NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Web-интерфейс А. Загрузите все сертификаты клиентов: 1. Зайдите Objects > Authentication Objects > Add > Certificate 2. Введите подходящее имя для объекта Сертификат 3. Выберите опцию X.509 Certificate 4. Нажмите OK Б. Создайте список идентификаторов: 1. Зайдите Objects > VPN Objects > ID List > Add > ID List 2. Введите описательное имя, например, sales 3. Нажмите OK 4. Зайдите Objects > VPN Objects > ID List > Sales > Add > ID 5. Введите имя клиента 6. Выберите Email в качестве Type 7. В поле Email address, введите адрес электронной почты, выбранный при создании сертификата на клиенте 8. Создайте новый идентификатор для каждого клиента, которому необходимо предоставить права доступа в соответствии с вышеуказанными инструкциями. В. Настройте IPsec-туннель: 1. Зайдите Interfaces > IPsec > Add > IPsec Tunnel 2. Далее введите: • Name: RoamingIPsecTunnel • Local Network: 10.0.1.0/24 (это локальная сеть, к которой будут подключены удаленные пользователи). • Remote Network: all-nets • Remote Endpoint: (None) • Encapsulation Mode: Tunnel 3. Для Алгоритмов (Algorithms) введите: • IKE Algorithms: Medium или High • IPsec Algorithms: Medium или High 4. Для Аутентификации (Authentication) введите: • Выберите X.509 Certificate в качестве метода аутентификации • Root Certificate(s): Выберите корневые сертификаты сервера СА, импортированные ранее, и добавьте их в список Selected • Gateway Certificate: Выберите недавно созданный сертификат межсетевого экрана • Identification List: Выберите список идентификаторов, которые необходимо ассоциировать с VPN-туннелем. В данном случае, это sales 5. На вкладке Routing: • Включите опцию Dynamically add route to the remote network when a tunnel is established. 6. Нажмите OK Г. В заключение укажите набор IP-правил, разрешающих трафику проходить через туннель. Режим настройки (Config Mode) 398
Режим настройки IKE Configuration Mode (Config Mode) – это расширение IKE, позволяющее системе NetDefendOS предоставлять удаленным клиентам информацию о настройках LAN. Используется для динамической настройки IPsec-клиентов с IP-адресами и соответствующими масками и для обмена другой информацией, связанной с DHCP. IP-адрес, назначенный клиенту, может быть в диапазоне предварительно указанных статических IP-адресов, определенных для режима настройки, а также может быть назначен DHCP-серверами, связанными с объектом IP Pool. Пул IP-адресов – это кэш IP-адресов, собранных с DHCP-серверов. Аренда этих адресов продлевается автоматически после истечения указанного срока. Пулы IP-адресов управляют дополнительной информацией, такой как DNS и WINS / NBNS, так же как и обычный DHCP-сервер. (Для получения подробной информации о пулах см. Раздел 5.4, «Пулы IP-адресов».) Определение объекта Config Mode В настоящее время в системе NetDefendOS можно определить только один объект Config Mode, который будет называться Config Mode Pool. Параметры ключа, связанного с объектом, следующие: Use Predefined IP Pool Object Объект Пул IP-адресов, предоставляющий IP-адреса. Use a Static Pool В качестве альтернативы пула IP-адресов используется набор статических IP-адресов. DNS IP-адрес DNS, используемый для URL (уже предоставленный пулом IP-адресов). NBNS/WINS IP-адрес для NBNS/WINS (уже предоставленный пулом IPадресов). DHCP Инструктирует узел об отправке любых внешних DHCPзапросов на данный адрес. Subnets Список подсетей, к которым у клиента есть доступ. Пример 9.7. Настройка Config Mode В данном примере объект Config Mode Pool ассоциируется с уже заданным объектом IP Pool, который называется ip_pool1. Web-интерфейс 1. Зайдите Objects > VPN Objects > IKE Config Mode Pool 2. Появится Web-страница со свойствами объекта Config Mode 3. Выберите Use a predefined IPPool object 4. Выберите объект ip_pool1 из раскрывающегося меню IP Pool 5. Нажмите OK После указания объекта Config Mode, включите Config Mode для применения к IPsec-туннелю. Пример 9.8. Использование Config Mode с IPsec-туннелями Принимая во внимание предварительно указанный туннель, названный vpn_tunnel1, данный пример отображает, как включить Config Mode для данного туннеля. Web-интерфейс • Зайдите Interfaces > IPsec • Выберите туннель vpn_tunnel1 для изменения • Выберите IKE Config Mode в раскрывающемся списке • Нажмите OK 399
- Page 347 and 348: Изменить сложившую
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375 and 376: • Нельзя предварит
- Page 377 and 378: 3. Укажите совместн
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397: 1. Зайдите Objects > VPN Obj
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
Режим настройки IKE Configuration Mode (Config Mode) – это расширение IKE, позволяющее<br />
системе NetDefendOS предоставлять удаленным клиентам информацию о настройках LAN.<br />
Используется для динамической настройки IPsec-клиентов с IP-адресами и соответствующими<br />
масками и для обмена другой информацией, связанной с DHCP. IP-адрес, назначенный клиенту,<br />
может быть в диапазоне предварительно указанных статических IP-адресов, определенных для<br />
режима настройки, а также может быть назначен DHCP-серверами, связанными с объектом IP Pool.<br />
Пул IP-адресов – это кэш IP-адресов, собранных с DHCP-серверов. Аренда этих адресов<br />
продлевается автоматически после истечения указанного срока. Пулы IP-адресов управляют<br />
дополнительной информацией, такой как DNS и WINS / NBNS, так же как и обычный DHCP-сервер.<br />
(Для получения подробной информации о пулах см. Раздел 5.4, «Пулы IP-адресов».)<br />
Определение объекта Config Mode<br />
В настоящее время в системе NetDefendOS можно определить только один объект Config Mode,<br />
который будет называться Config Mode Pool. Параметры ключа, связанного с объектом, следующие:<br />
Use Predefined IP Pool Object Объект Пул IP-адресов, предоставляющий IP-адреса.<br />
Use a Static Pool В качестве альтернативы пула IP-адресов используется набор<br />
статических IP-адресов.<br />
DNS IP-адрес DNS, используемый для URL (уже предоставленный<br />
пулом IP-адресов).<br />
NBNS/WINS IP-адрес для NBNS/WINS (уже предоставленный пулом IPадресов).<br />
DHCP Инструктирует узел об отправке любых внешних DHCPзапросов<br />
на данный адрес.<br />
Subnets Список подсетей, к которым у клиента есть доступ.<br />
Пример 9.7. Настройка Config Mode<br />
В данном примере объект Config Mode Pool ассоциируется с уже заданным объектом IP Pool, который называется<br />
ip_pool1.<br />
Web-интерфейс<br />
1. Зайдите Objects > VPN Objects > IKE Config Mode Pool<br />
2. Появится Web-страница со свойствами объекта Config Mode<br />
3. Выберите Use a predefined IPPool object<br />
4. Выберите объект ip_pool1 из раскрывающегося меню IP Pool<br />
5. Нажмите OK<br />
После указания объекта Config Mode, включите Config Mode для применения к IPsec-туннелю.<br />
Пример 9.8. Использование Config Mode с IPsec-туннелями<br />
Принимая во внимание предварительно указанный туннель, названный vpn_tunnel1, данный пример отображает, как<br />
включить Config Mode для данного туннеля.<br />
Web-интерфейс<br />
• Зайдите Interfaces > IPsec<br />
• Выберите туннель vpn_tunnel1 для изменения<br />
• Выберите IKE Config Mode в раскрывающемся списке<br />
• Нажмите OK<br />
399