NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

Проверка IP-адреса Система NetDefendOS всегда проверяет, совпадает ли IP-адрес источника каждого пакета внутри IPsec-туннеля с IP-адресом, назначенным IPsec-клиенту с IKE Config Mode. Если обнаружено несоответствие, пакет отбрасывается, и генерируется сообщение с уровнем важности Предупреждение (Warning). Это сообщение содержит два IP-адреса, а также идентификатор клиента. Помимо этого, если не удалось выполнить проверку, несоответствующие SA могут быть автоматически удалены. Это выполняется с помощью включения расширенной настройки IPsecDeleteSAOnIPValidationFailure. По умолчанию для данной настройки установлено значение Выключено. 9.4.4. СRL, полученные от альтернативного LDAPсервера Как правило, корневой сертификат включает IP-адрес или имя узла Центра сертификации для взаимодействия, если необходимо загрузить сертификаты или CRL на межсетевой экран NetDefend. Для этих загрузок используется протокол LDAP (Lightweight Directory Access Protocol). Тем не менее, в некоторых случаях эта информация отсутствует или администратор использует другой LDAP-сервер. Для того чтобы вручную указать альтернативные LDAP-серверы используйте раздел с настройками LDAP. Пример 9.9. Настройка LDAP-сервера В данном примере рассматривается установка LDAP-сервера вручную. CLI gw-world:/> add LDAPServer Host=192.168.101.146 Username=myusername Password=mypassword Port=389 Web-интерфейс 1. Зайдите Objects > VPN Objects > LDAP > Add > LDAP Server 2. Далее введите: • IP Address: 192.168.101.146 • Username: myusername • Password: mypassword • Confirm Password: mypassword • Port: 389 3. Нажмите OK 9.4.5. Поиск и устранение неисправностей с помощью ikesnoop Согласование VPN-туннеля При настройке IPsec-туннелей могут возникнуть проблемы, например, не удается выполнить первоначальное согласование, так как устройства на противоположных сторонах VPN-туннеля не могут договориться о том, какие протоколы и методы шифрования использовать. Команда консоли ikesnoop с функцией verbose является инструментом, используемым для выявления причины проблемы, отображая детали согласования. Использование ikesnoop Команда ikesnoop вводится через консоль CLI или напрямую через консоль RS232. 400

Для запуска проверки используется следующая команда: моаЭто означает, что исходящий ikesnoop будет отправлен в консоль для каждого IKE-согласования VPN-туннеля. Исходящие данные можно ограничить до одного IP-адреса, например, IP-адрес -10.1.1.10, используется следующая команда: ралИспользуемый IP-адрес – это IP-адрес удаленной конечной точки VPN-туннеля (либо IP-адрес удаленной конечной точки, либо IP-клиента). Для выключения функции мониторинга используется следующая команда: ррр Исходящие данные опции verbose могут оказаться сложными для восприятия администратора, который видит их в первый раз. Ниже представлены некоторые типичные исходящие данные ikesnoop с объясняющей аннотацией. Согласование туннеля выполняется на основе общих ключей. В данном разделе не обсуждается согласование на основе сертификатов, но используются те же принципы, что и в согласовании туннелей на основе общих ключей. Подробная информация об опциях команды ikesnoop содержится в Руководстве по интерфейсу командной строки CLI. Клиент и сервер Две стороны, участвующие в процессе согласования туннеля, называются в данном разделе клиент и сервер. В данном контексте слово «клиент» обозначает устройство, которое является инициатором согласования, а сервер – это устройство, которое является ответчиком. Шаг 1. Клиент инициирует обмен, отправляя список поддерживаемых алгоритмов Исходящие данные функции verbose отображают список алгоритмов на выбор, которые клиент сначала отправляет на сервер. В списке отображаются поддерживаемые протоколы и методы шифрования. Основное назначение списка алгоритмов заключается в том, чтобы клиент обнаружил соответствующий набор протоколов/методов, поддерживаемых сервером. Сервер проверяет список и пытается найти комбинацию протоколов/методов, отправленных клиентом, который их поддерживает. Этот процесс является одним из основных в обмене IKE. IkeSnoop: Received IKE packet from 192.168.0.10:500 Exchange type : Identity Protection (main mode) ISAKMP Version : 1.0 Flags : Cookies : 0x6098238b67d97ea6 -> 0x00000000 Message ID : 0x00000000 Packet length : 324 bytes # payloads : 8 Payloads: SA (Security Association) Payload data length : 152 bytes DOI : 1 (IPsec DOI) Proposal 1/1 Protocol 1/1 Protocol ID : ISAKMP SPI Size : 0 Transform 1/4 Transform ID : IKE Encryption algorithm : DES-cbc Hash algorithm : MD5 Authentication method : Pre-Shared Key Group description : MODP 1024 Life type : Seconds Life duration : 43200 401

Проверка IP-адреса<br />

Система NetDefendOS всегда проверяет, совпадает ли IP-адрес источника каждого пакета внутри<br />

IPsec-туннеля с IP-адресом, назначенным IPsec-клиенту с IKE Config Mode. Если обнаружено<br />

несоответствие, пакет отбрасывается, и генерируется сообщение с уровнем важности<br />

Предупреждение (Warning). Это сообщение содержит два IP-адреса, а также идентификатор<br />

клиента.<br />

Помимо этого, если не удалось выполнить проверку, несоответствующие SA могут быть<br />

автоматически удалены. Это выполняется с помощью включения расширенной настройки<br />

IPsecDeleteSAOnIPValidationFailure. По умолчанию для данной настройки установлено значение<br />

Выключено.<br />

9.4.4. СRL, полученные от альтернативного LDAPсервера<br />

Как правило, корневой сертификат включает IP-адрес или имя узла Центра сертификации для<br />

взаимодействия, если необходимо загрузить сертификаты или CRL на межсетевой экран NetDefend.<br />

Для этих загрузок используется протокол LDAP (Lightweight Directory Access Protocol).<br />

Тем не менее, в некоторых случаях эта информация отсутствует или администратор использует<br />

другой LDAP-сервер. Для того чтобы вручную указать альтернативные LDAP-серверы используйте<br />

раздел с настройками LDAP.<br />

Пример 9.9. Настройка LDAP-сервера<br />

В данном примере рассматривается установка LDAP-сервера вручную.<br />

CLI<br />

gw-world:/> add LDAPServer Host=192.168.101.146 <strong>User</strong>name=myusername<br />

Password=mypassword Port=389<br />

Web-интерфейс<br />

1. Зайдите Objects > VPN Objects > LDAP > Add > LDAP Server<br />

2. Далее введите:<br />

• IP Address: 192.168.101.146<br />

• <strong>User</strong>name: myusername<br />

• Password: mypassword<br />

• Confirm Password: mypassword<br />

• Port: 389<br />

3. Нажмите OK<br />

9.4.5. Поиск и устранение неисправностей с помощью<br />

ikesnoop<br />

Согласование VPN-туннеля<br />

При настройке IPsec-туннелей могут возникнуть проблемы, например, не удается выполнить<br />

первоначальное согласование, так как устройства на противоположных сторонах VPN-туннеля не<br />

могут договориться о том, какие протоколы и методы шифрования использовать. Команда консоли<br />

ikesnoop с функцией verbose является инструментом, используемым для выявления причины<br />

проблемы, отображая детали согласования.<br />

Использование ikesnoop<br />

Команда ikesnoop вводится через консоль CLI или напрямую через консоль RS232.<br />

400

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!