| Назва: | IPSecurity |
| Тип: | Реферати |
| Мова: | Українська |
| Розмiр: | 2,24 MB |
| Скачувань: | 23 |
В даний час|нині| пропонується велика кількість різноманітних|всіляких| систем захисту інформації. Їх основне призначення — закрити|зачинити| всі можливі шляхи|колії,дороги| для зловмисника. Головне — не забувати про те, що одна залишена лазівка зробить даремним|некорисним| всі засоби|кошти| захисту, які ви встановили.
17. Переваги IPSec
Переваги IPSec можна встановити у області IPSec Прохід на вкладці Установки Безпеки (Security Settings) в розділі Настройки/Продвинутые опції (Configuration / Advanced Options).
Докладніша інформація по IPSec приведена у розділі Конфігурація IPSec WinRoute.
Активування (Enable)
Ця опція активує прохід IPSec.
Необхідно встановити порожній|пустий| тайм-аут для з'єднання|сполучення,сполуки| IPSec (час за умовчанням складає 3600 секунд, що рівно 1 годині). Якщо за цей час не буде передано ніякої|жодної| інформації, і з'єднання|сполучення,сполуку| не буде закрито|зачинено| належним чином|належно|, то WinRoute вважатиме|лічитиме|, що з'єднання|сполучення,сполука| закрите|зачинене|, і при цьому буде доступний прохід до іншого комп'ютера (інша IP адреса).
Активувати проходи тільки|лише| для вузлів (Enable pass-through only for hosts).
Можна обмежити кількість вузлів, що використовують IPSec прохід, визначивши певну область IP адрес (звичайне|звичне| це вузли, на яких працюють IPSec клієнти). Використовуйте кнопку Правка|виправлення| (Edit), щоб редагувати виділені групи IP, або щоб додати|добавити| нову групу.
17.1 Конфігурація WinRoute's IPSec
Взагалі, комунікації через IPSec повинні бути дозволені політикою брандмауера . IPSec протокол використовує два канали трафіку:
IKE (Internet Key Exchange (Інтернет обмін ключами|джерелами|) — обмін кодовими ключами|джерелами| і іншою інформацією).
кодовані дані (використовується IP протокол номер 50)
Відкрийте|відчиніть| розділ Настройки/Політика трафіку (Configuration / Traffic Policy), щоб встановити правила, що визначають комунікацію між клієнтами IPSec (адресна група VPN описана в прикладі|зразку|) і сервером (у прикладі|зразку| описаний сервер ipsec.server.cz).
Примітка|тлумачення|: WinRoute забезпечує роботу встановлених|установлених| сервісів IPSec і IKE.
17.2 IPSec клієнт в локальній мережі|сіті|
Цей розділ керівництва описує настройку WinRoute для тих випадків, коли IPSec клієнт або сервер розташовані|схильні| в локальній мережі|сіті|, і WinRoute забезпечує переклад|переведення,переказ| IP адреси. IPSec клієнт на вузлі WinRoute
В цьому випадку NAT не робить впливу на трафік IPSec (IPSec клієнт повинен використовувати загальну|спільну| IP адресу вузла WinRoute). Необхідно тільки|лише| визначити правила трафіку, що вирішують IPSec комунікацію між брандмауером і сервером IPSec.
Колонка Переклад|переведення,переказ| (Translation) повинна бути порожньою|пустою| - переклад|переведення,переказ| IP не виконується. Установки проходу в даному випадку не важливі|поважні| (вони не можуть застосовуватися).
Один IPSec клієнт в локальній мережі|сіті| (один тунель)
Якщо в кожен момент створюється тільки|лише| один IPSec тунель від локальної мережі|сіті| в Інтернет, то це залежить від типу IPSec клієнта:
Якщо IPSec клієнт і IPSec сервер підтримують функцію NAT Передачі (NAT Traversal) (клієнт і сервер можуть виявити, що IP адреса по дорозі між ними була трансльована), то IPSec повинен бути відключений (інакше може виникнути конфлікт).
NAT Передача підтримується, наприклад, програмним забезпеченням Nortel Networks' VPN (http://www.nortelnetworks.com/).
Якщо IPSec клієнт не підтримує NAT Передачу, необхідно активізувати IPSec прохід в WinRoute.
У обох випадках, комунікації IPSec між клієнтом і IPSec сервером повинні бути дозволені правилами трафіку. У колонці Передачі (Translation) повинен бути вказаний NAT (так само як для комунікацій між локальною мережею|сіттю| і Інтернет).
Декілька IPSec клієнтів в локальній мережі|сіті| (декілька тунелів)
Якщо передбачається|припускається| створювати декілька IPSec тунелів від локальної мережі|сіті| в Інетренет, всіх IPSec клієнтах і відповідних серверах повинні підтримувати NAT Передачу (див. вище). Підтримка IPSec в WinRoute повинна бути відключена, щоб не виникало конфліктів.
Знову, трафік між локальною мережею|сіттю| і відповідними IPSec серверами повинен бути дозволений правилами трафіку.
17.3 IPSec сервер в локальній мережі|сіті|
Сервер IPSec на вузлі локальної мережі|сіті| або на вузлі WinRoute повинен бути картивован| з|із| Інтернет. В цьому випадку трафік між Інтернет клієнтами і вузлом WinRoute повинен бути дозволений правилами трафіку, і повинне бути встановлене|установлене| картивування| до відповідного вузла локальної мережі|сіті|.
Попередження|попереджувати,запобігання|: із загальної|спільної| IP адреси брандмауера може бути картивован| тільки|лише| один IPSec сервер. Щоб картировать декілька IPSec серверів, брандмауер повинен використовувати декілька загальних|спільних| IP адрес.
17. Переваги IPSec
Переваги IPSec можна встановити у області IPSec Прохід на вкладці Установки Безпеки (Security Settings) в розділі Настройки/Продвинутые опції (Configuration / Advanced Options).
Докладніша інформація по IPSec приведена у розділі Конфігурація IPSec WinRoute.
Активування (Enable)
Ця опція активує прохід IPSec.
Необхідно встановити порожній|пустий| тайм-аут для з'єднання|сполучення,сполуки| IPSec (час за умовчанням складає 3600 секунд, що рівно 1 годині). Якщо за цей час не буде передано ніякої|жодної| інформації, і з'єднання|сполучення,сполуку| не буде закрито|зачинено| належним чином|належно|, то WinRoute вважатиме|лічитиме|, що з'єднання|сполучення,сполука| закрите|зачинене|, і при цьому буде доступний прохід до іншого комп'ютера (інша IP адреса).
Активувати проходи тільки|лише| для вузлів (Enable pass-through only for hosts).
Можна обмежити кількість вузлів, що використовують IPSec прохід, визначивши певну область IP адрес (звичайне|звичне| це вузли, на яких працюють IPSec клієнти). Використовуйте кнопку Правка|виправлення| (Edit), щоб редагувати виділені групи IP, або щоб додати|добавити| нову групу.
17.1 Конфігурація WinRoute's IPSec
Взагалі, комунікації через IPSec повинні бути дозволені політикою брандмауера . IPSec протокол використовує два канали трафіку:
IKE (Internet Key Exchange (Інтернет обмін ключами|джерелами|) — обмін кодовими ключами|джерелами| і іншою інформацією).
кодовані дані (використовується IP протокол номер 50)
Відкрийте|відчиніть| розділ Настройки/Політика трафіку (Configuration / Traffic Policy), щоб встановити правила, що визначають комунікацію між клієнтами IPSec (адресна група VPN описана в прикладі|зразку|) і сервером (у прикладі|зразку| описаний сервер ipsec.server.cz).
Примітка|тлумачення|: WinRoute забезпечує роботу встановлених|установлених| сервісів IPSec і IKE.
17.2 IPSec клієнт в локальній мережі|сіті|
Цей розділ керівництва описує настройку WinRoute для тих випадків, коли IPSec клієнт або сервер розташовані|схильні| в локальній мережі|сіті|, і WinRoute забезпечує переклад|переведення,переказ| IP адреси. IPSec клієнт на вузлі WinRoute
В цьому випадку NAT не робить впливу на трафік IPSec (IPSec клієнт повинен використовувати загальну|спільну| IP адресу вузла WinRoute). Необхідно тільки|лише| визначити правила трафіку, що вирішують IPSec комунікацію між брандмауером і сервером IPSec.
Колонка Переклад|переведення,переказ| (Translation) повинна бути порожньою|пустою| - переклад|переведення,переказ| IP не виконується. Установки проходу в даному випадку не важливі|поважні| (вони не можуть застосовуватися).
Один IPSec клієнт в локальній мережі|сіті| (один тунель)
Якщо в кожен момент створюється тільки|лише| один IPSec тунель від локальної мережі|сіті| в Інтернет, то це залежить від типу IPSec клієнта:
Якщо IPSec клієнт і IPSec сервер підтримують функцію NAT Передачі (NAT Traversal) (клієнт і сервер можуть виявити, що IP адреса по дорозі між ними була трансльована), то IPSec повинен бути відключений (інакше може виникнути конфлікт).
NAT Передача підтримується, наприклад, програмним забезпеченням Nortel Networks' VPN (http://www.nortelnetworks.com/).
Якщо IPSec клієнт не підтримує NAT Передачу, необхідно активізувати IPSec прохід в WinRoute.
У обох випадках, комунікації IPSec між клієнтом і IPSec сервером повинні бути дозволені правилами трафіку. У колонці Передачі (Translation) повинен бути вказаний NAT (так само як для комунікацій між локальною мережею|сіттю| і Інтернет).
Декілька IPSec клієнтів в локальній мережі|сіті| (декілька тунелів)
Якщо передбачається|припускається| створювати декілька IPSec тунелів від локальної мережі|сіті| в Інетренет, всіх IPSec клієнтах і відповідних серверах повинні підтримувати NAT Передачу (див. вище). Підтримка IPSec в WinRoute повинна бути відключена, щоб не виникало конфліктів.
Знову, трафік між локальною мережею|сіттю| і відповідними IPSec серверами повинен бути дозволений правилами трафіку.
17.3 IPSec сервер в локальній мережі|сіті|
Сервер IPSec на вузлі локальної мережі|сіті| або на вузлі WinRoute повинен бути картивован| з|із| Інтернет. В цьому випадку трафік між Інтернет клієнтами і вузлом WinRoute повинен бути дозволений правилами трафіку, і повинне бути встановлене|установлене| картивування| до відповідного вузла локальної мережі|сіті|.
Попередження|попереджувати,запобігання|: із загальної|спільної| IP адреси брандмауера може бути картивован| тільки|лише| один IPSec сервер. Щоб картировать декілька IPSec серверів, брандмауер повинен використовувати декілька загальних|спільних| IP адрес.