配置 IPSec 设置
互联网协议安全(IPSec 或 IPsec)是用于加密通过网络(包括互联网)传输的数据的协议组。TLS 仅加密用于网页浏览器或电子邮件应用程序等特定应用程序的数据,而 IPSec 则加密整个 IP 数据包或 IP 数据包的有效载荷,从而提供更加多功能的安全系统。本机的 IPSec 以传输模式工作,可加密 IP 数据包的有效载荷。使用此功能,本机可以直接连接至相同虚拟专用网络(VPN)中的计算机。配置本机前,请在计算机上检查系统要求并设置所需配置。
系统要求
本机支持的 IPSec 符合 RFC4301、RFC4302、RFC4303 和 RFC4305。
|
通信合作伙伴支持的操作系统
|
Windows Vista/7/8/10/Server 2003/Server 2008/Server 2012
|
|
|
连接模式
|
传输模式
|
|
|
密钥交换协议
|
IKEv1
|
|
|
打印模式
|
主要模式
积极模式
|
|
|
认证方法
|
预共享密钥
数字签名
|
|
|
哈希算法
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
加密算法
(和密钥长度) |
3DES-CBC
AES-CBC(128 位、192 位或 256 位)
|
|
|
密钥交换算法/组(和密钥长度)
|
Diffie-Hellman (DH)
组 1(768 位)
组 2(1024 位)
组 14(2048 位)
|
|
|
ESP(封装安全有效载荷)
|
哈希算法
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
加密算法
(和密钥长度) |
3DES-CBC
AES-CBC(128 位、192 位或 256 位)
|
|
|
AH(认证标头)
|
哈希算法
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
配置 IPSec 通信设置之前检查与本机通信的操作系统中的 IPSec 设置。操作系统设置和本机设置的错误组合会禁用 IPSec 通信。
|
 |
IPSec 功能限制IPSec 支持与单播地址(或单个设备)的通信。
本机无法同时使用 IPSec 和 DHCPv6。
在执行 NAT 或 IP 伪装的网络中 IPSec 不可用。
在 IKEv1 阶段 1 中,不支持 PFS。
将 IPSec 与 IP 地址筛选器配合使用在数据包接收期间的 IP 地址过滤设置之前应用 IPSec 设置,而在数据包传输期间的 IPSec 设置之前应用 IP 地址设置。指定用于防火墙规则的 IP 地址
|
注册安全策略
要将 IPSec 用于加密通信,启用 IPSec 设置 (启用 IPSec 通信) 之前,需要注册安全策略 (SP)。安全策略包含下述设置组。最多可以注册 10 个策略。可以依照 IP 地址和端口号的组合注册多个策略。注册策略后,指定应用策略的顺序。
选择器
选择器定义 IP 数据包应用 IPSec 通信的条件。可选条件包括本机和要通信设备的 IP 地址和端口号。
IKE
IKE 配置用于密钥交换协议的 IKEv1。请注意,操作说明因所选认证方法而异。
[预共享密钥方法]
可与其他设备共享最多 24 个字母数字字符的密钥。为远程用户界面提前启用 TLS (为加密通信使用 TLS)。
可与其他设备共享最多 24 个字母数字字符的密钥。为远程用户界面提前启用 TLS (为加密通信使用 TLS)。
[数字签名方法]
本机和其他设备通过相互验证数字签名而相互认证。准备好要使用的密钥对 (使用 CA 发布的密钥对和数字证书)。
本机和其他设备通过相互验证数字签名而相互认证。准备好要使用的密钥对 (使用 CA 发布的密钥对和数字证书)。
设置协议和选项
指定在 IPSec 通信期间添加到数据包的 ESP 和 AH 的设置。ESP 和 AH 不得同时使用。也可以选择是否启用 PFS 加强安全性。
1
启动远程用户界面并以管理模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全] 
[IPSec设置]。
[IPSec设置]。
4
单击 [IPSec策略列表]。
5
单击 [注册IPSec策略]。
6
在 [策略名称] 中输入策略名称并选择 [启用策略] 复选框。
[策略名称]
为用于识别策略的名称输入最多 24 个字母数字字符。
为用于识别策略的名称输入最多 24 个字母数字字符。
[启用策略]
选择此复选框以启用该策略。不使用该策略时,请取消选择此复选框。
选择此复选框以启用该策略。不使用该策略时,请取消选择此复选框。
7
指定选择器设置。
[本地地址]
从以下列表选择要应用到策略的本机 IP 地址类型。
从以下列表选择要应用到策略的本机 IP 地址类型。
|
[全部IP地址]
|
选择此项对所有 IP 数据包使用 IPSec。
|
|
[IPv4地址]
|
选择此项可对发送到本机的 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[IPv6地址]
|
选择此项可对发送到本机的 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[IPv4手动设置]
|
选择此项可指定单个 IPv4 地址或 IPv4 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv4 地址(或范围)。
|
|
[IPv6手动设置]
|
选择此项可指定单个 IPv6 地址或 IPv6 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv6 地址(或范围)。
|
[手动设置的地址]
如果为 [本地地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
如果为 [本地地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
[子网设置]
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
[远程地址]
从以下所示列表选择要应用到策略的其他设备的 IP 地址类型。
从以下所示列表选择要应用到策略的其他设备的 IP 地址类型。
|
[全部IP地址]
|
选择此项对所有 IP 数据包使用 IPSec。
|
|
[全部IPv4地址]
|
选择此项可对发送到 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[全部IPv6地址]
|
选择此项可对发送到 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。
|
|
[IPv4手动设置]
|
选择此项可指定单个 IPv4 地址或 IPv4 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv4 地址(或范围)。
|
|
[IPv6手动设置]
|
选择此项可指定单个 IPv6 地址或 IPv6 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv6 地址(或范围)。
|
[手动设置的地址]
如果为 [远程地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
如果为 [远程地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
[子网设置]
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
[本地端口]/[远程端口]
如果想要为各个协议(如 HTTP 或 SMTP)创建单独的策略,请输入该协议相应的端口号以确定是否使用 IPSec。
如果想要为各个协议(如 HTTP 或 SMTP)创建单独的策略,请输入该协议相应的端口号以确定是否使用 IPSec。
IPSec 不适用于指定多路传送或广播地址的数据包。
8
指定 IKE 设置。
[IKE模式]
将显示用于密钥交换的模式。通常选择主要模式。
当 IP 地址未固定时,选择积极模式。请注意,积极模式的安全性比主要模式更低。
[认证方法]
为认证本机时使用的方法选择 [预共享密钥方法] 或 [数字签名方法]。
为认证本机时使用的方法选择 [预共享密钥方法] 或 [数字签名方法]。
当在 [IKE模式] 中选择积极模式时,[预共享密钥方法] 设置不加密共享密钥。
[认证/加密算法]
要自动设置用于密钥交换的算法,选择 [自动] 复选框。如果选择该复选框,算法设置为如下。
要自动设置用于密钥交换的算法,选择 [自动] 复选框。如果选择该复选框,算法设置为如下。
|
[认证]
|
[SHA1和MD5]
|
|
[加密]
|
[3DES-CBC和AES-CBC]
|
|
[DH群组]
|
[群组2(1024)]
|
要手动设置算法,取消选择该复选框并选择算法。
|
[认证]
|
选择哈希算法。
|
|
[加密]
|
选择加密算法。
|
|
[DH群组]
|
选择决定密钥强度的 Diffie-Hellman 组。
|
为认证使用 [预共享密钥方法]
|
1
|
为 [认证方法] 选择 [预共享密钥方法] 并单击 [共享密钥设置]。
|
|
2
|
输入最多 24 个字母数字字符的预共享密钥,然后单击 [确定]。
 |
为认证使用 [数字签名方法]
|
1
|
为 [认证方法] 选择 [数字签名方法] 并单击 [密钥和证书]。
|
|
2
|
选择要使用的密钥对并单击 [默认密钥设置]。
 查看密钥对或证书的详细信息
您可以检查证书的详细内容,或单击 [密钥名称] 下相应的文本链接或证书图标核实证书。 验证密钥对和数字证书
|
9
指定 IPSec 网络设置。
[使用PFS]
选择此复选框可对 IPSec 会话密钥启用完全正向保密(PFS)。启用 PFS 将提高安全性,同时增加通信的载荷。请确保对其他设备也启用了 PFS。不使用 PFS 时,取消选择该复选框。
[有效期]
指定将 SA 用作通信通道的时间长度。必要时选择 [通过时间指定] 或 [通过尺寸指定] 复选框。如果选择了这两个复选框,IPSec SA 会话将在满足任一条件时终止。
指定将 SA 用作通信通道的时间长度。必要时选择 [通过时间指定] 或 [通过尺寸指定] 复选框。如果选择了这两个复选框,IPSec SA 会话将在满足任一条件时终止。
|
[通过时间指定]
|
以分钟为单位输入时间来指定会话持续的时间。输入的时间同时适用于 IPSec SA 和 IKE SA。
|
|
[通过尺寸指定]
|
以兆字节为单位输入大小来指定在会话中可传输多少数据。输入的大小仅适用于 IPSec SA。
|
如果仅选择 [通过尺寸指定] 复选框
无法按大小指定 IKE SA 有效性,因此应用 [通过时间指定] 的初始值(480 分钟)。
[认证/加密算法]
选择用于 IPSec 通信的协议和算法。
选择用于 IPSec 通信的协议和算法。
自动设置连接选择 [自动]。
|
[ESP认证]
|
将启用 ESP,同时认证算法设置为 [SHA1和MD5]。
|
|
[ESP加密]
|
将启用 ESP,同时加密算法设置为 [3DES-CBC和AES-CBC]。
|
使用 ESP选择 [ESP],并选择认证算法及加密算法。
|
[ESP认证]
|
为 ESP 认证选择使用哈希算法。
|
|
[ESP加密]
|
为 ESP 选择加密算法。
|
使用 AH选择 [AH],并从 [AH认证] 选择用于 AH 认证的哈希算法。
[连接模式]
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
10
单击 [确定]。
如果需要注册其他安全策略,请返回步骤 5。
11
对 [IPSec策略列表] 下列出的策略排序。
从最高位置到最低位置应用策略。单击 [提高优先级] 或 [降低优先级] 可升序或降序移动策略。
编辑策略
可以单击 [策略名称] 下的文本链接编辑设置。
删除策略
单击希望删除策略右侧的 [删除]。
12
执行硬重置。
单击 [设备控制],选择 [硬复位],然后单击 [执行]。
设置会在执行硬重置后启用。
启用 IPSec 通信
完成注册安全策略后,启用 IPSec 通信。
1
启动远程用户界面并以管理模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全] [IPSec设置]。
[IPSec设置]。4
单击 [编辑]。
5
选择 [使用IPSec] 复选框,然后单击 [确定]。
[使用IPSec]
当在本机中使用 IPSec 时,选择该复选框。当不使用时,取消选择此复选框。
[允许接收非策略数据包]
如果当使用 IPSec 时选择该复选框,还会发送/接收对注册的策略不可用的数据包。要禁用发送/接收对该策略不可用的数据包,取消选择该复选框。
如果当使用 IPSec 时选择该复选框,还会发送/接收对注册的策略不可用的数据包。要禁用发送/接收对该策略不可用的数据包,取消选择该复选框。
6
执行硬重置。
单击 [设备控制],选择 [硬复位],然后单击 [执行]。
设置会在执行硬重置后启用。
|
|
使用操作面板还可以从操作面板设置菜单启用或禁用 IPSec 通信。IPSec
|