NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
настройки, такие как группы Диффи-Хеллман и PFS, не могут быть<br />
согласованы, что подчеркивает важность наличия «совместимых»<br />
настроек в обеих точках.<br />
IPsec Protocols Протоколы IPsec, используемые для обработки данных. На выбор<br />
доступны два протокола AH (Authentication Header) и ESP<br />
(Encapsulating Security Payload).<br />
Протокол ESP обеспечивает шифрование, аутентификацию или обе<br />
функции вместе. Тем не менее, не рекомендуется использовать<br />
только шифрование, так как при этом значительно снижается<br />
уровень безопасности.<br />
Помните, что протокол AH обеспечивает только аутентификацию.<br />
Отличие от ESP заключается только в том, что AH также<br />
аутентифицирует части внешнего IP-заголовка, например, адреса<br />
источника или назначения, подтверждая то, что пакет пришел с<br />
адреса, указанного в заголовке.<br />
Примечание<br />
Система NetDefendOS не поддерживает<br />
AH.<br />
IKE Encryption Указывает алгоритм шифрования, используемый в согласовании IKE<br />
и, в зависимости от алгоритма, размер используемого ключа<br />
шифрования.<br />
Алгоритм, поддерживаемые NetDefendOS IPsec:<br />
• DES<br />
Алгоритм DES включен только для обеспечения совместимости с<br />
другими, более ранними реализациями VPN. Следует избегать<br />
использования DES в случаях, когда это возможно, так как это один<br />
из первоначальных алгоритмов, который является менее<br />
эффективным.<br />
IKE Authentication Определяет алгоритмы аутентификации, используемые в фазе<br />
согласования IKE.<br />
Алгоритмы, поддерживаемые NetDefendOS IPsec:<br />
• SHA1<br />
• MD5<br />
IKE DH Group Указывает группу Diffi-Hellmann, используемую для обмена IKE.<br />
Доступные группы DH рассматриваются ниже.<br />
IKE Lifetime Продолжительность IKE-соединения.<br />
Продолжительность соединения определена в единицах времени<br />
(секунды) и объема данных (килобайтах). Каждый раз по истечении<br />
продолжительности соединения, выполняется новая фаза-1. Если в<br />
течение последнего соединения не выполнялась передача данных,<br />
новое соединение не будет установлено до момента использования<br />
VPN-соединения. Данное значение должно быть больше, чем время<br />
продолжительности IPsec SA.<br />
PFS При отключении функции PFS (Perfect Forwarding Secrecy) во время<br />
обмена ключами при согласовании IKE на фазе-1 создаются данные<br />
383