NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
определяя набор безопасных ассоциаций (Security Associations, SA) для каждого соединения.<br />
Ассоциации SA являются однонаправленными, поэтому, как правило, для каждого IPsec-соединения<br />
существует как минимум две ассоциации.<br />
Вторая часть – передача IP-данных с помощью методов шифрования и аутентификации,<br />
утвержденных в согласовании IKE. Выполняется с помощью нескольких методов; с использованием<br />
IPsec-протоколов ESP, AH или комбинации из двух протоколов.<br />
Поток событий состоит из следующих стадий:<br />
• IKE согласовывает способ защиты IKE<br />
• IKE согласовывает способ защиты IPsec<br />
• IPsec отправляет данные в VPN<br />
В следующих разделах представлено подробное описание каждой из данных стадий.<br />
9.3.2. Протокол IKE (Internet Key Exchange)<br />
Данный раздел описывает протокол IKE (Internet Key Exchange), а также используемые параметры.<br />
Данные передаются напрямую, единственное, что требуется – алгоритмы шифрования и<br />
аутентификации, а также ключи. Протокол IKE (Internet Key Exchange), используемый в качестве<br />
метода распределения «ключей сессии», также предоставляет конечным точкам VPN возможность<br />
согласовать способ защиты данных.<br />
У протокола IKE три основные задачи:<br />
• Предоставить конечным точкам средства, позволяющие им аутентифицировать друг друга.<br />
• Установить новые IPsec-соединения (создать пары SA)<br />
• Управлять существующими соединениями<br />
Безопасные ассоциации (SA)<br />
Протокол IKE отслеживает соединения, назначая набор безопасных ассоциаций (SA) для каждого<br />
соединения. SA описывает все параметры, связанные с определенным соединением, например,<br />
используемый IPsec-протокол (ESP/AH/оба), а также ключи сессии, используемых для<br />
шифрования/дешифрования и/или аутентификации/проверки передаваемых данных.<br />
Безопасная ассоциация SA является однонаправленной и используется для потока трафика, идущего<br />
только в одном направлении. Поэтому для двунаправленного трафика, характерного для VPN,<br />
требуется более одной безопасной ассоциации на соединение. В большинстве случаев, при<br />
использовании одного ESP или AH, для каждого соединения создаются две SA, одна описывает<br />
входящий трафик, а другая – исходящий. В случае, когда используются ESP и AH, будет создано<br />
четыре ассоциации SA.<br />
Согласование IKE<br />
Процесс согласования параметров сессии состоит из определенного количества фаз и режимов.<br />
Подробная информация представлена в разделах ниже.<br />
Поток событий суммируется следующим образом:<br />
IKE Phase-1 • Согласование защиты IKE<br />
IKE Phase-2 • Согласование защиты IPsec<br />
Срок действия IKE и IPsec<br />
• Получение новых ключей сессии при обмене ключами в фазе-1,<br />
используемых в аутентификации и шифровании потока VPN-данных.<br />
380