NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

NAT ipsec_tunnel l2tp_pool ext all-nets All Второе правило позволяет клиентам просматривать Web-страницы через интерфейс ext на межсетевом экране NetDefend. Клиенту будет назначен приватный внутренний IP-адрес, который необходимо преобразовать с помощью NAT в случае, если через межсетевой экран будет установлено соединение с Интернет. 8. Настройка клиента. В ОС Windows XP для запуска Мастера установки нового соединения необходимо выбрать опцию Создать новое соединение (Create new connection) в Сетевые соединения (Network Connections). Для того чтобы войти в Мастер установки, необходимо ввести следующую информацию: URL-адрес межсетевого экрана или, в качестве альтернативы, его IP-адрес ip_ext. Далее выберите Сеть (Network) > Свойства (Properties). В открывшемся диалоговом окне выберите L2TP-туннель и Свойства (Properties). В новом диалоговом окне выберите вкладку Networking и Force to L2TP. Далее вернитесь в свойства L2TP-туннеля, выберите вкладку Безопасность (Security) и нажмите кнопку Настройки IPsec (IPsec Settings). Далее введите совместно используемый ключ. 9.2.6. Подключение клиентов к L2TP-туннелю с использованием сертификатов Если вместо общих ключей L2TP-клиенты используют сертификаты, то различия в настройке будут следующими: 1. Необходимо установить корректную дату и время NetDefendOS, так как срок действия сертификатов ограничен. 2. Загрузите Сертификат шлюза и Корневой сертификат в NetDefendOS. 3. При настройке объекта IPsec Tunnel, укажите сертификаты, используемые в Аутентификации. Это выполняется следующим образом: а. Включите опцию X.509 Certificate. б. Выберите Gateway Certificate. в. Добавьте Root Certificate. 4. При использовании L2TP-клиента Windows XP, перед установкой соединения с помощью Мастера установки нового соединения, необходимо загрузить в Windows соответствующие сертификаты. Шаг по настройке аутентификации пользователя является дополнительным. Пожалуйста, ознакомьтесь с Разделом 9.6, «Доступ к серверу CA», в котором представлены важные аспекты проверки сертификатов. 9.2.7. Подключение клиентов к PPTP-туннелю Установка PPTP значительно проще, чем установка L2TP, так как вместо IPsec используется собственное, менее эффективное шифрование. Основным недостатком является невозможность установки соединений NAT PPTP через туннель, таким образом, несколько клиентов могут использовать только одно соединение с межсетевым экраном NetDefend. Если выполняется преобразование адресов с помощью NAT, соединение будет успешно установлено только для первого клиента. Для установки PPTP выполняются следующие шаги: 1. В адресной книге (Address Book) укажите следующие IP-объекты: • pptp_pool – диапазон внутренних IP-адресов, назначаемых из внутренней сети. • int_net – внутренняя сеть, из которой назначаются адреса. 378

• ip_int – внутренний IP-адрес интерфейса, подключенного к внутренней сети. Предположим, что это интерфейс int. • ip_ext – внешний публичный адрес, к которому подключаются клиенты (предположим, что это адрес интерфейса ext). 2. Укажите объект PPTP/L2TP (назовем его pptp_tunnel) со следующими параметрами: • Для Inner IP Address укажите ip_net. • Для Tunnel Protocol укажите PPTP. • Для Outer Interface Filter укажите ext. • Для Outer server IP укажите ip_ext. • Для Microsoft Point-to-Point Encryption рекомендуется выключить все опции за исключением опции 128-битного шифрования. • Для IP Pool укажите pptp_pool. • Включите Proxy ARP на интерфейсе int. • Так же как в случае с использованием L2TP включите автоматическое добавление новых маршрутов в основную таблицу маршрутизации. 3. Укажите правило аутентификации пользователя, почти идентичное L2TP: Agent Auth Source Src Network Interface Client Source IP PPP Local all-nets pptp_tunnel all-nets (0.0.0.0/0) 4. Укажите IP-правила в наборе IP-правил: Action Src Interface Src Network Dest Interface Dest Network Service Allow pptp_tunnel pptp_pool any int_net All NAT pptp_tunnel pptp_pool ext all-nets All Как указывалось для L2TP, правило NAT обеспечивает клиентам доступ в публичную сеть Интернет через межсетевой экран NetDefend. 5. Настройка клиента. Для Windows XP данная процедура аналогична настройке, описанной для L2TP, но без ввода общего ключа. 9.3. Компоненты IPsec В данном разделе представлены стандарты IPsec и различные компоненты, методы и алгоритмы, используемые в VPN на основе IPsec. 9.3.1. Обзор Internet Protocol Security (IPsec) – это набор протоколов, определенных организацией IETF (Internet Engineering Task Force) и обеспечивающих защищенную передачу данных на сетевом уровне. VPN на основе IPsec состоит из двух частей: • Протокол IKE (Internet Key Exchange) • Протоколы IPsec (AH/ESP/оба) Первая часть, IKE, это фаза начального согласования, во время которой между двумя конечными точками VPN идут переговоры по поводу того, какие методы будут использоваться для обеспечения безопасности основного IP-трафика. Более того, IKE используется для управления соединениями, 379

• ip_int – внутренний IP-адрес интерфейса, подключенного к внутренней сети. Предположим,<br />

что это интерфейс int.<br />

• ip_ext – внешний публичный адрес, к которому подключаются клиенты (предположим, что это<br />

адрес интерфейса ext).<br />

2. Укажите объект PPTP/L2TP (назовем его pptp_tunnel) со следующими параметрами:<br />

• Для Inner IP Address укажите ip_net.<br />

• Для Tunnel Protocol укажите PPTP.<br />

• Для Outer Interface Filter укажите ext.<br />

• Для Outer server IP укажите ip_ext.<br />

• Для Microsoft Point-to-Point Encryption рекомендуется выключить все опции за исключением<br />

опции 128-битного шифрования.<br />

• Для IP Pool укажите pptp_pool.<br />

• Включите Proxy ARP на интерфейсе int.<br />

• Так же как в случае с использованием L2TP включите автоматическое добавление новых<br />

маршрутов в основную таблицу маршрутизации.<br />

3. Укажите правило аутентификации пользователя, почти идентичное L2TP:<br />

Agent Auth Source Src Network Interface Client Source IP<br />

PPP Local all-nets pptp_tunnel all-nets (0.0.0.0/0)<br />

4. Укажите IP-правила в наборе IP-правил:<br />

Action Src Interface Src Network Dest Interface Dest Network Service<br />

Allow pptp_tunnel pptp_pool any int_net All<br />

NAT pptp_tunnel pptp_pool ext all-nets All<br />

Как указывалось для L2TP, правило NAT обеспечивает клиентам доступ в публичную сеть Интернет<br />

через межсетевой экран NetDefend.<br />

5. Настройка клиента. Для Windows XP данная процедура аналогична настройке, описанной для<br />

L2TP, но без ввода общего ключа.<br />

9.3. Компоненты IPsec<br />

В данном разделе представлены стандарты IPsec и различные компоненты, методы и алгоритмы,<br />

используемые в VPN на основе IPsec.<br />

9.3.1. Обзор<br />

Internet Protocol Security (IPsec) – это набор протоколов, определенных организацией IETF (Internet<br />

Engineering Task Force) и обеспечивающих защищенную передачу данных на сетевом уровне. VPN на<br />

основе IPsec состоит из двух частей:<br />

• Протокол IKE (Internet Key Exchange)<br />

• Протоколы IPsec (AH/ESP/оба)<br />

Первая часть, IKE, это фаза начального согласования, во время которой между двумя конечными<br />

точками VPN идут переговоры по поводу того, какие методы будут использоваться для обеспечения<br />

безопасности основного IP-трафика. Более того, IKE используется для управления соединениями,<br />

379

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!