須知
|
若IPSec通訊的連結本地位址設定爲此步驟中的本地IP位址,則步驟8中設定的遠端IP位址應爲連結本地位址。
|
須知
|
若IPSec通訊的遠端IP位址設定爲此步驟中的本地IP位址,則步驟7中設定的本地IP位址必須爲連結本地位址。
|
須知
|
將IPSec通訊設定為遵循FIPS(Federal Information Processing Standards,聯邦資訊處理標準)140-2時,若選擇使用RSA-MD5或RSA-MD2簽章演算法的鍵值對,則禁用設定了此鍵值對的策略。(See "使用符合FIPS 140-2的加密方法.")
|
注意
|
可以透過在「鍵值和憑證」螢幕上選擇鍵值對並按[憑證詳細資訊]檢查憑證的內容。在「憑證詳細資訊」螢幕上,可以按[驗證憑證]驗證憑證。
可以透過在「鍵值和憑證」螢幕上選擇<狀態>中顯示「使用」的鍵值對並按[顯示使用位置]檢查鍵值對正在被用於何種安全類型。
|
優先權
|
認證演算法
|
加密演算法
|
DH鍵值交換方法
|
1
|
SHA1
|
AES (128-bit)
|
組2
|
2
|
SHA2 (256-bit)
|
||
3
|
SHA2 (384-bit)
|
||
4
|
SHA1
|
AES (192-bit)
|
|
5
|
SHA2 (256-bit)
|
||
6
|
SHA2 (384-bit)
|
||
7
|
SHA1
|
AES (256-bit)
|
|
8
|
SHA2 (256-bit)
|
||
9
|
SHA2 (384-bit)
|
||
10
|
SHA1
|
3DES
|
|
11
|
SHA2 (256-bit)
|
||
12
|
SHA2 (384-bit)
|
認證方法
|
說明
|
[ESP]
|
<ESP認證>
[SHA1]:選擇此選項可以設定SHA1作為ESP認證方法的演算法。支援160-bit哈希值。
[NULL]:選擇此選項可以不設定ESP認證方法的演算法。
|
<ESP加密>
[3DES-CBC]:選擇此選項可以設定3DES作為ESP加密演算法,並設定CBC作為加密模式。由於執行三次DES,因此3DES需要較長的處理時間,但能夠增強加密強度。 CBC將前一個密碼區塊的加密結果與下一個密碼區塊的加密結果鏈接起來,以增加破解加密的難度。 [AES-CBC]:選擇此選項可以設定AES作為ESP加密演算法,並設定CBC作為加密模式。AES支援鍵值長度為128、192或256 bit的加密鍵值。由於支援的鍵值長度較長,因此此演算法可以增強加密強度。 CBC將前一個密碼區塊的加密結果與下一個密碼區塊的加密結果鏈接起來,以增加破解加密的難度。 [NULL]:選擇此選項可以不設定ESP加密方法的演算法。 |
|
[ESP (AES-GCM)]
|
選擇此選項可以設定鍵值長度為128、192或256 bit的AES-GCM(Advanced Encryption Standard - Galois Counter Mode,進階加密標準–伽羅瓦計數器模式)演算法。AES-GCM是一種可以同時執行加密和認證的演算法。
|
[AH (SHA1)]
|
選擇以設定SHA1為AH認證方法的演算法。支援160-bit哈希值。
|
須知
|
若將IPSec通訊設定為符合FIPS 140-2,則禁用認證方法設定了[ESP (AES-GCM)]的策略。同時,此策略的認證演算法自動變更為SHA1,並且此策略的加密演算法自動變更為3DES-CBC。(See "使用符合FIPS 140-2的加密方法.")
|
優先權
|
ESP認證方法的演算法
|
ESP加密方法的演算法
|
1
|
SHA1
|
AES (128-bit)
|
2
|
SHA1
|
AES (192-bit)
|
3
|
SHA1
|
AES (256-bit)
|
4
|
SHA1
|
3DES
|
注意
|
最多可以註冊10個安全策略。已註冊的安全策略按照其優先權的次序顯示。
|