NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
1. Зайдите Objects > VPN Objects > ID List > Add > ID List<br />
2. Введите подходящее имя, например, sales<br />
3. Нажмите OK<br />
4. Зайдите Objects > VPN Objects > ID List > Sales > Add > ID<br />
5. Введите имя клиента<br />
6. Выберите Email в качестве Type<br />
7. В поле Email address, введите адрес электронной почты, выбранный при создании сертификата<br />
8. Создайте новый идентификатор для каждого клиента, которому необходимо предоставить права доступа в<br />
соответствии с вышеуказанными инструкциями.<br />
Г. Настройте IPsec-туннель:<br />
1. Зайдите Interfaces > IPsec > Add > IPsec Tunnel<br />
2. Далее введите:<br />
• Name: RoamingIPsecTunnel<br />
• Local Network: 10.0.1.0/24 (это локальная сеть, к которой будут подключены удаленные пользователи).<br />
• Remote Network: all-nets<br />
• Remote Endpoint: (None)<br />
• Encapsulation Mode: Tunnel<br />
3. Для Алгоритмов (Algorithms) введите:<br />
• IKE Algorithms: Medium или High<br />
• IPsec Algorithms: Medium или High<br />
4. Для Аутентификации (Authentication) введите:<br />
• Выберите X.509 Certificate в качестве метода аутентификации<br />
• Root Certificate(s): Выберите все сертификаты клиентов и добавьте их в список Selected<br />
• Gateway Certificate: Выберите недавно созданный сертификат межсетевого экрана<br />
• Identification List: Выберите список идентификаторов, которые необходимо ассоциировать с VPN-туннелем. В<br />
данном случае, это sales<br />
5. На вкладке Routing:<br />
• Включите опцию Dynamically add route to the remote network when a tunnel is established.<br />
6. Нажмите OK<br />
Д. В заключение укажите набор IP-правил, разрешающих прохождение трафика через туннель.<br />
Туннели на основе сертификатов сервера СА<br />
Настройка туннелей клиента с использованием сертификата, выпущенного СА, идентична настройке<br />
с использованием самоподписанных сертификатов, с различием в паре шагов.<br />
За получение соответствующего сертификата ответственен администратор. Некоторые системы,<br />
например, сервер Windows 2000, поддерживают встроенный доступ к серверу СА (на сервере<br />
Windows 2000 он находится в Certificate Services). Для получения подробной информации о<br />
сертификатах, выпущенных на сервере СА, см. Раздел 3.7, «Сертификаты».<br />
Пример 9.6. Установка VPN-туннеля с использованием сертификата сервера СА для<br />
удаленных клиентов<br />
В данном примере рассматривается настройка IPsec-туннеля в главном офисе, где находится межсетевой экран<br />
NetDefend. Настройка выполняется для удаленных клиентов, подключенных к сети главного офиса, которым<br />
необходим удаленный доступ. Для сети главного офиса используется диапазон 10.0.1.0/24 с внешним IP-адресом<br />
межсетевого экрана IP wan_ip.<br />
397