В политике, которая загружается в S-Terra Gate, правила Access Rule и IPsec Rule описываются абсолютно одинаковыми структурами. Создавая новое правило, пользователь обычно предполагает, будет оно привязано к интерфейсу или к криптографической карте. Поэтому, новое правило он сразу создает в соответствующем разделе:
· в разделе Access Rules отображаются правила, которые привязываются к интерфейсам;
· в разделе IPSec Rules отображаются правила, которые привязываются к криптографической карте.
Использование одного и того же правила, для связи и с интерфейсом и с криптографической картой – экзотическая ситуация, но, тем не менее, это не запрещено. Существует ограничение:
· Standard Rule (Стандартное правило) – не может быть привязано к криптографической карте, следовательно, Standard Rule может отображаться только в Access Rules, и новое Standard Rule может быть создано только в разделе Access Rules.
Если правило привязано и к интерфейсу и к криптографической карте, то оно отображается в двух разделах. Заметим сразу, что это одно и то же правило, т.е. после редактирования его параметров в одном из разделов, произойдут те же изменения, если открыть правило в другом разделе.
При импорте текущей конфигурации правила распределяются по разделам по следующему алгоритму:
· Все Standard Rules отображаются в разделе Access Rules.
· Если правило привязано к криптографической карте, оно обязательно отображается в IPSec Rules.
· Если правило привязано к интерфейсу, оно обязательно отображается в Access Rules.
· Если правило не привязано ни к интерфейсу, ни к криптографической карте, оно отображается в Access Rules. Из последнего следует, что если создать правила в разделе IPSec Rules, не привязать их к криптографической карте, и загрузить политику в S-Terra Gate, то после импорта политики все эти правила окажутся в Access Rules. Но после привязки этих правил к криптографической карте и последующей загрузки-импорта, правила окажутся в разделе IPSec Rules, как изначально и планировалось.
Если правило, которое отображается в разделе Access Rules, привязывается к криптографической карте, или правило, которое отображается в IPSec Rules, привязывается к интерфейсу, то такое правило отображается в двух разделах.
Если правило было создано в разделе Access Rules либо попало в этот раздел после импорта, оно отображается в этом разделе до следующего импорта конфигурации, либо до удаления этого правила. Если такое правило было привязано к криптографической карте, и стало отображаться в двух разделах, а в дальнейшем было отвязано от всех криптографических карт, то оно в итоге будет отображаться только в Access Rules.
Если правило было создано в разделе IPSec Rules или попало в этот раздел после импорта, оно отображается в этом разделе до следующего импорта конфигурации, либо до удаления этого правила. Если такое правило было привязано к интерфейсам и стало отображаться в двух разделах, а в дальнейшем было отвязано от всех интерфейсов, то оно в итоге будет отображаться только в IPSec Rules.
Еще одна особенность – отображение Action (действие). Для одного и того же правила, отображающегося в двух разделах, будет следующее соответствие. Если в разделе Access Rules для некоторой записи задано действие Permit, то в разделе IPSec Rules для этой записи будет задано действие Protect the traffic, если же в Access Rules задано Deny, то в IPSec Rules будет Do not protect.