NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
умолчанию с возможностью отключения. Остальные клиенты (не Microsoft) отличаются в работе, но<br />
большинство из них попытаются проверить сертификат.<br />
Расположение приватных серверов СА<br />
Наиболее простым решением по размещению приватного сервера СА является его расположение на<br />
незащищенной стороне межсетевого экрана NetDefend. Тем не менее, с точки зрения безопасности<br />
это не рекомендуется. Лучше разместить сервер на внутренней стороне (или, если возможно, в зоне<br />
DMZ) под управлением NetDefendOS.<br />
Как объяснялось ранее, адрес приватного сервера СА должен быть преобразован через публичные<br />
DNS-серверы для запросов проверки сертификата, идущих через сеть Интернет. Если запросы идут<br />
только от межсетевого экрана NetDefendOS и сервер СА находится на внутренней стороне<br />
межсетевого экрана, то IP-адрес внутреннего DNS-сервера должен быть задан в системе<br />
NetDefendOS, таким образом, эти запросы могут быть удовлетворены.<br />
Выключение<br />
Как было представлено в разделе «Поиск и устранение неисправностей» идентификация проблем с<br />
сервером СА может быть выполнена с помощью выключения требования проверки сертификата.<br />
Попытки доступа системы NetDefendOS к серверам СА можно выключить с помощью опции Disable<br />
CRLs для объектов сертификатов. Это означает, что проверка будет выключена и доступ к серверу<br />
заблокирован.<br />
9.7. Поиск и устранение проблем VPN<br />
В данном разделе рассматривается поиск и устранение общих проблем VPN.<br />
9.7.1. Поиск и устранение проблем<br />
Для всех типов VPN можно выполнить поиск и устранение неисправностей:<br />
• Проверьте корректность IP-адресов<br />
• Проверьте корректность ввода общих ключей и имен пользователей/паролей<br />
• Используйте ICMP Ping для подтверждения активности туннеля. Для удаленных клиентов<br />
наиболее эффективным способом является Pinging. С помощью команды ping выполняется<br />
проверка внутреннего IP-адреса локального сетевого интерфейса на межсетевом экране<br />
NetDefend (в LAN to LAN команда ping может быть выполнена в любом направлении). Если<br />
NetDefendOS отвечает на запрос ping, то необходимо добавить следующее правило в набор IPправил:<br />
Action Src Interface Src Network Dest Interface Dest Network Service<br />
Allow vpn_tunnel all-nets core all-nets ICMP<br />
• Убедитесь, что другой IPsec Tunnel не препятствует корректному. Система NetDefendOS<br />
сканирует список туннелей сверху вниз, и туннель в верхней части списка с установленным<br />
значением all-nets для Remote Network и none для Remote Endpoint может препятствовать<br />
достижению корректного туннеля. Признаком этого является сообщение Incorrect Pre-shared<br />
Key.<br />
• Попытайтесь избежать дублирования IP-адресов между удаленной сетью, к которой у клиента<br />
есть доступ, и внутренней сетью, которой принадлежит удаленный клиент.<br />
419