NetdefendOS_2.27.01_Firewall_User_Manual_RUS

04.03.2013 Views
Интернет. Туннелирование выполняется за счет инкапсуляции PPP-пакетов с помощью Generic Routing Encapsulation (GRE - IP-протокол 47). Сначала клиент устанавливает соединение с провайдером обычным способом с помощью PPP-протокола и далее устанавливает TCP/IPсоединение через Интернет к межсетевому экрану NetDefend, который действует в качестве PPTPсервера (используется TCP-порт 1723). Провайдер не осведомлен о VPN, так как туннель идет от PPTP-сервера к клиенту. Стандарт PPTP не определяет способ шифрования данных. Как правило, шифрование выполняется с помощью стандарта Microsoft Point-to-Point Encryption (MPPE). Применение PPTP-протокол является удобным и простым в использовании решением, обеспечивающим доступ клиентам. PPTP-протоколу не требуется инфраструктура сертификата, находящегося в L2TP, но вместо этого используется последовательность имя пользователя /пароль для установки доверия между клиентом и сервером. Уровень безопасности, предлагаемый не на основе сертификата, возможно, является единственным недостатком PPTP. Так как PPTP-протокол не использует IPsec, PPTP-соединения могут быть преобразованы с помощью технологии NAT и NAT traversal не требуется. Компания Microsoft включает PPTP в состав своих операционных систем, начиная с Windows 95 и, следовательно, существует большое количество клиентов с уже установленным программным обеспечением. Поиск и устранение неисправностей PPTP Основной проблемой при настройке PPTP-протокола является то, что маршрутизатор и/или коммутатор в сети блокирует TCP-порт 1723 и/или IP-протокол 47 перед установкой PPTPсоединения с межсетевым экраном NetDefend. При проверке журнала можно выявить проблему, появится сообщение следующего вида: Пример 9.10. Настройка PPTP-сервера В данном примере рассматривается процесс настройки сетевого PPTP-сервера. Предполагается, что в адресной книге уже созданы некоторые объекты адресов. Пользователю необходимо определить IP-адрес интерфейса PPTP-сервера, внешний IP-адрес (который необходимо прослушивать PPTP-серверу) и пул IP-адресов, который будет использовать PPTP-сервер для назначения IP-адресов клиентам. CLI gw-world:/> add Interface L2TPServer MyPPTPServer ServerIP=lan_ip Interface=any IP=wan_ip IPPool=pp2p_Pool TunnelProtocol=PPTP AllowedRoutes=all-nets Web-интерфейс 1. Зайдите Interfaces > PPTP/L2TP Servers > Add > PPTP/L2TP Server 2. Введите имя PPTP-сервера, например, MyPPTPServer 3. Далее введите: • Inner IP Address: lan_ip • Tunnel Protocol: PPTP • Outer Interface Filter: any • Outer Server IP: wan_ip 4. На вкладке PPP Parameters выберите pptp_Pool в настройках IP Pool 5. На вкладке Add Route, выберите all_nets из Allowed Networks 410

6. Нажмите OK Функция Use User Authentication Rules (Использовать Правила аутентификации пользователя) включена по умолчанию. Для аутентификации пользователей с использованием PPTP-туннеля необходимо настроить правила аутентификации, которые не представлены в данном примере. 9.5.2. L2TP-серверы L2TP-протокол (Layer 2 Tunneling Protocol) – это открытый стандарт IETF, решающий множество проблем PPTP. Он представляет собой комбинацию L2F-протокола (Layer 2 Forwarding ) и PPTPпротокола, с использованием наиболее полезных функций обоих протоколов. Так как стандарт L2TP не выполняет шифрование, эту функцию, как правило, выполняет IETF, известный как L2TP/IPsec, в котором L2TP-пакеты инкапсулируются по протоколу IPsec. Клиент обменивается данными с LAC (Local Access Concentrator) и LAC обменивается информацией через Интернет с LNS-сервером (L2TP Network Server). Межсетевой экран действует в качестве LNSсервера. LAC туннелирует данные, например, PPP, используя IPsec в сети Интернет. В большинстве случаев клиент действует в качестве LAC. L2TP-протокол основан на сертификате, благодаря чему он упрощает управление большим количеством клиентов и обеспечивает более высокий уровень безопасности, чем PPTP-протокол. При использовании L2TP, в отличие от PPTP, можно организовать несколько виртуальных сетей через один туннель. Так как протокол L2TP основан на IPsec, ему требуется NAT traversal (NAT-T) на стороне LNS. Пример 9.11. Настройка L2TP-сервера В данном примере рассматривается процесс настройки L2TP-сервера. Предполагается, что уже созданы некоторые объекты IP-адресов. Пользователю необходимо указать IP-адрес интерфейса L2TP-сервера, внешний IP-адрес (который необходимо прослушивать L2TP-серверу) и пул IP-адресов, который будет использовать L2TPсервер для назначения IP-адресов клиентам. CLI gw-world:/> add Interface L2TPServer MyL2TPServer ServerIP=ip_l2tp Interface=any IP=wan_ip IPPool=L2TP_Pool TunnelProtocol=L2TP AllowedRoutes=all-nets Web-интерфейс 1. Зайдите Interfaces > L2TP Servers > Add > L2TPServer 2. Введите имя L2TP-сервера, например, MyL2TPServer 3. Далее введите: • Inner IP Address: ip_l2tp • Tunnel Protocol: L2TP • Outer Interface Filter: any • Outer Server IP: wan_ip 4. На вкладке PPP Parameters выберите L2TP_Pool в настройках IP Pool 5. На вкладке Add Route tab, выберите all_nets из Allowed Networks 6. Нажмите OK Функция Use User Authentication Rules (Использовать Правила аутентификации пользователя) включена по умолчанию. Для аутентификации пользователей при использовании PPTP необходимо указать правила 411

Page 1 and 2: ф 1

Page 3 and 4: Руководство пользо

Page 5 and 6: 3.1.5. Автоматически

Page 7 and 8: 6.2.10. TLS ALG....................

Page 9 and 10: 10.1.2. Traffic Shaping в NetDefen

Page 11 and 12: Предисловие Целева

Page 13 and 14: Глава 1. Обзор NetDefendO

Page 15 and 16: Traffic Management NetDefendOS об

Page 17 and 18: В конечном итоге, п

Page 19 and 20: пакетов, проходящи

Page 21 and 22: Рис. 1.2. Схематичное

Page 23 and 24: Применяемые правил

Page 25 and 26: Меню загрузки конс

Page 27 and 28: пользователя, изоб

Page 29 and 30: Б. Навигатор • Maintena

Page 31 and 32: Структура команд CLI

Page 33 and 34: добавить маршрут: gw

Page 35 and 36: Пример 2.2. Включени

Page 37 and 38: gw-world:/> show -errors Систе

Page 39 and 40: delete cc Если в сценар

Page 41 and 42: сценариев, доступн

Page 43 and 44: Загрузка выполняет

Page 45 and 46: скачивания резервн

Page 47 and 48: для доступа админи

Page 49 and 50: Пример 2.4. Отображе

Page 51 and 52: 3. В появившемся вып

Page 53 and 54: Пример 2.10. Активаци

Page 55 and 56: • MemoryLogReceiver Систем

Page 57 and 58: сообщений: команда

Page 59 and 60: как клиент сервера

Page 61 and 62: 2.3.3. Промежуточные

Page 63 and 64: Проблема может воз

Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp

Page 67 and 68: SNMP-доступа. Порт 161

Page 69 and 70: gw-world:/> pcapdump -size 1024 -st

Page 71 and 72: • Имя файла (без ра

Page 73 and 74: Примечание: Резерв

Page 75 and 76: Глава 3.Основные пр

Page 77 and 78: 2. Указать подходящ

Page 79 and 80: 3.1.5. Автоматически

Page 81 and 82: "" Web-интерфейс 1. Пер

Page 83 and 84: Другие свойства се

Page 85 and 86: интегрированный с I

Page 87 and 88: 3.2.5. Service Groups (Сервис

Page 89 and 90: • Туннельные интер

Page 91 and 92: Процесс запуска бу

Page 93 and 94: i. Обозначить интер

Page 95 and 96: Здесь клавиша Tab ис

Page 97 and 98: • Для одного физич

Page 99 and 100: Пример 3.10. Определе

Page 101 and 102: провайдер не назна

Page 103 and 104: • Remote Endpoint (Удаленн

Page 105 and 106: (Name ) (Action) источника

Page 107 and 108: Хост в Ethernet-сети мо

Page 109 and 110: Mode Тип ARP-объекта. М

Page 111 and 112: Рисунок 3.2. ARP-ответ

Page 113 and 114: ARP Match Ethernet Sender Опре

Page 115 and 116: По умолчанию: 64 ARP IP

Page 117 and 118: При определении кр

Page 119 and 120: Исключения составл

Page 121 and 122: приоритет. 3.5.5. Папк

Page 123 and 124: Примечание На рису

Page 125 and 126: В некоторых случая

Page 127 and 128: Возвращаемся на ис

Page 129 and 130: определения действ

Page 131 and 132: 3.7.3. Запросы CA серти

Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH

Page 135 and 136: Для работы с URL-прот

Page 137 and 138: Следует помнить, чт

Page 139 and 140: Пример 3.28. Настройк

Page 141 and 142: Глава 4. Маршрутиза

Page 143 and 144: Рисунок 4.1 Сценарий

Page 145 and 146: Рисунок 4.2. Примене

Page 147 and 148: Преимущества опред

Page 149 and 150: given default gateway (автома

Page 151 and 152: Мониторинг автомат

Page 153 and 154: опрашивать один ил

Page 155 and 156: 4.2.5. Расширенные на

Page 157 and 158: Рисунок 4.4. Пример Pr

Page 159 and 160: был хотя бы маршрут

Page 161 and 162: • Каждый ISP предост

Page 163 and 164: 2. Если найден тольк

Page 165 and 166: маршрут не изменяе

Page 167 and 168: gw-world:/> add RouteBalancingInsta

Page 169 and 170: подсетей, OSPF может

Page 171 and 172: Совет: Кольцевая то

Page 173 and 174: ASBR Граничные маршр

Page 175 and 176: В примере виртуаль

Page 177 and 178: Объект Автономная

Page 179 and 180: 4.5.3.2. Объект OSPF Area и

Page 181 and 182: Обмен информацией

Page 183 and 184: 183

Page 185 and 186: внешние маршруты, и

Page 187 and 188: Offset Metric Метрика уве

Page 189 and 190: Повторить шаги 1 - 5

Page 191 and 192: 4.5.6. Пример OSPF В дан

Page 193 and 194: 4.6. Многоадресная м

Page 195 and 196: Рисунок 4.14. Многоад

Page 197 and 198: Рисунок 4.15 Многоад

Page 199 and 200: Рисунок 4.16. Работа

Page 201 and 202: 4. OK 4.6.3.2. Настройка I

Page 203 and 204: 4. OK • Source Interface: wan •

Page 205 and 206: По умолчанию: 30,000 IGM

Page 207 and 208: маршрутизатор и ис

Page 209 and 210: Шаги по установки,

Page 211 and 212: Рисунок 4.18 Доступ в

Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •

Page 215 and 216: 3. OK • Interfaces: Выбрат

Page 217 and 218: • Cisco proprietary PVST+ Protoco

Page 219 and 220: • RewriteLog - Перезапис

Page 221 and 222: • Интерфейс Каждый

Page 223 and 224: 1. Зайдите System > DHCP > D

Page 225 and 226: В этом примере демо

Page 227 and 228: 1. Добавьте VLAN интер

Page 229 and 230: Базовые настройки

Page 231 and 232: применению интерфе

Page 233 and 234: Рекомендуется выпо

Page 235 and 236: TCP/IP. В системе NetDefend

Page 237 and 238: содержимого». • Ан

Page 239 and 240: «черного списка» б

Page 241 and 242: Примечание: Автома

Page 243 and 244: Если данная функци

Page 245 and 246: Б. Определите Service: 1

Page 247 and 248: зависимости от тог

Page 249 and 250: Функции SMTP ALG Основ

Page 251 and 252: Например, запись ад

Page 253 and 254: DSNBL-сервер указывае

Page 255 and 256: Учет для вышедших и

Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по

Page 259 and 260: Рис. 6.6. Использован

Page 261 and 262: экрана NetDefend, но так

Page 263 and 264: реализуется через

Page 265 and 266: traversal Нет необходим

Page 267 and 268: ProxyAndClients Если функц

Page 269 and 270: Примечание Контакт

Page 271 and 272: в IP-сетях. Стандарт

Page 273 and 274: определенном сцена

Page 275 and 276: • Destination Interface: core •

Page 277 and 278: • Source Network: lannet • Dest

Page 279 and 280: 2. Введите: • Name: H323In

Page 281 and 282: Привратник H.323 расп

Page 283 and 284: 3. Нажмите OK Пример 6

Page 285 and 286: банковским услугам

Page 287 and 288: Шифровка, поддержи

Page 289 and 290: Web-интерфейс 1. Зайд

Page 291 and 292: 7. Нажмите OK Продолж

Page 293 and 294: отдельная подписка

Page 295 and 296: и поможет избежать

Page 297 and 298: 4. С этого момента п

Page 299 and 300: Категория 10: Игры Web

Page 301 and 302: Категория 22: Клубы

Page 303 and 304: Пример 6.18. Отправка

Page 305 and 306: 6.4.2. Реализация Пот

Page 307 and 308: 6.4.6. Функции Антиви

Page 309 and 310: коммутаторах, так к

Page 311 and 312: 6.5.2. Система IDP и уст

Page 313 and 314: 3. Это изменение нас

Page 315 and 316: NetDefendOS автоматичес

Page 317 and 318: Списки групп IDP Спи

Page 319 and 320: Правила IDP: 1. Зайдит

Page 321 and 322: от атак DoS. 6.6.2. Меха

Page 323 and 324: потребление всего

Page 325 and 326: 6.7. «Черный список»

Page 327 and 328: Глава 7. Преобразов

Page 329 and 330: пулы». IP-адрес исто

Page 331 and 332: 4. Удостоверьтесь, ч

Page 333 and 334: ситуации, когда мно

Page 335 and 336: 7.4. SAT 2. Затем введит

Page 337 and 338: Рисунок 7.4. Роль зон

Page 339 and 340: • Service: http • Source Interf

Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80

Page 343 and 344: Создайте соответст

Page 345 and 346: • При обращении к п

Page 347 and 348: Изменить сложившую

Page 349 and 350: • Создать IP-правил

Page 351 and 352: Система NetDefendOS може

Page 353 and 354: значение SAMAccountName (в

Page 355 and 356: Аутентификация LDAP-

Page 357 and 358: (на большинстве LDAP-

Page 359 and 360: • Terminator IP Терминир

Page 361 and 362: # Действие Интерфей

Page 363 and 364: 3. Нажмите OK 4. Повто

Page 365 and 366: LoginSuccess, а затем - на

Page 367 and 368: Глава 9. VPN В данной

Page 369 and 370: клиенты и филиалы о

Page 371 and 372: • Укажите IP-правил

Page 373 and 374: 3. Создайте объект IP

Page 375 and 376: • Нельзя предварит

Page 377 and 378: 3. Укажите совместн

Page 379 and 380: • ip_int - внутренний I

Page 381 and 382: Оба соединения IKE и

Page 383 and 384: настройки, такие ка

Page 385 and 386: Алгоритм Диффи-Хел

Page 387 and 388: пакете. Далее выпол

Page 389 and 390: 9.3.6. Списки выбора а

Page 391 and 392: Далее примените об

Page 393 and 394: 9.4.1. Обзор IPsec-тунне

Page 395 and 396: защищенный обмен д

Page 397 and 398: 1. Зайдите Objects > VPN Obj

Page 399 and 400: Режим настройки IKE C

Page 401 and 402: Для запуска провер

Page 403 and 404: Message ID : 0x00000000 Packet leng

Page 405 and 406: Flags : E (encryption) Cookies : 0x

Page 407 and 408: туннелям. По умолча

Page 409: 10 секунд, а также не

Page 413 and 414: г. Encapsulation Mode: Transport

Page 415 and 416: • Service: all_services • Sourc

Page 417 and 418: 9.6. Доступ к серверу

Page 419 and 420: умолчанию с возмож

Page 421 and 422: 9.7.3. Команды поиска

Page 423 and 424: Список IKE proposal не со

Page 425 and 426: 9.7.6. Особые признак

Page 427 and 428: Глава 10. Управление

Page 429 and 430: Интернет-услуг, в к

Page 431 and 432: Рис. 10.2. Правила FwdFas

Page 433 and 434: Web-интерфейс 1. Зайд

Page 435 and 436: Значение приоритет

Page 437 and 438: Приоритеты применя

Page 439 and 440: • IP-адрес назначен

Page 441 and 442: приоритета, и далее

Page 443 and 444: административного

Page 445 and 446: • Приоритет 6 - VoIP (50

Page 447 and 448: Если используется S

Page 449 and 450: 3.Далее устанавлива

Page 451 and 452: помощью команды CLI p

Page 453 and 454: 10.3.2. Ограничение ск

Page 455 and 456: 2560 и 2560G. Иллюстраци

Page 457 and 458: IP Address Stickiness (Привяз

Page 459 and 460: Рис. 10.12. Привязка (St

Page 461 and 462: 1. Зайдите Rules > IP Rule S

Page 463 and 464: Глава 11. Режим высо

Page 465 and 466: через интерфейс си

Page 467 and 468: В результате сбоя sy

Page 469 and 470: На приведенной схе

Page 471 and 472: операционной систе

Page 473 and 474: • Определить, како

Page 475 and 476: Количество секунд

Page 477 and 478: • Тип коммутатора

Page 479 and 480: Для предотвращения

Page 481 and 482: Второе отличие зак

Page 483 and 484: По умолчанию: Включ

Page 485 and 486: С помощью данной на

Page 487 and 488: TCP Zero Unused URG Снимает

Page 489 and 490: принимая во вниман

Page 491 and 492: 13.4. Настройки состо

Page 493 and 494: По умолчанию: 262144 TCP

Page 495 and 496: Задает максимальны

Page 497 and 498: определить причину

Page 499 and 500: секунд, чтобы предо

Page 501 and 502: Приложение А. Подпи

Page 503 and 504: удаление базы данн

Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з

Page 507 and 508: Приложение В. Типы

Page 509 and 510: pfb Шрифт (двоичный) p

netdefendos

netdefend

ospf

ipsec

http

destination

lannet

interface

shaping

objects

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS ... View more NetdefendOS_2.27.01_Firewall_User_Manual_RUS

Delete template?

Save as template ?

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS