Теперь создайте в Firewall-1 правило, включающее шифрование между машиной GW с FreeBSD и сетью, защищённой Firewall-1. В этом правиле должны быть заданы сетевые сервисы, разрешённые к работе через VPN.
Source | Destination | Service | Action | Track ------------------------------------------------------------------------ FreeBSD GW | FW-1 Protected Net | VPN services | Encrypt | Long FW-1 Protected Net| FreeBSD GW | | |
''VPN-сервисами'' являются любые сервисы (то есть telnet, SSH, NTP и так далее), к которым разрешён доступ удалённому хосту через VPN. Будьте внимательны при включении сервисов; хосты, подключаемые через VPN, продолжают представлять потенциальную опасность. Шифрование трафика между двумя сетями даёт слабую защиту, если любой из хостов на обеих сторонах туннеля был взломан.
После настройки правила шифрования данных между машиной GW с FreeBSD и сетью, защищённой Firewall-1, просмотрите настройки ''Action Encrypt''.
Encryption Schemes Defined: IKE ---> Edit Transform: Encryption + Data Integrity (ESP) Encryption Algorithm: 3DES Data Integrity: MD5 Allowed Peer Gateway: Any or Firewall Object Use Perfect Forward Secrecy: Checked
Использование технологии Perfect Forward Secrecy (PFS) является необязательным. Включение PFS добавит ещё один уровень безопасности на уровне шифрования данных, однако приведёт к увеличению нагрузки на CPU. Если PFS не используется, то выключите флаг выше и закомментируйте строчку pfs_group 1 в файле racoon.conf на машине GW с FreeBSD. Пример файла racoon.conf дан в этом дальше.
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
По вопросам, связанным с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам, связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.