NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
согласование всех параметров является крайне важным для обеих точек доступа.<br />
При наличии двух межсетевых экранов в качестве конечных точек VPN, процесс согласования<br />
значительно упрощен, так как параметры настройки NetDefendOS будут такими же, что и на другом<br />
узле. Тем не менее, этот процесс может быть затруднен, если для установки VPN-туннеля<br />
используется оборудование различных производителей.<br />
Endpoint Identification Local ID – это идентификатор, используемый для идентификации<br />
конечной точки VPN-туннеля. Вместе с общими ключами это<br />
уникальная часть данных, идентифицирующая конечную точку.<br />
Local and Remote<br />
Networks/Hosts<br />
Аутентификация с совместно используемым ключом основана на<br />
алгоритме Диффи-Хеллмана.<br />
Существуют подсети или узлы, между которыми передаются<br />
защищенные данные. В соединении LAN-to-LAN это сетевые адреса<br />
соответствующих сетей LAN.<br />
Если используются удаленные клиенты, для удаленной сети будет<br />
установлено значение all-nets, означающее, что клиент может<br />
подключиться из любой точки.<br />
Tunnel / Transport Mode IPsec может использоваться в двух режимах tunnel или transport.<br />
Режим tunnel указывает на то, что трафик стуннелирован на<br />
удаленное устройство, которое дешифрует/аутентифицирует данные,<br />
извлеченные из туннеля и отправленные в точку конечного<br />
назначения.<br />
В режиме transport, трафик не будет стуннелирован и, следовательно,<br />
не будет проходить через VPN-туннели. Режим применяется для<br />
защиты данных, передаваемых от VPN-клиента непосредственно на<br />
межсетевой экран NetDefend, например, для защищенной удаленной<br />
настройки.<br />
Как правило, в большинстве случаев установлено значение «tunnel».<br />
Remote Endpoint Удаленная конечная точка доступа (иногда – удаленный шлюз) – это<br />
устройство, выполняющее дешифрование/аутентификацию VPN и<br />
передающее незашифрованные данные в точку конечного<br />
назначения. В данном поле также можно установить значение None,<br />
после чего межсетевой экран NetDefend рассматривает удаленный<br />
адрес как удаленную конечную точку. Это особенно полезно при<br />
удаленном доступе, если IP-адреса удаленных VPN-клиентов не<br />
указаны предварительно. Настройка "none" позволит любому IPадресу,<br />
соответствующему "remote network" адресу удаленной<br />
подсети, оговоренному выше, открыть VPN-соединение, при<br />
условии, что они могут проходить проверку подлинности должным<br />
образом.<br />
Можно указать URL-адрес удаленной конечной точки, например,<br />
vpn.company.com. В таком случае необходимо использовать префикс<br />
dns:. Следовательно, URL-адрес будет выглядеть следующим<br />
образом dns:vpn.company.com.<br />
Удаленная конечная точка не используется в режиме Transport.<br />
Main/Aggressive Mode У согласования IKE два режима работы: Main и Aggressive.<br />
Различие между двумя режимами заключается в том, что в режиме<br />
Aggressive передается больше информации в меньшем количестве<br />
пакетов, с преимуществом более быстрой установки соединения и<br />
эффективной передачи.<br />
При использовании режима Aggressive, некоторые параметры<br />
382