指定 IPSec 設定

透過使用 IPSec,您可以防止第三方攔截或篡改在 IP 網路上傳輸的 IP 封包。因為 IPSec 會對網際網路使用的基本通訊協定 IP 加上安全功能,其可提供獨立於應用程式或網路設定的安全性。若要執行與本機的 IPSec 通訊,您必須指定諸如應用程式參數以及認證與加密演算法等設定。指定這些設定必須具有管理員權限或網路管理員權限。
通訊模式
本機僅支援 IPSec 通訊傳輸模式。因此,認證和加密僅套用於 IP 封包的資料部分。
鍵値交換通訊協定
本機支援網際網路金鑰交換版本 1 (IKEv1),根據網際網路安全協會與金鑰管理協定 (ISAKMP) 交換金鑰。對於認證方法,請設定事先共用金鑰方法或數位簽章方法。
設定預先共用金鑰方法時,必須事先決定會在本機和 IPSec 通訊端之間使用的密碼(預先共用金鑰)。
設定數位簽章方法時,使用 CA 憑證和 PKCS#12 格式金鑰和憑證可執行本機和 IPSec 通訊端之間的相互認證。有關註冊新 CA 憑證或金鑰/憑證的詳細資訊,請參閱註冊用於網路通訊的金鑰和憑證。請注意,在使用此方法前,必須針對本機設定 SNTP。進行 SNTP 設定
無論 IPSec 通訊的 <以FIPS 140-2作為加密方法的格式> 設定為何,將會使用已取得 FIPS140-2 憑證的加密模組。
為了讓 IPSec 通訊符合 FIPS 140-2,您必須在本機所屬的網路環境中,將用於 IPSec 通訊的 DH 和 RSA 金鑰長度皆設為 2048 位元以上。
只有 DH 的金鑰長度可以從本機指定。
本機沒有提供 RSA 設定,設定環境時應當注意。
最多可以註冊 10 個安全策略。
1
按下  (設定/註冊)。
2
按 <參數選擇> <網路> <TCP/IP設定> <IPSec設定>。
3
將 <使用IPSec> 設定為 <開啟>,然後按 <註冊>。
4
指定策略名稱。
按 <策略名稱>,輸入名稱,然後按 <確定>。
Canon 多功能印表機支援 AES 加密方法的兩種金鑰長度:128 位元和 256 位元。若要將金鑰長度限制為 256 位元並符合 CC 認證標準,將 <僅允許AES鍵值長度為256-bit> 設為 <開啟>。
5
設定 IPSec 應用程式參數。
1
按 <選擇器設定>。
2
指定要套用到 IPSec 策略的 IP 位址。
在 <本地位址> 中指定本機的 IP 位址,並在 <遠端位址> 中指定通訊端的 IP 位址。

<全部IP位址>
IPSec 套用於所有傳送與接收的 IP 封包。
<IPv4位址>
IPSec 套用於從本機的 IPv4 位址傳送和接收的 IP 封包。
<IPv6位址>
IPSec 套用於從本機的 IPv6 位址傳送和接收的 IP 封包。
<全部IPv4位址>
IPSec 套用於從此通訊端的 IPv4 位址傳送和接收的 IP 封包。
<全部IPv6位址>
IPSec 套用於從此通訊端的 IPv6 位址傳送和接收的 IP 封包。
<IPv4手動設定>
選擇要套用到 IPSec 的 IPv4 位址。
選擇 <單位址> 以輸入個別的 IPv4 位址。
選擇 <位址範圍> 已指定 IPv4 位址範圍。輸入 <首位址> 和 <末位址> 的個別位址。
選擇 <子網路設定> 使用子網路遮罩以指定 IPv4 位址範圍。輸入 <位址> 和 <子網路遮罩> 的個別值。
<IPv6手動設定>
選擇要套用到 IPSec 的 IPv6 位址。
選擇 <單位址> 以輸入個別 IPv6 位址。
選擇 <位址範圍> 以指定 IPv6 位址範圍。輸入 <首位址>和 <末位址> 的個別值。
選擇 <指定前置碼> 使用前置碼以指定 IPv6 位址範圍。輸入 <位址> 和 <前置碼長度> 的個別值。
3
選擇要套用到 IPSec 的連接埠。
指定要套用 IPSe 之連接埠時,按 <透過連接埠號指定> 以使用連接埠號。選擇 <全部連接埠> 以將 IPSec 套用到所有連接埠號。若要將 IPSec 套用到特定連接埠號,請按 <單連接埠> 然後輸入連接埠號。指定連接埠後,按 <確定>。在 <本地連接埠> 指定本機的連接埠,並在 <遠端連接埠> 中指定通訊端的連接埠。
指定 IPSec 要套用之連接埠時,按 <透過服務名稱指定> 以使用服務名稱。在清單中選擇服務,按 <服務開啟/關閉> 以將其設定為 <開啟>,然後按 <確定>。
4
按 <確定>。
6
指定認證與加密設定
1
按 <IKE設定>。
2
指定需要的設定。
<IKE模式>
選擇鍵值交換通訊協定的操作模式。操作模式是設定為 <主要> 時,安全性會獲得強化,因為 IKE 工作階段本身經過加密,不過,相較於不執行加密的 <積極>,對於通訊造成的負擔較大。
<有效期>
對於產生的 IKE SA 設定到期期間。
<認證方法>
選擇下述的認證方法其中之一。
<預共用鍵值方法>
設定與為通訊端設定之相同密碼(預先設定金鑰)。按 <共用鍵值>,輸入要作為密碼使用的字元字串,然後按 <確定>。
<數位簽章方法>
設定與通訊端互相認證要使用的金鑰和憑證。按 <鍵值和憑證>,選擇要使用的金鑰和憑證,然後按 <設定為預設鍵值>  <是>  <確定>。
<認證/加密演算法>
選擇 <自動> 或 <手動設定> 以設定如何指定 IKE 階段 1 的認證和加密演算法。如果選擇了 <自動>,會自動設定本機和通訊端都可使用的演算法。如果要指定特定演算法,請選擇 <手動設定> 然後指定下列的設定。
<認證>
選擇雜湊演算法。
<加密>
選擇加密演算法。
<DH群組>
選擇 Diffie-Hellman 金鑰交換方法的群組以設定金鑰強度。
3
按 <確定>。
當在 <IKE設定> 上將 <IKE模式> 設為 <主要> 並將 <認證方法> 設為 <預共用鍵值方法> 時,下列限制會在註冊多個安全策略時套用。
預先共用金鑰方法金鑰:當指定要套用安全策略的多個遠端 IP 位址時,該安全策略的所有共用金鑰皆相同 (指定單一位址時不會套用)。
優先順序:當指定要套用安全策略的多個遠端 IP 位址時,該安全策略的優先順序低於指定單一位址的安全策略。
7
指定 IPSec 通訊設定。
1
按 <IPSec網路設定>。
2
指定需要的設定。
<有效期>
設定產生的 IPSec SA 的到期時間。務必設定 <時間> 或 <尺寸>。如果同時設定兩者,則套用最先截止值的設定。
<PFS>
如果將完整轉傳密碼 (PFS) 功能設定為 <開啟>,會增加加密金鑰的保密性,但通訊速度會較慢。此外,通訊端裝置也需啟用 PFS 功能。
<認證/加密演算法>
選擇 <自動> 或 <手動設定> 以設定如何指定 IKE 階段 2 的認證和加密演算法。如果選擇了 <自動>,會自動設定 ESP 認證和加密演算法。如果要指定特定的認證演算法,請按 <手動設定> 然後選擇下列認證方法其中之一。
<ESP>
認證和加密都會執行。選擇 <ESP認證> 和 <ESP加密> 的演算法。如果不要設定認證或加密演算法,請選擇 <NULL>。
<ESP (AES-GCM)>
會使用 AES-GCM 作為 ESP 演算法,且認證和加密都會執行。
<AH (SHA1)>
會執行認證,但資料不加密。會使用 SHA1 作為演算法。
3
按 <確定> <確定>。
8
啟用註冊的策略並檢查優先順序。
從清單中選擇註冊的策略,然後按 <策略開啟/關閉> 以將其成為 <開啟>。
會依照列出的順序,從上至下套用策略。如果您要變更優先順序,請在清單中選擇策略然後按 <提高優先權> 或 <降低優先權>。
如果不要傳送或接收與策略不對應的封包,請對 <接收非策略資料封包> 選擇 <拒絕>。
9
按 <確定>。
10
按下  (設定/註冊)   (設定/註冊) <套用設定變更>  <是>。
管理 IPSec 策略
您可以在步驟 3 顯示的畫面上編輯策略。
若要編輯策略詳細資訊,請在清單中選擇策略,然後按 <編輯>。
若要停用策略,在清單中選擇策略然後按 <策略開啟/關閉>。
若要刪除策略,請在清單中選擇策略,然後按下 <刪除>  <是>。
6H83-0CJ