04.03.2013 Views

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

для начального ключа. Далее, в фазе-2 согласования IKE, из этих<br />

данных будут извлечены ключи для шифрования и аутентификации.<br />

Благодаря функции PFS в процессе повторного получения ключа<br />

будут создаваться новые данные для ключей. Если один ключ будет<br />

взломан, невозможно получить другой ключ, используя данную<br />

информацию.<br />

Функция PFS используется в двух режимах: PFS on keys, обмен<br />

ключами будет выполняться для каждого согласования на фазе-2.<br />

При использовании режима PFS on identities, данные для<br />

идентификации также защищены, каждый раз при удалении фазы-1<br />

SA согласование на фазе-2 будет прекращено, обеспечивая, таким<br />

образом, не более одного согласования на фазе-2, зашифрованного с<br />

помощью одного и того же ключа.<br />

В целом функция PFS не требуется, так как взлом ключей для<br />

аутентификации или шифрования маловероятен.<br />

PFS DH Group Группа Диффи-Хеллман, используемая с PFS. Доступные группы DH<br />

рассматриваются ниже.<br />

IPsec DH Group Группа Диффи-Хеллман, используемая для соединения IPsec.<br />

Доступные группы DH рассматриваются ниже в разделе Группы<br />

Диффи-Хеллман.<br />

IPsec Encryption Алгоритм шифрования, используемый для защиты трафика IPsec.<br />

При использовании AH или в случае использования ESP без<br />

кодирования, шифрование IPsec не требуется.<br />

Алгоритм, поддерживаемый VPN межсетевого экрана NetDefend:<br />

• DES<br />

IPsec Authentication Алгоритм аутентификации, используемый для защиты трафика.<br />

При использовании ESP без аутентификации, данная функция не<br />

требуется, однако, не рекомендуется использовать ESP без<br />

аутентификации.<br />

Алгоритмы, используемые межсетевым экраном NetDefend:<br />

• SHА1<br />

• MD5<br />

IPsec Lifetime Продолжительность VPN-соединения определена в единицах<br />

времени (секунды) и объема данных (килобайтах). Каждый раз при<br />

превышении этих значений выполняется повторная выдача ключей, с<br />

предоставлением новых ключей для аутентификации и шифрования<br />

IPsec. Если в течение последнего повторной выдачи ключа не<br />

использовалось VPN-соединение, соединение будет завершено и<br />

повторно установлено при необходимости.<br />

Группы Диффи-Хеллман<br />

Необходимо установить значение ниже, чем значение параметра IKE<br />

lifetime.<br />

Диффи-Хеллман (Diffie-Hellman, DH) – это криптографический протокол, позволяющий двум<br />

сторонам, не имеющим информации друг о друге, задать общий секретный ключ через<br />

незащищенный канал соединения с помощью обмена незашифрованным текстом. В случае если<br />

обмен может просматриваться третьей стороной, алгоритм Диффи-Хеллмана значительно усложняет<br />

определение общего секретного ключа и расшифровку данных.<br />

384

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!