NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
9.4.1. Обзор<br />
IPsec-туннель определяет конечную точку зашифрованного туннеля. Каждый IPsec-туннель<br />
рассматривается в качестве физического интерфейса NetDefendOS, с одной и той же фильтрацией,<br />
формированием трафика и возможностями настройки в качестве стандартных интерфейсов.<br />
Удаленная установка туннелей<br />
Если другой межсетевой экран NetDefend или другой соответствующий сетевой продукт IPsec (также<br />
известный как удаленная конечная точка) попытается установить IPsec VPN-туннель к локальному<br />
межсетевому экрану, будет проверен список IPsec-туннелей, указанных в настоящее время в<br />
настройках NetDefendOS. Если найден соответствующий туннель, этот туннель будет открыт. Далее<br />
выполняются ассоциируемые согласования IKE и IPsec, в результате будет установлен туннель к<br />
удаленной конечной точке.<br />
Локальная установка туннелей<br />
В качестве альтернативы пользователь в защищенной локальной сети может попытаться получить<br />
доступ к источнику, который расположен в конечной точке IPsec-туннеля. В таком случае система<br />
NetDefendOS видит, что маршрут для IP-адреса источника проходит через определенный IPsecтуннель<br />
и установка туннеля выполняется с локального межсетевого экрана NetDefend.<br />
IP-правила для управления зашифрованным трафиком<br />
Необходимо помнить, что установка IPsec-туннеля НЕ гарантирует того, что весь трафик,<br />
проходящий через туннель, является доверенным. Наоборот, зашифрованный сетевой трафик будет<br />
проверен с помощью набора IP-правил. При выполнении этой проверки интерфейс источника<br />
трафика будет ассоциируемым IPsec-туннелем, так как туннели обрабатываются как интерфейсы в<br />
NetDefendOS.<br />
Помимо этого, возможно потребуется указать Правило Маршрута или Доступа для удаленных<br />
клиентов, чтобы NetDefendOS смогла принять определенные IP-адреса источника из IPsec-туннеля.<br />
Обратный трафик (Returning Traffic)<br />
Для сетевого трафика, идущего в обратном направлении, в IPsec-туннель, выполняется обратный<br />
процесс. Сначала расшифрованный трафик оценивается набором правил. Если правило и маршрут<br />
совпадают, NetDefendOS пытается найти установленный IPsec-туннель, соответствующий критерию.<br />
Если туннель не найден, NetDefendOS попытается установить новый туннель к удаленной конечной<br />
точке, с помощью соответствующего указания IPSec-туннеля.<br />
Для ограничения IPsec-трафика не требуются IP-правила<br />
Вместе с IPsec-туннелями администратор, как правило, указывает IPsec-правила, которые позволяют<br />
незашифрованному трафику проходить через туннель (туннель обрабатывается как интерфейс<br />
NetDefendOS). Тем не менее, нет необходимости указывать IP-правила, разрешающие прохождение<br />
пакетов IPsec-трафика.<br />
Пакеты IKE и ESP по умолчанию касаются внутреннего IPsec engine системы NetDefendOS и набор<br />
IP-правил не требуется.<br />
Данные действия можно изменить в разделе Расширенные настройки IPsec на странице IPsec<br />
Before Rules. Примером причины выполнения данного изменения может быть большое количество<br />
попыток соединений IPsec, идущих с определенного IP-адреса или группы адресов. Это может<br />
снизить производительность NetDefendOS IPsec engine и привести к потере трафика с IP-правилом.<br />
Другими словами, можно использовать IP-правила для управления трафиком, связанным с туннелем.<br />
Обнаружение недействующего узла (Dead Peer Detection)<br />
Для IPsec-туннеля можно включить дополнительную функцию DPD (Dead Peer Detection). Функция<br />
DPD используется для контроля работоспособности туннеля с помощью отслеживания трафика,<br />
идущего с узла в противоположную точку туннеля. Если в течение определенного промежутка<br />
времени (указанного с помощью настройки DPD Metric) не получено сообщение, то система<br />
NetDefendOS отправляет сообщения DPD-R-U-THERE на узел, чтобы определить, доступен ли он и<br />
остается ли действующим.<br />
Если узел не отвечает на эти сообщения в течение определенного периода времени (указанного с<br />
393