配置 IPSec 设置
互联网协议安全(IPSec 或 IPsec)是用于加密通过网络(包括互联网)传输的数据的协议组。SSL 仅加密用于网页浏览器或电子邮件应用程序等特定应用程序的数据,而 IPSec 则加密整个 IP 数据包或 IP 数据包的有效载荷,从而提供更加多功能的安全系统。本机的 IPSec 以传输模式工作,可加密 IP 数据包的有效载荷。使用此功能,本机可以直接连接至相同虚拟专用网络(VPN)中的计算机。配置本机前,请在计算机上检查系统要求并设置所需配置。
系统要求
本机支持的 IPSec 符合 RFC2401、RFC2402、RFC2406 和 RFC4305。
|
操作系统
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
连接模式
|
传输模式
|
|
|
密钥交换协议
|
IKEv1(主模式)
|
|
|
认证方法
|
预共享密钥
数字签名
|
|
|
哈希算法
(和密钥长度) |
HMAC-SHA1-96
HMAC-SHA2(256 位或 384 位)
|
|
|
加密算法
(和密钥长度) |
3DES-CBC
AES-CBC(128 位,192 位或 256 位)
|
|
|
密钥交换算法/组(和密钥长度)
|
Diffie-Hellman (DH)
组 1(768 位)
组 2(1024 位)
组 14(2048 位)
|
|
|
ESP
|
哈希算法
|
HMAC-SHA1-96
|
|
加密算法
(和密钥长度) |
3DES-CBC
AES-CBC(128 位,192 位或 256 位)
|
|
|
哈希算法/加密算法(和密钥长度)
|
AES-GCM(128 位,192 位或 256 位)
|
|
|
AH
|
哈希算法
|
HMAC-SHA1-96
|
 |
IPSec 功能限制IPSec 支持与单播地址(或单个设备)的通信。
本机无法同时使用 IPSec 和 DHCPv6。
在执行 NAT 或 IP 伪装的网络中 IPSec 不可用。
将 IPSec 与 IP 地址筛选器配合使用在 IPSec 策略之前应用 IP 地址筛选器设置。指定用于防火墙规则的 IP 地址
|
配置 IPSec 设置
对加密通信使用 IPSec 之前,需要注册安全策略(SP)。安全策略包含下述设置组。最多可以注册 10 个策略。注册策略后,指定应用顺序。
选择器
选择器定义 IP 数据包应用 IPSec 通信的条件。可选条件包括本机和要通信设备的 IP 地址和端口号。
IKE
IKE 配置用于密钥交换协议的 IKEv1。请注意,操作说明因所选认证方法而异。
[预共享密钥方法]
可与其他设备共享最多 24 个字母数字字符的密钥。指定此认证方法之前启用远程用户界面的 SSL( 对远程用户界面启用 SSL 加密通信)。
可与其他设备共享最多 24 个字母数字字符的密钥。指定此认证方法之前启用远程用户界面的 SSL( 对远程用户界面启用 SSL 加密通信)。
[数字签名方法]
本机和其他设备通过相互验证数字签名而相互认证。预先生成或安装密钥对 (为密钥对和数字证书配置设置)。
本机和其他设备通过相互验证数字签名而相互认证。预先生成或安装密钥对 (为密钥对和数字证书配置设置)。
AH/ESP
指定在 IPSec 通信期间添加到数据包的 AH/ESP 的设置。AH 和 ESP 可同时使用。您也可以选择是否启用 PFS 加强安全性。
1
启动远程用户界面并以系统管理员模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全设置] 
[IPSec设置]。
[IPSec设置]。
4
单击 [编辑]。
5
选择 [使用IPSec] 复选框,然后单击 [确定]。
如果您想要本机仅接收符合您在以下步骤中定义的安全策略之一的数据包,请取消选择 [接收非策略数据包] 复选框。
6
单击 [注册新策略]。
7
指定策略设置。
|
1
|
在 [策略名称] 文本框中,为用于识别策略的名称输入最多 24 个字母数字字符。
|
|
2
|
选择 [启用策略] 复选框。
 |
8
指定选择器设置。
[本地地址]
单击用于本机 IP 地址类型的单选按钮应用策略。
单击用于本机 IP 地址类型的单选按钮应用策略。
|
[全部IP地址]
|
选择此项对所有 IP 数据包使用 IPSec。
|
|
[IPv4地址]
|
选择此项可对发送到本机的 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[IPv6地址]
|
选择此项可对发送到本机的 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。
|
[远程地址]
单击用于其他设备 IP 地址类型的单选按钮应用策略。
单击用于其他设备 IP 地址类型的单选按钮应用策略。
|
[全部IP地址]
|
选择此项对所有 IP 数据包使用 IPSec。
|
|
[全部IPv4地址]
|
选择此项可对发送到其他设备的 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[全部IPv6地址]
|
选择此项可对发送到其他设备的 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[IPv4手动设置]
|
选择此项可指定单个 IPv4 地址或 IPv4 地址范围以应用 IPSec。在 [要手动设置的地址] 文本框中输入 IPv4 地址(或范围)。
|
|
[IPv6手动设置]
|
选择此项可指定单个 IPv6 地址或 IPv6 地址范围以应用 IPSec。在 [要手动设置的地址] 文本框中输入 IPv6 地址(或范围)。
|
[要手动设置的地址]
如果 [远程地址] 选择 [IPv4手动设置] 或 [IPv6手动设置],请输入要应用策略的 IP 地址。您也可以通过在地址之间插入连字符输入地址范围。
如果 [远程地址] 选择 [IPv4手动设置] 或 [IPv6手动设置],请输入要应用策略的 IP 地址。您也可以通过在地址之间插入连字符输入地址范围。
输入 IP 地址
|
说明
|
示例
|
|
|
输入单个地址
|
IPv4:
用点分割数字。 |
192.168.0.10
|
|
IPv6:
用冒号分割字母数字字符。 |
fe80::10
|
|
|
指定地址范围
|
在地址之间插入连字符。
|
192.168.0.10-192.168.0.20
|
[子网设置]
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
[前缀长度]
手动指定 IPv6 地址的范围还能让您指定使用前缀的范围。输入 0 到 128 的范围作为前缀长度。
手动指定 IPv6 地址的范围还能让您指定使用前缀的范围。输入 0 到 128 的范围作为前缀长度。
[本地端口]/[远程端口]
如果想要为各个协议(如 HTTP 或 SMTP)创建单独的策略,请输入该协议相应的端口号以确定是否使用 IPSec。
如果想要为各个协议(如 HTTP 或 SMTP)创建单独的策略,请输入该协议相应的端口号以确定是否使用 IPSec。
IPSec 不适用于以下数据包
环回、多路传送和广播包
IKE 数据包(在端口 500 上使用 UDP)
ICMPv6 邻居请求和邻居通告包
9
指定 IKE 设置。
[IKE模式]
显示用于密钥交换协议的模式。本机支持主模式,而不支持积极模式。
显示用于密钥交换协议的模式。本机支持主模式,而不支持积极模式。
[认证方法]
对认证本机时使用的方法选择 [预共享密钥方法] 或 [数字签名方法]。选择 [预共享密钥方法] 之前需要对远程用户界面启用 SSL(对远程用户界面启用 SSL 加密通信)。选择 [数字签名方法] 之前需要生成或安装密钥对(为密钥对和数字证书配置设置)。
对认证本机时使用的方法选择 [预共享密钥方法] 或 [数字签名方法]。选择 [预共享密钥方法] 之前需要对远程用户界面启用 SSL(对远程用户界面启用 SSL 加密通信)。选择 [数字签名方法] 之前需要生成或安装密钥对(为密钥对和数字证书配置设置)。
[有效时长]
指定 IKE SA(ISAKMP SA)持续的期间长度。以分钟为单位输入时间。
指定 IKE SA(ISAKMP SA)持续的期间长度。以分钟为单位输入时间。
[认证]/[加密]/[DH组]
从下拉列表中选择算法。各算法用于密钥交换。
从下拉列表中选择算法。各算法用于密钥交换。
|
[认证]
|
选择哈希算法。
|
|
[加密]
|
选择加密算法。
|
|
[DH组]
|
选择决定密钥强度的 Diffie-Hellman 组。
|
使用预共享密钥进行认证
|
1
|
单击 [认证方法] 的 [预共享密钥方法] 单选按钮,然后单击 [共享密钥设置]。
|
|
2
|
输入最多 24 个字母数字字符的预共享密钥,然后单击 [确定]。
 |
|
3
|
指定 [有效时长] 和 [认证]/[加密]/[DH组] 设置。
|
使用密钥对和预装的 CA 证书进行认证
|
1
|
单击 [认证方法] 的 [数字签名方法] 单选按钮,然后单击 [密钥和证书]。
|
|
2
|
单击想要使用的密钥对右侧的 [注册默认密钥]。
 查看密钥对或证书的详细内容
您可以检查证书的详细内容,或单击 [密钥名称] 下相应的文本链接或证书图标来核实证书。验证密钥对和数字证书
|
|
3
|
指定 [有效时长] 和 [认证]/[加密]/[DH组] 设置。
|
10
指定 IPSec 网络设置。
[使用PFS]
选择此复选框可对 IPSec 会话密钥启用完全正向保密(PFS)。启用 PFS 将提高安全性,同时增加通信的载荷。请确保对其他设备也启用了 PFS。
选择此复选框可对 IPSec 会话密钥启用完全正向保密(PFS)。启用 PFS 将提高安全性,同时增加通信的载荷。请确保对其他设备也启用了 PFS。
[按时间指定]/[按大小指定]
设置终止 IPSec SA 会话的条件。IPSec SA 用作通信通道。根据需要选择两个复选框之一或全选。如果两个复选框全选,当满足任一条件时,将终止 IPSec SA 会话。
设置终止 IPSec SA 会话的条件。IPSec SA 用作通信通道。根据需要选择两个复选框之一或全选。如果两个复选框全选,当满足任一条件时,将终止 IPSec SA 会话。
|
[按时间指定]
|
以分钟为单位输入时间来指定会话持续的时间。
|
|
[按大小指定]
|
以兆字节为单位输入大小来指定在会话中可传输多少数据。
|
[选择算法]
根据 IPSec 标头和使用的算法选择 [ESP]、[ESP(AES-GCM)] 或 [AH(SHA1)] 复选框。AES-GCM 是用于认证和加密的算法。如果选择 [ESP],也请从 [ESP认证] 和 [ESP加密] 下拉列表中选择用于认证和加密的算法。
根据 IPSec 标头和使用的算法选择 [ESP]、[ESP(AES-GCM)] 或 [AH(SHA1)] 复选框。AES-GCM 是用于认证和加密的算法。如果选择 [ESP],也请从 [ESP认证] 和 [ESP加密] 下拉列表中选择用于认证和加密的算法。
|
[ESP认证]
|
若要启用 ESP 认证,请对哈希算法选择 [SHA1]。如果想要禁用 ESP 认证,请选择 [不使用]。
|
|
[ESP加密]
|
选择 ESP 的加密算法。如果不想指定算法,则可以选择 [空],如果想要禁用 ESP 加密,则选择 [不使用]。
|
[连接模式]
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
11
单击 [确定]。
如果需要注册其他安全策略,请返回步骤 6。
12
对 [已注册IPSec策略] 下列出的策略排序。
从最高位置到最低位置应用策略。单击 [上] 或 [下] 可升序或降序移动策略。
编辑策略
单击编辑画面的 [策略名称] 下的相应文本链接。
删除策略
单击想要删除的策略名称右侧的 [删除] 单击 [确定]。
单击 [确定]。13
重新启动本机。
关闭本机,至少等待 10 秒钟,然后再重新开启。
|
|
使用操作面板也可以从 <主页> 画面的 <菜单> 中启用或禁用 IPSec 通信。使用IPSec
|