В области Action задается действие, которое будет применено к пакету, если пакет подпадает под действие данного правила (Рисунок 26). Из выпадающего списка выбирается одно из действий:
· Pass – пропускать трафик без обработки.
· Drop – не пропускать трафик.
· Protect using IPsec – защищать трафик с использованием протоколов IPsec (алгоритмы протоколов AH и ESP задаются во вкладке IPsec). Трафик между хостом c локальным IP-адресом и адресом партнера защищается на интервале между локальным IP-адресом и туннельным IPsec адресом партнера (это может быть адрес интерфейса шлюза безопасности, защищающего подсеть, в которой находится партнер). В результате этого строится защищенное IPsec соединение – IPsec SA (туннель) (Рисунок 27).
Рисунок 27
Для указания туннельного IPsec адреса партнера нажмите кнопку Add в области Action и в открывшемся окне Add Gate Address (Рисунок 28) укажите IP-адрес интерфейса или DNS-имя, до которого будет построен туннель от локального IP-адреса клиента. Адрес не может быть нулевым.
Рисунок 28
Примечание: если в качестве туннельного IPsec адреса партнера используется DNS-имя, то вместо автоматически формируемых индивидуальных фильтров IPsec autopass для каждого адреса, записывается один общий, без ограничения по IP-адресу.
Можно указать список адресов, до которых возможно построить туннель. Адреса в списке надо расположить в порядке убывания приоритета – первый в списке имеет самый высокий приоритет. Если не удалось построить туннель до интерфейса с первым указанным адресом, производится попытка построить туннель со вторым адресом и т.д. Кнопки Up и Down предназначены для изменения приоритета адресов в списке (Рисунок 29).
Рисунок 29
Используя кнопки Add, Edit и Remove, можно добавлять, редактировать и удалять адреса из списка.
Use random IP Address order – при установке этого флажка IPsec-адрес партнера будет выбираться из списка случайным образом. При неудачной попытке построить туннель с этим адресом, следующий туннельный адрес будет выбираться также случайным образом.
Request IKECFG address – установка этого флажка позволяет клиенту запрашивать адрес у IKECFG-сервера при построении защищенного соединения по данному правилу. Поэтому в этом правиле обязательно нужно указать туннельный адрес партнера, у которого и будет запрошен IKECFG-адрес (Рисунок 30). Интерфейс, с присвоенным ему IKECFG-адресом, будем называть виртуальным интерфейсом или IKECFG-интерфейсом.
Существует ограничение в применении Продукта С-Терра Клиент, когда запрашивается адрес из IKECFG-пула: В правиле нельзя задать фильтрацию по локальным адресам, протоколам и портам (сервисам) (положение переключателя Custom недоступно). Это связано с атрибутом PersistentConnection=TRUE в структуре IPsecAction. Созданная политика безопасности будет неработоспособна, если весь трафик защищается по протоколу IPsec (трафик между любым локальным IP-адресом и любыми адресами партнеров, указанными в областях Local IP Addresses и Remote IP Addresses). Политика безопасности не будет работать, если туннельный IPsec адрес партнера (Tunnel addresses of IPsec peer) совпадает с IP-адресом, или подсетью партнера (Remote IP Addresses), на которые распространяется правило фильтрации. При необходимости обращения с Клиента к сетевым сервисам Шлюза по туннельному адресу, защищенное соединение С-Терра Клиент–С-Терра Шлюз должно строиться без использования IKECFG-интерфейса. |
Рисунок 30
+More settings – при нажатии на кнопку +More settings (Рисунок 30) появляется окно (Рисунок 31) для дополнительных настроек.
Рисунок 31
· Reroute packet – при установке этого флажка пакет будет подвергаться повторной маршрутизации (при создании вложенного туннеля или при отправке пакета с виртуального IKECFG интерфейса после IPsec обработки). При создании вложенного туннеля для исходящего пакета опять выполняется поиск подходящего правила из набора правил Outbound classification, а затем из вкладки IPsecRules. С виртуального IKECFG интерфейса после IPsec обработки пакет не может быть отправлен в интернет, поэтому он перенаправляется на другой интерфейс.
· IPsec MTU – в этом поле можно задать значение MTU для IPsec SA, построенному по данному правилу. Допустимые значения MTU – от 0 до 65535. Значение по умолчанию – 0, при этом MTU будет определяться автоматически, и в LSP в структуре IPsecAction значение MTU не указывается.
· TCP encapsulation – установка флага со стороны инициатора SA вызывает заворачивание IKE и IPsec в TCP. В режиме ответчика данный флаг не используется: если партнер предлагает построить SA в режиме TCP-инкапсуляции, то локальное устройство всегда соглашается на построение такого SA. В случае построения SA с использованием TCP-инкапсуляции значение флага Reroute packet игнорируется.
Включать TCP-инкапсуляцию нужно, если канал между Шлюзом и Клиентом не пропускает IKE и IPsec пакеты, так как операция TCP-инкапсуляции может значительно влиять на производительность Шлюза. Количество Клиентов с TCP-инкапсуляцией, подключаемых к одному Шлюзу, рекомендуется выставлять на уровне 10% от общего числа подключаемых Клиентов.
Примечание 1: дополнительно необходимо создать отдельное правило, пропускающее TCP-пакеты: в области Services and Protocol выберите TCP encapsulation client, в области Action выберите действие Pass. Созданое правило по приоритету должно быть выше, чем правило с IPsec.
Такие же разрешающие правила фильтрации создайте во вкладке Firewall Rules для входящего трафика (Inbound filter) и для исходящего трафика (Outbound filter).
Примечание 2: если используется режим TCP-инкапсуляции, то нельзя применять алгоритмы проверки целостности пакета по протоколу АН во вкладке IPsec.
Примечание 3: для успешного создания TCP-соединения, у партнеров по соединению должны совпадать параметры, задающие TCP-порт в файле vpnproxy.ini:
· параметр LocalPort задает TCP-порт для прослушивания внешних HTTP-запросов и создания новых TCP соединений в режиме ответчика (сервера);
· параметр DefaultTCPPort задает TCP-порт партнёра для создания новых TCP соединений в режиме инициатора (клиента).