Руководство Администратора межсетевого экрана Акер 3.01

       

Определение защищенных каналов


Для определения защищенного канала сначала надо выбрать две группы хостов, которые будут обмениваться информацией защищенным образом. Эти группы хостов будут обмениваться подписанными и при необходимости зашифрованными пакетами. На каждом конце канала нужно установить межсетевые экраны, которые будут осуществлять аутентификацию/верификацию и шифрование/дешифрование передаваемых данных.

Для определения групп хостов используется концепция объектов, рассмотренная в главе 5 Регистрация объектов. При определении канала можно пользоваться обектами типа "хост", "сеть" или "набор".

Кроме объектов, необходимо определить алгоритм аутентификации, и в случае необходимости, криптографический алгоритм. Ключи аутентификации и шифрования завершают перечень параметров, необходимых для описания канала.

Межсетевой экран Aker поддерживает несколько одновременно защищенных каналов между различными точками. На межсетевом экране содержится список, каждый элемент которого полностью определяет параметры защищенного канала. Этот элемент называется Security Association или SA.

Планирование защищенных каналов должно проводиться очень тщательно. Использование криптографии отнимает много вычислительных ресурсов. Поэтому шифрование пакетов, если это не диктуется интересами безопасности, представляется напрасной тратой ресурсов. Более того, разные алгоритмы шифрования требуют различного объема обработки, и обеспечивают различные уровни безопасности. Каждый алгоритм следует выбирать в зависимости от необходимого уровня безопасности (выше было дано описание всех алгоритмов, поддерживаемых межсетевым экраном Aker).

Последнее замечание по поводу защищенных каналов касается их одностороннего характера, т.е. если вы хотите настроить защищенную связь между двумя сетями А и В, то должны настроить два разных канала: канал с источником в сети А и пунктом назначения в сети В и другой канал с источником в сети В и пунктом назначения в сети А. Пакеты, посланные из А в В будут использовать настройки первого канала, а пакеты, посланные из В в А - второго. Это свойство подробнее будет проиллюстрировано в приведенных ниже примерах:



Содержание раздела