NetdefendOS_2.27.01_Firewall_User_Manual_RUS

9.4.1. Обзор
IPsec-туннель определяет конечную точку зашифрованного туннеля. Каждый IPsec-туннель
рассматривается в качестве физического интерфейса NetDefendOS, с одной и той же фильтрацией,
формированием трафика и возможностями настройки в качестве стандартных интерфейсов.
Удаленная установка туннелей
Если другой межсетевой экран NetDefend или другой соответствующий сетевой продукт IPsec (также
известный как удаленная конечная точка) попытается установить IPsec VPN-туннель к локальному
межсетевому экрану, будет проверен список IPsec-туннелей, указанных в настоящее время в
настройках NetDefendOS. Если найден соответствующий туннель, этот туннель будет открыт. Далее
выполняются ассоциируемые согласования IKE и IPsec, в результате будет установлен туннель к
удаленной конечной точке.
Локальная установка туннелей
В качестве альтернативы пользователь в защищенной локальной сети может попытаться получить
доступ к источнику, который расположен в конечной точке IPsec-туннеля. В таком случае система
NetDefendOS видит, что маршрут для IP-адреса источника проходит через определенный IPsecтуннель
и установка туннеля выполняется с локального межсетевого экрана NetDefend.
IP-правила для управления зашифрованным трафиком
Необходимо помнить, что установка IPsec-туннеля НЕ гарантирует того, что весь трафик,
проходящий через туннель, является доверенным. Наоборот, зашифрованный сетевой трафик будет
проверен с помощью набора IP-правил. При выполнении этой проверки интерфейс источника
трафика будет ассоциируемым IPsec-туннелем, так как туннели обрабатываются как интерфейсы в
NetDefendOS.
Помимо этого, возможно потребуется указать Правило Маршрута или Доступа для удаленных
клиентов, чтобы NetDefendOS смогла принять определенные IP-адреса источника из IPsec-туннеля.
Обратный трафик (Returning Traffic)
Для сетевого трафика, идущего в обратном направлении, в IPsec-туннель, выполняется обратный
процесс. Сначала расшифрованный трафик оценивается набором правил. Если правило и маршрут
совпадают, NetDefendOS пытается найти установленный IPsec-туннель, соответствующий критерию.
Если туннель не найден, NetDefendOS попытается установить новый туннель к удаленной конечной
точке, с помощью соответствующего указания IPSec-туннеля.
Для ограничения IPsec-трафика не требуются IP-правила
Вместе с IPsec-туннелями администратор, как правило, указывает IPsec-правила, которые позволяют
незашифрованному трафику проходить через туннель (туннель обрабатывается как интерфейс
NetDefendOS). Тем не менее, нет необходимости указывать IP-правила, разрешающие прохождение
пакетов IPsec-трафика.
Пакеты IKE и ESP по умолчанию касаются внутреннего IPsec engine системы NetDefendOS и набор
IP-правил не требуется.
Данные действия можно изменить в разделе Расширенные настройки IPsec на странице IPsec
Before Rules. Примером причины выполнения данного изменения может быть большое количество
попыток соединений IPsec, идущих с определенного IP-адреса или группы адресов. Это может
снизить производительность NetDefendOS IPsec engine и привести к потере трафика с IP-правилом.
Другими словами, можно использовать IP-правила для управления трафиком, связанным с туннелем.
Обнаружение недействующего узла (Dead Peer Detection)
Для IPsec-туннеля можно включить дополнительную функцию DPD (Dead Peer Detection). Функция
DPD используется для контроля работоспособности туннеля с помощью отслеживания трафика,
идущего с узла в противоположную точку туннеля. Если в течение определенного промежутка
времени (указанного с помощью настройки DPD Metric) не получено сообщение, то система
NetDefendOS отправляет сообщения DPD-R-U-THERE на узел, чтобы определить, доступен ли он и
остается ли действующим.
Если узел не отвечает на эти сообщения в течение определенного периода времени (указанного с
393