NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Далее примените общий ключ к туннелю IPsec:<br />
1. Зайдите Interfaces > IPsec<br />
2. Выберите объект туннеля IPsec<br />
3. Во вкладке Authentication выберите Pre-shared Key и выберите MyPSK<br />
4. Нажмите OK<br />
9.3.8. Списки идентификации<br />
Если для аутентификации IPsec-туннелей используются сертификаты, межсетевой экран NetDefend<br />
принимает все удаленные устройства или VPN-клиентов, способных представить сертификат,<br />
подписанный любой из доверенных организаций СА (Certificate Authorities). Это может стать<br />
потенциальной проблемой, в особенности при использовании удаленных клиентов.<br />
Типичный сценарий<br />
Рассмотрим сценарий, когда выездные сотрудники получают доступ к внутренним корпоративным<br />
сетям с помощью VPN-клиентов. Организация управляет собственной доверенной организацией СА,<br />
и сотрудникам выдаются сертификаты. Различные группы сотрудников получают доступ к<br />
различным частям внутренней сети. Например, торговым агентам необходим доступ к серверам с<br />
системами подачи заказов, а техническим инженерам - доступ к базам с техническими данными.<br />
Проблема<br />
Так как IP-адреса VPN-клиентов выездных сотрудников не известны заранее, входящие VPNсоединения<br />
от клиентов не могут дифференцироваться. Это означает, что межсетевой экран не<br />
способен контролировать доступ к различным частям внутренних сетей.<br />
Списки идентификаторов<br />
Использование Списков идентификаторов представляет собой решение этой проблемы. Список<br />
идентификаторов содержит один или более идентификаторов (ID), где каждый идентификатор<br />
соответствует предметному полю в сертификате. Списки идентификаторов могут, таким образом,<br />
использоваться для регулирования того, какие сертификаты с доступом использовать и с какими<br />
IPsec-туннелями.<br />
Пример 9.3. Использование списка идентификаторов<br />
В данном примере рассматривается процесс создания списка идентификаторов и его применения к VPN-туннелю.<br />
Данный список идентификаторов содержит один идентификатор с именем DN (distinguished name) -<br />
отличительное имя, используемое в качестве первичного идентификатора. Помните, что в данном примере не<br />
рассматривается способ добавления определенного объекта IPsec-туннеля.<br />
CLI<br />
Сначала создайте Список идентификаторов:<br />
gw-world:/> add IDList MyIDList<br />
Далее создайте ID:<br />
gw-world:/> cc IDList MyIDList<br />
gw-world:/> add ID JohnDoe Type=DistinguishedName<br />
CommonName="John Doe"<br />
OrganizationName=D-Link<br />
OrganizationalUnit=Support<br />
Country=Sweden<br />
EmailAddress=john.doe@D-Link.com<br />
gw-world:/> cc<br />
391