指定 IPSec 設定
網際網路通訊協定安全性(IPSec 或 IPsec)是為透過網路(包括網際網路)傳輸的資料加密的通訊協定組合。SSL 僅加密用於特定應用程式(如網路瀏覽器或電子郵件應用程式)的資料,IPSec 則加密整個 IP 封包或 IP 封包負載,提供更全面的安全系統。本機的 IPSec 在 IP 封包負載加密的傳輸模式下運作。透過此功能,本機能直接連接到相同虛擬私人網路(VPN)中的電腦。檢查系統要求,並在電腦上設定必要組態,然後再設定本機。
系統要求
本機支援的 IPSec 符合 RFC2401、RFC2402、RFC2406 及 RFC4305。
|
作業系統
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
連線模式
|
傳輸模式
|
|
|
鍵値交換通訊協定
|
IKEv1(主要模式)
|
|
|
認證方法
|
預先共用鍵値
數位簽章
|
|
|
雜湊演算法
(和鍵値長度) |
HMAC-SHA1-96
HMAC-SHA2(256 位元或 384 位元)
|
|
|
加密演算法
(和鍵値長度) |
3DES-CBC
AES-CBC(128 位元、192 位元或 256 位元)
|
|
|
鍵値交換演算法/群組(和鍵値長度)
|
Diffie-Hellman (DH)
群組 1(768 位元)
群組 2(1024 位元)
群組 14(2048 位元)
|
|
|
ESP
|
雜湊演算法
|
HMAC-SHA1-96
|
|
加密演算法
(和鍵値長度) |
3DES-CBC
AES-CBC(128 位元、192 位元或 256 位元)
|
|
|
雜湊演算法/加密演算法(和鍵値長度)
|
AES-GCM(128 位元、192 位元或 256 位元)
|
|
|
AH
|
雜湊演算法
|
HMAC-SHA1-96
|
|
注意
|
IPSec 功能限制IPSec 支援傳送到單點傳播位址(或單一裝置)。
本機不能同時使用 IPSec 和 DHCPv6。
IPSec 不適用於執行 NAT 或 IP 偽裝的網路。
將 IPSec 與 IP 位址篩選器一起使用IP 位址篩選器設定的套用順序優先於 IPSec 策略。
|
指定 IPSec 設定
使用 IPSec 進行加密通訊之前,必須註冊安全策略(SP)。安全策略包含下述設定群組。最多可以註冊 10 個策略。註冊策略後,指定套用順序。
選擇器
選擇器定義要套用 IPSec 通訊的 IP 封包條件。可選條件包括本機與要通訊裝置的 IP 位址和連接埠號碼。
IKE
IKE 設定用於鍵値交換通訊協定的 IKEv1。請注意,說明因選擇的認證方法而異。
[預共用鍵值方法:]
可以與其他裝置共用最多 24 個英數字元的鍵値。指定此認證方法前,為遠端使用者介面啟用 SSL(為遠端使用者介面啟用 SSL 加密通訊)。
可以與其他裝置共用最多 24 個英數字元的鍵値。指定此認證方法前,為遠端使用者介面啟用 SSL(為遠端使用者介面啟用 SSL 加密通訊)。
[數位簽章方法:]
本機與其他裝置透過相互驗證數位簽章的方式認證對方。請預先產生或安裝鍵値組(指定鍵値組和數位憑證的設定)。
本機與其他裝置透過相互驗證數位簽章的方式認證對方。請預先產生或安裝鍵値組(指定鍵値組和數位憑證的設定)。
AH/ESP
指定在 IPSec 通訊時新增到封包的 AH/ESP 設定。可以同時使用 AH 和 ESP。您也可以選擇是否啟用 PFS 以提供更嚴密的安全性。
1
啟動遠端使用者介面,並以系統管理員模式登入。 啟動遠端使用者介面
2
按一下 [設定/註冊]。
3
按一下 [安全設定] 
[IPSec設定]。
[IPSec設定]。
4
按一下 [編輯...]。
5
勾選 [使用IPSec:] 核取方塊,然後按一下 [確定]。
若要本機僅接收符合您在以下步驟定義的安全策略之一的封包,清除 [接收非策略資料封包] 核取方塊。
6
按一下 [註冊新策略...]。
7
指定策略設定。
|
1
|
在 [策略名稱:] 文字框中,輸入用來識別策略的名稱,最多可以輸入 24 個英數字元。
|
|
2
|
勾選 [啟用策略] 核取方塊。
 |
8
指定選擇器設定。
[本機位址:]
按一下本機 IP 位址類型的選項按鈕以套用策略。
按一下本機 IP 位址類型的選項按鈕以套用策略。
|
[全部IP位址]
|
選擇此項可將 IPSec 用於所有 IP 封包。
|
|
[IPv4位址]
|
選擇此項可將 IPSec 用於本機 IPv4 位址所接收或傳送的所有 IP 封包。
|
|
[IPv6位址]
|
選擇此項可將 IPSec 用於本機 IPv6 位址所接收或傳送的所有 IP 封包。
|
[遠端位址:]
按一下其他裝置 IP 位址類型的選項按鈕以套用策略。
按一下其他裝置 IP 位址類型的選項按鈕以套用策略。
|
[全部IP位址]
|
選擇此項可將 IPSec 用於所有 IP 封包。
|
|
[全部IPv4位址]
|
選擇此項可將 IPSec 用於其他裝置 IPv4 位址所接收或傳送的所有 IP 封包。
|
|
[全部IPv6位址]
|
選擇此項可將 IPSec 用於其他裝置 IPv6 位址所接收或傳送的所有 IP 封包。
|
|
[IPv4手動設定]
|
選擇此項可指定要套用 IPSec 的單一 IPv4 位址或一個 IPv4 位址範圍。在 [手動設定位址] 文字框中輸入 IPv4 位址(或範圍)。
|
|
[IPv6手動設定]
|
選擇此項可指定要套用 IPSec 的單一 IPv6 位址或一個 IPv6 位址範圍。在 [手動設定位址] 文字框中輸入 IPv6 位址(或範圍)。
|
[要手動設定的位址:]
如果將 [遠端位址:] 選擇為 [IPv4手動設定] 或 [IPv6手動設定],輸入要套用策略的 IP 位址。您也可以在位址之間插入連字號以輸入一個位址範圍。
如果將 [遠端位址:] 選擇為 [IPv4手動設定] 或 [IPv6手動設定],輸入要套用策略的 IP 位址。您也可以在位址之間插入連字號以輸入一個位址範圍。
注意:
輸入 IP 位址
輸入 IP 位址
|
說明
|
範例
|
|
|
輸入單一位址
|
IPv4:
以句點分隔號碼。 |
192.168.0.10
|
|
IPv6:
以冒號分隔英數字元。 |
fe80::10
|
|
|
指定位址範圍
|
在位址之間插入連字號。
|
192.168.0.10-192.168.0.20
|
|
以前置碼指定位址範圍(僅限 IPv6)
|
輸入位址,接著輸入斜線和表示前置碼長度的號碼。
|
fe80::1234/64
|
[子網路設定:]
手動指定 IPv4 位址時,可以使用子網路遮罩表示範圍。輸入子網路遮罩,並以句點分隔號碼(例如:「255.255.255.240」)。
手動指定 IPv4 位址時,可以使用子網路遮罩表示範圍。輸入子網路遮罩,並以句點分隔號碼(例如:「255.255.255.240」)。
[本機連接埠:]/[遠端連接埠:]
若要為各個通訊協定(如 HTTP 或 SMTP)建立不同的策略,請為通訊協定輸入適當的連接埠號碼,以決定是否使用 IPSec。
若要為各個通訊協定(如 HTTP 或 SMTP)建立不同的策略,請為通訊協定輸入適當的連接埠號碼,以決定是否使用 IPSec。
須知:
IPSec 不適用於以下封包
IPSec 不適用於以下封包
回送、多點傳送和廣播封包
IKE 封包(使用連接埠 500 上的 UDP)
ICMPv6 芳鄰請求和芳鄰通告封包
9
指定 IKE 設定。
[IKE模式:]
顯示用於鍵値交換通訊協定的模式。本機支援主要模式,而不是加強模式。
顯示用於鍵値交換通訊協定的模式。本機支援主要模式,而不是加強模式。
[認證方法:]
選擇 [預共用鍵值方法:] 或 [數位簽章方法:] 作為認證本機時使用的方法。選擇 [預共用鍵值方法:] 前必須為遠端使用者介面啟用 SSL(為遠端使用者介面啟用 SSL 加密通訊)。選擇 [數位簽章方法:] 前必須產生或安裝鍵値組(指定鍵値組和數位憑證的設定)。
選擇 [預共用鍵值方法:] 或 [數位簽章方法:] 作為認證本機時使用的方法。選擇 [預共用鍵值方法:] 前必須為遠端使用者介面啟用 SSL(為遠端使用者介面啟用 SSL 加密通訊)。選擇 [數位簽章方法:] 前必須產生或安裝鍵値組(指定鍵値組和數位憑證的設定)。
[有效時長:]
指定 IKE SA (ISAKMP SA) 工作階段的有效時間。輸入時間(以分鐘為單位)。
指定 IKE SA (ISAKMP SA) 工作階段的有效時間。輸入時間(以分鐘為單位)。
[認證:]/[加密:]/[DH群組:]
從下拉式清單中選擇演算法。在鍵値交換時使用各演算法。
從下拉式清單中選擇演算法。在鍵値交換時使用各演算法。
|
[認證:]
|
選擇雜湊演算法。
|
|
[加密:]
|
選擇加密演算法。
|
|
[DH群組:]
|
選擇 Diffie-Hellman 群組,以決定鍵値長度。
|
使用預先共用鍵値進行認證
|
1
|
按一下 [認證方法:] 的 [預共用鍵值方法:] 選項按鈕,然後按一下 [共用鍵值設定...]。
|
|
2
|
輸入預先共用鍵値,最多可以輸入 24 個英數字元,然後按一下 [確定]。
 |
|
3
|
指定 [有效時長:] 和 [認證:]/[加密:]/[DH群組:] 設定。
|
使用鍵値組和預先安裝的 CA 憑證進行認證
|
1
|
按一下 [認證方法:] 的 [數位簽章方法:] 選項按鈕,然後按一下 [鍵值和憑證...]。
|
|
2
|
按一下要使用鍵値組右側的 [註冊預設鍵值]。
 注意:
檢視鍵値組或憑證的詳細資料 按一下 [鍵值名稱] 下的對應文字連結或憑證圖示,可以檢查憑證的詳細資料或驗證憑證。 驗證鍵値組和數位憑證
|
|
3
|
指定 [有效時長:] 和 [認證:]/[加密:]/[DH群組:] 設定。
|
10
指定 IPSec 網路設定。
[使用PFS]
勾選此核取方塊以啟用 IPSec 工作階段鍵値的完整轉寄密碼(PFS)。啟用 PFS 可提高安全性,同時也會增加通訊負載。確定其他裝置也啟用 PFS。
勾選此核取方塊以啟用 IPSec 工作階段鍵値的完整轉寄密碼(PFS)。啟用 PFS 可提高安全性,同時也會增加通訊負載。確定其他裝置也啟用 PFS。
[透過時間指定]/[透過大小指定]
設定終止 IPSec SA 工作階段的條件。IPSec SA 用作通訊通道。根據需求勾選其中一個核取方塊或兩者皆勾選。如果勾選兩個核取方塊,滿足其中一個條件時,IPSec SA 工作階段就會終止。
設定終止 IPSec SA 工作階段的條件。IPSec SA 用作通訊通道。根據需求勾選其中一個核取方塊或兩者皆勾選。如果勾選兩個核取方塊,滿足其中一個條件時,IPSec SA 工作階段就會終止。
|
[透過時間指定]
|
輸入時間(以分鐘為單位)以指定工作階段的有效時間。
|
|
[透過大小指定]
|
以 MB 輸入大小以指定一個工作階段可傳輸的資料量。
|
[選擇演算法:]
根據 IPSec 標題和使用的演算法勾選 [ESP]、[ESP(AES-GCM)] 或 [AH(SHA1)] 核取方塊。AES-GCM 是認證和加密的演算法。如果勾選 [ESP],也要從 [ESP認證:] 和 [ESP加密:] 下拉式清單中選擇認證和加密的演算法。
根據 IPSec 標題和使用的演算法勾選 [ESP]、[ESP(AES-GCM)] 或 [AH(SHA1)] 核取方塊。AES-GCM 是認證和加密的演算法。如果勾選 [ESP],也要從 [ESP認證:] 和 [ESP加密:] 下拉式清單中選擇認證和加密的演算法。
|
[ESP認證:]
|
若要啟用 ESP 認證,將雜湊演算法選擇為 [SHA1]。若要停用 ESP 認證,選擇 [不使用]。
|
|
[ESP加密:]
|
選擇 ESP 的加密演算法。如果不要指定演算法,可以選擇 [空]。若要停用 ESP 加密,選擇 [不使用]。
|
[連線模式]
顯示 IPSec 的連線模式。本機支援 IP 封包負載加密的傳輸模式。無法使用整個 IP 封包(標題和負載)封裝的通道模式。
顯示 IPSec 的連線模式。本機支援 IP 封包負載加密的傳輸模式。無法使用整個 IP 封包(標題和負載)封裝的通道模式。
11
按一下 [確定]。
若要註冊其他安全策略,返回步驟 6。
12
排列 [已註冊IPSec策略] 下方所列策略的順序。
策略套用順序由上往下。按一下 [上] 或 [下] 將策略順序上移或下移。
注意:
編輯策略
按一下編輯畫面的 [策略名稱] 下的對應文字連結。
編輯策略
按一下編輯畫面的 [策略名稱] 下的對應文字連結。
刪除策略
按一下要刪除策略名稱右側的 [刪除] 按一下 [確定]。
按一下 [確定]。13
重新啟動本機。
關閉本機,等待至少 10 秒,然後再開啟電源。
|
注意
|
|
可以從
 啟用或停用 IPSec 通訊。使用IPSec |