IPSec设置

IPSec是一种保证通过IP网络发送和接收的IP数据包的安全以防止数据遭受如偷窃、修改和假冒等威胁的协议。IPSec应用于TCP数据包、UDP(用户数据报协议)数据包和ICMP(Internet控制消息协议)数据包。IPSec优于其他安全协议的原因是,由于其向IP(Internet的基本协议)添加安全功能,该协议不依赖于应用程序软件和网络配置。
本节介绍使用本机的操作面板创建设置IPSec通信的安全策略的步骤。安全策略注册IPSec的设置(如使用IPSec处理的数据包)以及用于认证和加密的算法。通过根据IPSec安全策略执行协商而建立的用于通信的逻辑连接称为IPSec SA(安全关联)。
本机使用的IPSec功能如下。

通信模式

由于本机的IPSec只支持传输层模式,认证和加密仅应用于IP数据包的数据部分。

认证和加密方法

必须为本机设置至少一种以下方法。不能同时设置这两种方法。
AH(认证报头)
一种通过检测对通信数据(包括IP报头)的修改进行认证的通信协议。通信数据不加密。
ESP(封装安全有效载荷)
一种在验证通信数据完整性并仅对通信数据的有效载荷部分进行认证的同时通过加密提供保密性的通信协议。

密钥交换协议

支持用于根据ISAKMP(Internet安全关联和密钥管理协议)交换密钥的IKEv1(Internet密钥交换版本1)。IKE包括两个阶段,在阶段1中创建用于IKE的SA(IKE SA),在阶段2中创建用于IPSec的SA(IPSec SA)。
要设置使用预共享密钥方法进行认证,必须事先确定一个预共享密钥,即用于双方机器发送和接收数据的关键字。使用本机的操作面板设置与要与其执行IPSec通信的目标机器相同的预共享密钥,并使用预共享密钥方法执行认证。
要选择使用数字签名进行认证,必须注册用于IPSec目标机器双向认证的CA证书(X.509证书)。有关使用“远程用户界面”安装CA证书文件的信息,请参阅"安装CA证书文件."有关注册已安装的CA证书文件的说明,请参阅"注册/编辑CA证书文件."
可用于数字签名方法认证的密钥对和证书类型说明如下。
RSA(Rivest Shamir Adleman)算法
PKCS#12格式密钥对

须知
在“IKE设置”屏幕中设置“主要”模式和预共享密钥认证方法时,如果要注册多个安全策略,则以下限制适用。
预共享密钥方法的密钥:指定多个应用某个安全策略的远程IP地址时,该安全策略的所有共享密钥都是相同的(指定单一地址时不适用)。
优先级:指定多个应用某个安全策略的远程IP地址时,该安全策略的优先级低于指定单一地址的安全策略。