Создание локальной политики безопасности для Продуктов С-Терра возможно осуществить путем написания конфигурационного файла (в текстовом формате) для каждого управляемого VPN устройства. Структуры конфигурационного файла предоставляют более широкие возможности для создания гибкой политики безопасности, чем возможности командной строки и графического интерфейса управления.
Для С-Терра Клиент:
Созданную в виде конфигурационного файла локальную политику безопасности можно вставить в инсталляционный пакет пользователя, используя GUI (поле Local security policy во вкладке LSP) в режиме ручного задания LSP.
После установки пакета пользователя (С-Терра Клиент) локальную политику безопасности можно загрузить командой lsp_mgr load (см. "Руководство пользователя. Специализированные команды"). Для этого требуются права Администратора. Пользователь также должен иметь право изменять настройки Продукта.
Для С-Терра Шлюз, С-Терра Юнит, С-Терра Клиент А:
Созданную в виде конфигурационного файла локальную политику безопасности нужно загрузить командой lsp_mgr load.
После загрузки конфигурационного файла, Cisco-like конфигурация не изменится.
По умолчанию при смене ip-адреса на интерфейсе любого типа или при добавлении/удалении виртуального интерфейса политика безопасности каждый раз перезагружается, как следствие защищенные соединения перестраиваются. Начиная с версии 4.3.23955 такое поведение можно изменить. Для того чтобы перезагрузка политики безопасности осуществлялась только при изменении сетевых интерфейсов, на которых присутствует политика обработки трафика, необходимо в конфигурационном файле /opt/VPNagent/etc/agent.ini отредактировать параметр IgnoreLSPReloadReasonsMask, указав в нем значение 0x1. После редактирования конфигурационного файла перезапустите сервис vpngate.
Заголовок конфигурации. Структура GlobalParameters
Структуры AHProposal и ESPProposal
Структуры AHTC26Proposal и ESPTC26Proposal
Структура AuthMethod{DSS|RSA|GOST}Sign