Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

diplom-Baikonur / diplom-Baikonur / интсрукции к оборудованию / DFL-1100 Руководство администратора

.pdf
Скачиваний:
54
Добавлен:
16.04.2013
Размер:
3.15 Mб
Скачать

Добавление клиента L2TP/PPTP VPN

Выполните следующее для добавления клиента VPN L2TP или PPTP.

Шаг 1. Нажмите Firewall, затем VPN и нажмите на ссылку Add new PPTP client или

Add new L2TP client в меню L2TP/PPTP Clients.

Шаг 2. Введите имя нового туннеля в поле Name. Имя может содержать цифры (0-9) и буквы в верхнем и нижнем регистре (A-Z, a-z), а также специальные символы - и _. Другие специальные символы и пробелы не допустимы.

Шаг 3. Введите имя пользователя и пароль для клиента PPTP или L2TP.

Шаг 4. Укажите, нужно ли получать IP-адрес от сервера (оставьте поле пустым), или использовать введенный IP-адрес. В большинстве сценариев можно оставить поле пустым.

Шаг 5. Укажите адрес удаленного шлюза Remote Gateway; это должен быть IPадрес сервера L2TP или PPTP, к которому идет подключение.

Шаг 6. Если используется шифрование IPSec для клиента L2TP или PPTP, выберите тип аутентификации, или ключ PSK (Pre-shared Key) или сертификат (Certificatebased).

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Добавление сервера L2TP/PPTP VPN

Выполните следующее для добавления сервера VPN L2TP или PPTP, ожидающего подключений на IP-адресе интерфейса WAN.

Шаг 1. Нажмите Firewall, затем VPN и нажмите на ссылку Add new PPTP server или

Add new L2TP server в меню L2TP/PPTP Server.

Шаг 2. Введите имя нового туннеля в поле Name. Имя может содержать цифры (0-9) и буквы в верхнем и нижнем регистре (A-Z, a-z), а также специальные символы - и _. Другие специальные символы и пробелы не допустимы.

Шаг 3. Введите пул IP-адресов в поле Client IP Pool; это должен быть диапазон неиспользуемых IP-адресов для интерфейса LAN, которые будут назначаться клиентам L2TP или PPTP.

Шаг 4. Если используется шифрование IPSec для клиента L2TP или PPTP, выберите тип аутентификации, или ключ PSK (Pre-shared Key) или сертификат (Certificatebased).

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

IPSec VPN – Дополнительные параметры

Дополнительные параметры туннеля VPN используются, когда необходимо изменить некоторые свойства туннеля, например, при подключении к шлюзу VPN стороннего производителя. Различные параметры, настраиваемые для отдельного туннеля, включают в себя следующее:

Limit MTU (ограничение MTU)

При помощи данного параметра можно ограничить значение MTU (Max Transferable Unit) для туннеля VPN.

IKE Mode (Режим IKE)

Позволяет указать, какой режим IKE нужно использовать при установлении исходящего туннеля VPN: Main Mode или Aggressive Mode. Входящие соединения в режиме Main mode всегда разрешены. Входящие соединения в режиме Aggressive mode разрешены, только если данный параметр установлен в значение Aggressive mode.

IKE DH Group (Группа DH IKE)

Позволяет указать группу ключей Diffie-Hellman: 1 (modp 768-bit), 2 (modp 1024bit) или 5 (modp 1536-bit).

PFS – Perfect Forward Secrecy

Если функция PFS (Perfect Forwarding Secrecy) включена новый обмен по протоколу Diffie-Hellman будет выполняться для каждого согласования на 2-ой фазе. Поскольку это очень медленный процесс, он гарантирует, что никакие ключи не будут зависеть от любых ранее использованных ключей; никакие ключи не будут извлекаться из начального ключа. Это сделано для того, чтобы в случае рассекречивания некоторых ключей, не создавались зависимые ключи.

NAT Traversal

Позволяет определить поведение функции NAT Traversal.

Disabled – Межсетевой экран не будет отправлять идентификатор производителя Vendor ID, который включает поддержку NAT-T, когда устанавливается туннель.

On if supported and need NAT - NAT-T будет использоваться только в том случае, если один из шлюзов VPN выполняет NAT.

On if supported – Всегда стараться использовать NAT-T, когда устанавливается туннель.

Keepalives

No keepalives – Механизм Keep-alive отключен.

Automatic keepalives – Межсетевой экран будет отправлять сообщения ping ICMP на IP-адреса, автоматически найденные в параметрах туннеля VPN.

Manually configured IP addresses – Позволяет вручную указать IP-адреса источника и назначения, используемые при отправке сообщений ping ICMP.

Списки схем

Для установления параметров соединения VPN, выполняется процесс согласования. В качестве результата согласования устанавливаются контексты зашиты IKE и IPSec (Security association, SA). Схема (как план действий) является стартовой точкой согласования. Схема определяет параметры шифрования, например, алгоритм шифрования, время жизни и т.д., которые поддерживает шлюз VPN.

Существует два типа схем, схема IKE и схема IPSec. Схема IKE используется на 1- ой фазе согласования IKE (согласование параметров IKE), а схема IPSec используется на 2-ой фазе согласования IKE (согласование параметров IPSec).

Список схем используется для группировки нескольких схем. В течение процесса согласования схемы из списка предлагаются удаленному шлюзу VPN один за другим до тех пор, пока совпадение не будет найдено.

Список схем IKE

Cipher – Определяет алгоритм шифрования, используемый в данной схеме IKE.

Поддерживаются алгоритмы AES, 3DES, DES, Blowfish, Twofish и CAST128.

Hash – Определяет функцию хэширования, используемую для вычисления контрольной суммы, которая позволяет установить, был ли изменен пакет при передаче. Поддерживаются алгоритмы MD5 и SHA1.

Life Times – Определяет время жизни схемы в Кбайтах или секундах. По истечении этого времени контекст защиты для туннеля VPN согласовывается заново.

Список схем IPSec

Cipher – Определяет алгоритм шифрования, используемый в данной схеме IPSec.

Поддерживаются алгоритмы AES, 3DES, DES, Blowfish, Twofish и CAST128.

HMAC – Определяет функцию хэширования, используемую для вычисления контрольной суммы, которая позволяет установить, был ли изменен пакет при передаче. Поддерживаются алгоритмы MD5 и SHA1.

Life Times – Определяет время жизни схемы в Кбайтах или секундах. По истечении этого времени контекст защиты для туннеля VPN согласовывается заново.

Меню Certificates (Сертификаты)

Сертификаты являются цифровым подтверждением личности. Он связывает личность человека с открытым ключом заслуживающим доверия способом. Сертификаты могут быть использованы для аутентификации индивидуальных пользователей или других конечных пользователей. Эти типы сертификатов обычно называются сертификатами End-entity (конечных пользователей).

Прежде чем туннель VPN с аутентификацией по сертификатам будет установлен, межсетевому экрану необходим собственный сертификат и сертификат удаленного межсетевого экрана. Эти сертификаты могут быть или подписаны самими собой, или центром сертификации (CA).

Trusting Certificates (Сертификаты доверия)

При установлении туннеля VPN межсетевой экран должен узнать, кому он должен доверять. При использовании заранее распределенных ключей все просто. Межсетевой экран доверяет всем, у кого есть такой же ключ.

При использовании сертификатов, с другой стороны, Вы говорите межсетевому экрану, что он должен доверять всем, чей сертификат подписан данным CA. Прежде чем сертификат будет принят, выполняются следующие действия для проверки подлинности сертификата:

Конструируется путь сертификации к корневому CA, которому доверяют.

Проверяются подписи всех сертификатов в пути сертификации.

Прием списка отозванных сертификатов (CRL) для каждого сертификата для проверки, что ни один из сертификатов не был отозван.

Local Identities (Локальные личности)

Это список всех сертификатов локальных личностей, которые могут быть использованы в туннелях VPN. Сертификат локальной личности используется межсетевым экраном для подтверждения своей личности на удаленном узле VPN.

Для добавления нового сертификата локальной личности нажмите Add new. Следующие страницы позволят Вам указать имя локальной личности и загрузить сертификат и файлы закрытых ключей. Этот сертификат затем может быть выбран в поле Local Identity на странице VPN.

Этот список также включает специальный сертификат, называемый Admin. Это сертификат, используемый для предоставления доступа HTTPS через Webинтерфейс.

Примечание: Сертификат Admin может быть только заменен, но не удален или переименован. Он используется для доступа по HTTPS к DFL-1100.

Certificates of Remote Peers (Сертификаты удаленных узлов)

Это список всех сертификатов отдельных удаленных узлов. Для добавления нового сертификата удаленного узла нажмите Add new. Следующие страницы позволят указать имя для сертификата удаленного узла и загрузить файл сертификата. Этот сертификат затем может быть выбран в поле Certificates на странице VPN.

Certificate Authorities (Центры сертификации)

Это список сертификатов центров сертификации (CA). Для добавления нового сертификата CA нажмите Add new. Следующие страницы позволят Вам указать имя сертификата CA и загрузить файл сертификата. Этот сертификат затем может быть выбран в поле Certificates на странице VPN.

Примечание: Если загруженный сертификат является сертификатом CA, он будет автоматически размещен в списке Certificate Authorities, даже если нажать Add New в списке Remote Peers. Точно также, не-CA сертификат будет помещен в список

Remote Peers, даже если нажать Add New в списке Certificate Authorities.

Identities (Личности)

Это список всех настроенных списков личностей. Список личностей может быть использован на странице VPN для ограничения входящего доступа VPN из данного списка известных личностей.

Обычно туннель VPN устанавливается, если сертификат удаленного узла представлен в поле Certificates в меню VPN, или сертификат удаленного узла подписан CA, чей сертификат представлен в поле Certificates в меню VPN. Однако, в некоторых случаях может быть необходимо ограничить, кто может устанавливать туннель VPN, даже среди узлов, подписанных тем же CA.

Список личностей может быть выбран в поле Identity List на странице VPN.

Если список Identity List настроен, межсетевой экран будет сверять личность устанавливающего соединение удаленного узла сов списком Identity List, и туннель VPN будет открыт, только если совпадение было найдено. Если списка Identity List нет, совпадений не будет.

Меню Content Filtering (Фильтрация содержимого)

Функция фильтрации содержимого HTTP DFL-1100 может быть настроена для сканирования всего содержимого потока протокола HTTP в поисках URL или содержимого Web-страниц. Если найдено совпадение URL с блокированным URL, DFL-1100 заблокирует доступ к Web-странице.

Можно создать «черный» список URL для блокирования доступа ко всем или только к некоторым страницам Web-сайта. Используя эту функцию можно запретить доступ к части Web-сайта без запрещения доступа к другим его страницам.

Фильтрацию содержимого HTTP также можно настроить на излечение содержимого,

например, компонентов ActiveX, Flash и cookies.

Кроме того, существует «белый» список URL, которые должны быть освобождены от фильтрации содержимого.

Примечание: Чтобы фильтрация URL HTTP работала, весь трафик HTTP должен проходить через проверку правил, используя сервис с опцией HTTP ALG.

Редактирование глобального «белого» списка URL

Выполните следующее для добавления или удаления url.

Шаг 1. Нажмите

Firewall, затем Content Filtering и выберите Edit global URL whitelist.

Шаг 2. Добавьте/ отредактируйте или удалите URL для создания «белого» списка URL (никогда не будут проверяться функцией фильтрации содержимого).

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Редактирование глобального «черного» списка URL

Выполните следующее для добавления или удаления url.

Шаг 1. Нажмите

Firewall, затем Content Filtering и выберите Edit global URL blacklist.

Шаг 2. Добавьте/ отредактируйте или удалите URL для создания «черного» списка URL (запрещенные URL).

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Примечание: Чтобы фильтрация URL HTTP работала, весь трафик HTTP должен проходить через проверку правил, используя сервис с опцией HTTP ALG.

Обработка активного содержимого

Обработку активного содержимого можно включить или отключить, поставив флажок рядом с типом содержимого, которое Вы хотите удалять. Например, для удаления компонентов ActiveX и Flash, поставьте флажок Strip ActiveX objects. Можно извлекать компоненты ActiveX, Flash, Java, JavaScript и VBScript, можно блокировать cookies.

Примечание: Чтобы фильтрация URL HTTP работала, весь трафик HTTP должен проходить через проверку правил, используя сервис с опцией HTTP ALG.

Меню Servers (Серверы)

Меню DHCP Server (Сервер DHCP)

DFL-1100 имеет встроенный сервер DHCP; протокол

DHCP (Dynamic Host Configuration Protocol) – это протокол, позволяющий сетевым администраторам автоматически назначать IP-адреса компьютерам сети.

Сервер DHCP DFL1100 облегчает работу по администрированию сети, поскольку отпадает необходимость в отдельном программном сервере DHCP.

Сервер DHCP DFL1100 реализует только поднабор функций протокола DHCP, необходимых для обслуживания небольшой сети:

IP-адрес

Маска сети

Подсеть

Адрес шлюза

Серверы DNS

Серверы WINS

Доменное имя

Сервер DHCP DFL-1100 назначает клиентам и управляет IP-адресами из определенного пула адресов межсетевого экрана.

Примечание: Периоды аренды запоминаются при перенастройке или перезагрузке межсетевого экрана.

DFL-1100 также включает в себя агента DHCP Relay (агент пересылки). Агент DHCP Relay – это форма шлюза между сервером DHCP и его пользователями. Агент пересылки перехватывает запросы DHCP от пользователей и передает их на сервер DHCP, одновременно создавая динамические маршруты на основании аренд IPадресов. Это позволяет межсетевому экрану хранить точную таблицу маршрутизации, основанную на активных пользователях, и защищает сервер DHCP.

Примечание: На отдельном интерфейсе можно настроить только сервер DHCP или только агента DHCP Relay.

Включение сервера DHCP

Для включения сервера DHCP на интерфейсе нажмите Servers в панели меню и затем слева DHCP Server.

Выполните следующее для включения сервера DHCP на интерфейсе LAN.

Шаг 1. Выберите интерфейс LAN из списка доступных интерфейсов Available interfaces.

Шаг 2. Поставьте флажок в поле Use built-in DHCP Server.

Шаг 3. Введите диапазон адресов в поле IP Span, начальный и конечный IP-адрес диапазона адресов, которые DFL-1100 будет выделять клиентам.

Шаг 4. Введите адреса серверов DNS в поля DNS servers. Сервер DHCP будет предоставлять эти адреса клиентам, как минимум один необходимо ввести. Если настроен агент пересылки DNS, сервер DHCP может предоставить его адрес.

Шаг 5. Дополнительно можно ввести адреса серверов WINS, которые сервер DHCP будет предоставлять клиентам.

Шаг 6. Дополнительно можно ввести имя домена, которое сервер DHCP будет предоставлять клиентам.

Шаг 7. Выберите, на какой период времени сервер DHCP будет предоставлять адрес клиенту в аренду, прежде чем клиент должен будет его обновить.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Включение агента DHCP Relay

Для включения DHCP Relay на интерфейсе нажмите Servers в панели меню и затем слева DHCP Server.

Выполните следующее для включения агента пересылки DHCP Relay на интерфейсе

LAN.

Шаг 1. Выберите интерфейс LAN из списка доступных интерфейсов Available interfaces.

Шаг 2. Поставьте флажок в поле Relay DHCP Requests to other DHCP server.

Шаг 3. Введите IP-адрес сервера DHCP в поле Server IP; помните, что он должен находиться на интерфейсе, отличном от того, откуда приходят запросы DHCP, то есть сервер на DMZ.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.