрес для подключения клиентов (предположим, что это IPадрес<br />
интерфейса ext).<br />
• ip_int – внутренний IP-адрес интерфейса для подключения внутренней сети (назовем этот<br />
интерфейс int).<br />
376