NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
защищенный обмен данными в сети Интернет. В корпоративном контексте это означает, что<br />
пользователи LAN в географически разделенных участках могут обмениваться информацией на<br />
безопасном уровне, что сопоставимо с обменом данными через выделенное, приватное соединение.<br />
Защита соединения выполняется за счет использования IPsec туннелирования, с туннелем от VPNшлюза<br />
в одном месте до VPN-шлюза в другом. Поэтому межсетевой экран NetDefend является<br />
установщиком VPN, и в то же время выполняет наблюдение за трафиком, проходящим через<br />
туннель. Этот раздел касается установки туннелей LAN to LAN, созданных с помощью общего<br />
ключа (PSK).<br />
Шаги, необходимые для установки туннелей LAN to LAN с использованием общих ключей:<br />
• Настройка VPN tunnel properties, включая общий ключ.<br />
• Настройка VPN tunnel properties.<br />
• Настройка Route в главной (main) таблице маршрутизации (или другой альтернативной таблице).<br />
• Настройка Rules (двустороннему туннелю требуется 2 правила).<br />
9.4.3. Удаленные клиенты<br />
Сотрудник, который находится в командировке и которому требуется доступ к центральному<br />
корпоративному серверу с ноутбука из различных мест, является типичным примером удаленного<br />
клиента. Помимо необходимости защищенного VPN-доступа, другой основной вопрос заключается<br />
в том, что IP-адрес удаленного мобильного пользователя часто не известен заранее. Для управления<br />
неизвестным IP-адресом система NetDefendOS может динамически добавить маршруты в таблицу<br />
маршрутизации во время установки туннелей.<br />
Неизвестные IP-адреса<br />
Если IP-адрес клиента не известен заранее, то межсетевому экрану NetDefend необходимо<br />
динамически создать маршрут в таблице маршрутизации при подключении каждого клиента. Ниже<br />
отображается пример такой ситуации и динамическая маршрутизация внутри IPSec-туннеля.<br />
Если клиентам разрешен удаленный доступ из любой точки, независимо от их IP-адреса, то для<br />
Remote Network необходимо установить значение all-nets (IP address: 0.0.0.0/0), что позволит всем<br />
существующим IPv4-адресам подключаться через туннель.<br />
Как правило, при установке VPN-туннелей для удаленных клиентов, нет необходимости добавлять<br />
или изменять список предлагаемых алгоритмов, предварительно указанных в NetDefendOS.<br />
Туннели на основе PSK<br />
Следующий пример отображает установку туннеля с использованием PSK.<br />
Пример 9.4. Установка VPN-туннеля с использованием PSK для удаленных клиентов<br />
В данном примере рассматривается настройка IPsec-туннеля в главном офисе, где находится межсетевой экран<br />
NetDefend. Настройка выполняется для удаленных клиентов, подключенных к сети главного офиса, которым<br />
необходим удаленный доступ. Для сети главного офиса используется диапазон 10.0.1.0/24 с внешним IP-адресом<br />
межсетевого экрана wan_ip.<br />
Web-интерфейс<br />
А. Создайте общий ключ для аутентификации IPsec:<br />
1. Зайдите Objects > Authentication Objects > Add > Pre-Shared Key<br />
2. Далее введите:<br />
• Name: Введите имя ключа, например, SecretKey<br />
• Shared Secret: Введите секретную парольную фразу<br />
395