NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
для начального ключа. Далее, в фазе-2 согласования IKE, из этих<br />
данных будут извлечены ключи для шифрования и аутентификации.<br />
Благодаря функции PFS в процессе повторного получения ключа<br />
будут создаваться новые данные для ключей. Если один ключ будет<br />
взломан, невозможно получить другой ключ, используя данную<br />
информацию.<br />
Функция PFS используется в двух режимах: PFS on keys, обмен<br />
ключами будет выполняться для каждого согласования на фазе-2.<br />
При использовании режима PFS on identities, данные для<br />
идентификации также защищены, каждый раз при удалении фазы-1<br />
SA согласование на фазе-2 будет прекращено, обеспечивая, таким<br />
образом, не более одного согласования на фазе-2, зашифрованного с<br />
помощью одного и того же ключа.<br />
В целом функция PFS не требуется, так как взлом ключей для<br />
аутентификации или шифрования маловероятен.<br />
PFS DH Group Группа Диффи-Хеллман, используемая с PFS. Доступные группы DH<br />
рассматриваются ниже.<br />
IPsec DH Group Группа Диффи-Хеллман, используемая для соединения IPsec.<br />
Доступные группы DH рассматриваются ниже в разделе Группы<br />
Диффи-Хеллман.<br />
IPsec Encryption Алгоритм шифрования, используемый для защиты трафика IPsec.<br />
При использовании AH или в случае использования ESP без<br />
кодирования, шифрование IPsec не требуется.<br />
Алгоритм, поддерживаемый VPN межсетевого экрана NetDefend:<br />
• DES<br />
IPsec Authentication Алгоритм аутентификации, используемый для защиты трафика.<br />
При использовании ESP без аутентификации, данная функция не<br />
требуется, однако, не рекомендуется использовать ESP без<br />
аутентификации.<br />
Алгоритмы, используемые межсетевым экраном NetDefend:<br />
• SHА1<br />
• MD5<br />
IPsec Lifetime Продолжительность VPN-соединения определена в единицах<br />
времени (секунды) и объема данных (килобайтах). Каждый раз при<br />
превышении этих значений выполняется повторная выдача ключей, с<br />
предоставлением новых ключей для аутентификации и шифрования<br />
IPsec. Если в течение последнего повторной выдачи ключа не<br />
использовалось VPN-соединение, соединение будет завершено и<br />
повторно установлено при необходимости.<br />
Группы Диффи-Хеллман<br />
Необходимо установить значение ниже, чем значение параметра IKE<br />
lifetime.<br />
Диффи-Хеллман (Diffie-Hellman, DH) – это криптографический протокол, позволяющий двум<br />
сторонам, не имеющим информации друг о друге, задать общий секретный ключ через<br />
незащищенный канал соединения с помощью обмена незашифрованным текстом. В случае если<br />
обмен может просматриваться третьей стороной, алгоритм Диффи-Хеллмана значительно усложняет<br />
определение общего секретного ключа и расшифровку данных.<br />
384