NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NAT ipsec_tunnel l2tp_pool ext all-nets All Второе правило позволяет клиентам просматривать Web-страницы через интерфейс ext на межсетевом экране NetDefend. Клиенту будет назначен приватный внутренний IP-адрес, который необходимо преобразовать с помощью NAT в случае, если через межсетевой экран будет установлено соединение с Интернет. 8. Настройка клиента. В ОС Windows XP для запуска Мастера установки нового соединения необходимо выбрать опцию Создать новое соединение (Create new connection) в Сетевые соединения (Network Connections). Для того чтобы войти в Мастер установки, необходимо ввести следующую информацию: URL-адрес межсетевого экрана или, в качестве альтернативы, его IP-адрес ip_ext. Далее выберите Сеть (Network) > Свойства (Properties). В открывшемся диалоговом окне выберите L2TP-туннель и Свойства (Properties). В новом диалоговом окне выберите вкладку Networking и Force to L2TP. Далее вернитесь в свойства L2TP-туннеля, выберите вкладку Безопасность (Security) и нажмите кнопку Настройки IPsec (IPsec Settings). Далее введите совместно используемый ключ. 9.2.6. Подключение клиентов к L2TP-туннелю с использованием сертификатов Если вместо общих ключей L2TP-клиенты используют сертификаты, то различия в настройке будут следующими: 1. Необходимо установить корректную дату и время NetDefendOS, так как срок действия сертификатов ограничен. 2. Загрузите Сертификат шлюза и Корневой сертификат в NetDefendOS. 3. При настройке объекта IPsec Tunnel, укажите сертификаты, используемые в Аутентификации. Это выполняется следующим образом: а. Включите опцию X.509 Certificate. б. Выберите Gateway Certificate. в. Добавьте Root Certificate. 4. При использовании L2TP-клиента Windows XP, перед установкой соединения с помощью Мастера установки нового соединения, необходимо загрузить в Windows соответствующие сертификаты. Шаг по настройке аутентификации пользователя является дополнительным. Пожалуйста, ознакомьтесь с Разделом 9.6, «Доступ к серверу CA», в котором представлены важные аспекты проверки сертификатов. 9.2.7. Подключение клиентов к PPTP-туннелю Установка PPTP значительно проще, чем установка L2TP, так как вместо IPsec используется собственное, менее эффективное шифрование. Основным недостатком является невозможность установки соединений NAT PPTP через туннель, таким образом, несколько клиентов могут использовать только одно соединение с межсетевым экраном NetDefend. Если выполняется преобразование адресов с помощью NAT, соединение будет успешно установлено только для первого клиента. Для установки PPTP выполняются следующие шаги: 1. В адресной книге (Address Book) укажите следующие IP-объекты: • pptp_pool – диапазон внутренних IP-адресов, назначаемых из внутренней сети. • int_net – внутренняя сеть, из которой назначаются адреса. 378
• ip_int – внутренний IP-адрес интерфейса, подключенного к внутренней сети. Предположим, что это интерфейс int. • ip_ext – внешний публичный адрес, к которому подключаются клиенты (предположим, что это адрес интерфейса ext). 2. Укажите объект PPTP/L2TP (назовем его pptp_tunnel) со следующими параметрами: • Для Inner IP Address укажите ip_net. • Для Tunnel Protocol укажите PPTP. • Для Outer Interface Filter укажите ext. • Для Outer server IP укажите ip_ext. • Для Microsoft Point-to-Point Encryption рекомендуется выключить все опции за исключением опции 128-битного шифрования. • Для IP Pool укажите pptp_pool. • Включите Proxy ARP на интерфейсе int. • Так же как в случае с использованием L2TP включите автоматическое добавление новых маршрутов в основную таблицу маршрутизации. 3. Укажите правило аутентификации пользователя, почти идентичное L2TP: Agent Auth Source Src Network Interface Client Source IP PPP Local all-nets pptp_tunnel all-nets (0.0.0.0/0) 4. Укажите IP-правила в наборе IP-правил: Action Src Interface Src Network Dest Interface Dest Network Service Allow pptp_tunnel pptp_pool any int_net All NAT pptp_tunnel pptp_pool ext all-nets All Как указывалось для L2TP, правило NAT обеспечивает клиентам доступ в публичную сеть Интернет через межсетевой экран NetDefend. 5. Настройка клиента. Для Windows XP данная процедура аналогична настройке, описанной для L2TP, но без ввода общего ключа. 9.3. Компоненты IPsec В данном разделе представлены стандарты IPsec и различные компоненты, методы и алгоритмы, используемые в VPN на основе IPsec. 9.3.1. Обзор Internet Protocol Security (IPsec) – это набор протоколов, определенных организацией IETF (Internet Engineering Task Force) и обеспечивающих защищенную передачу данных на сетевом уровне. VPN на основе IPsec состоит из двух частей: • Протокол IKE (Internet Key Exchange) • Протоколы IPsec (AH/ESP/оба) Первая часть, IKE, это фаза начального согласования, во время которой между двумя конечными точками VPN идут переговоры по поводу того, какие методы будут использоваться для обеспечения безопасности основного IP-трафика. Более того, IKE используется для управления соединениями, 379
- Page 327 and 328: Глава 7. Преобразов
- Page 329 and 330: пулы». IP-адрес исто
- Page 331 and 332: 4. Удостоверьтесь, ч
- Page 333 and 334: ситуации, когда мно
- Page 335 and 336: 7.4. SAT 2. Затем введит
- Page 337 and 338: Рисунок 7.4. Роль зон
- Page 339 and 340: • Service: http • Source Interf
- Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80
- Page 343 and 344: Создайте соответст
- Page 345 and 346: • При обращении к п
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375 and 376: • Нельзя предварит
- Page 377: 3. Укажите совместн
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
• ip_int – внутренний IP-адрес интерфейса, подключенного к внутренней сети. Предположим,<br />
что это интерфейс int.<br />
• ip_ext – внешний публичный адрес, к которому подключаются клиенты (предположим, что это<br />
адрес интерфейса ext).<br />
2. Укажите объект PPTP/L2TP (назовем его pptp_tunnel) со следующими параметрами:<br />
• Для Inner IP Address укажите ip_net.<br />
• Для Tunnel Protocol укажите PPTP.<br />
• Для Outer Interface Filter укажите ext.<br />
• Для Outer server IP укажите ip_ext.<br />
• Для Microsoft Point-to-Point Encryption рекомендуется выключить все опции за исключением<br />
опции 128-битного шифрования.<br />
• Для IP Pool укажите pptp_pool.<br />
• Включите Proxy ARP на интерфейсе int.<br />
• Так же как в случае с использованием L2TP включите автоматическое добавление новых<br />
маршрутов в основную таблицу маршрутизации.<br />
3. Укажите правило аутентификации пользователя, почти идентичное L2TP:<br />
Agent Auth Source Src Network Interface Client Source IP<br />
PPP Local all-nets pptp_tunnel all-nets (0.0.0.0/0)<br />
4. Укажите IP-правила в наборе IP-правил:<br />
Action Src Interface Src Network Dest Interface Dest Network Service<br />
Allow pptp_tunnel pptp_pool any int_net All<br />
NAT pptp_tunnel pptp_pool ext all-nets All<br />
Как указывалось для L2TP, правило NAT обеспечивает клиентам доступ в публичную сеть Интернет<br />
через межсетевой экран NetDefend.<br />
5. Настройка клиента. Для Windows XP данная процедура аналогична настройке, описанной для<br />
L2TP, но без ввода общего ключа.<br />
9.3. Компоненты IPsec<br />
В данном разделе представлены стандарты IPsec и различные компоненты, методы и алгоритмы,<br />
используемые в VPN на основе IPsec.<br />
9.3.1. Обзор<br />
Internet Protocol Security (IPsec) – это набор протоколов, определенных организацией IETF (Internet<br />
Engineering Task Force) и обеспечивающих защищенную передачу данных на сетевом уровне. VPN на<br />
основе IPsec состоит из двух частей:<br />
• Протокол IKE (Internet Key Exchange)<br />
• Протоколы IPsec (AH/ESP/оба)<br />
Первая часть, IKE, это фаза начального согласования, во время которой между двумя конечными<br />
точками VPN идут переговоры по поводу того, какие методы будут использоваться для обеспечения<br />
безопасности основного IP-трафика. Более того, IKE используется для управления соединениями,<br />
379