Защита сети
Можно повысить защиту сети на аппарате во избежание вывода данных и манипулирования ими, а также для усиления безопасности и конфиденциальности.
При использовании SSO-H по соображениям безопасности рекомендуется задать администратора сети (NetworkAdmin).
Сетевая безопасность для данного аппарата достигается с использованием следующих функций.
Зашифрованный обмен данными по протоколу TLS
Безопасную шифрованную связь при обращении пользователя к аппарату с помощью веб-браузера можно обеспечить, установив на аппарат сертификат сервера. При использовании протокола TLS на основе сертификата сервера и открытого ключа создается общий ключ, который может использоваться только конкретным пользователем и аппаратом. Это помогает предотвратить перехват и хищение данных. См. разделы "Параметры криптографической пары и сертификата сервера для зашифрованной связи TLS" и "Setting the Key Pair Used With TLS Encrypted Communications."
Ниже показана структура связи с использованием протокола TLS.
|
1.
|
Когда пользователь обращается к аппарату со своего компьютера, запрашиваются сертификат сервера для TLS и открытый ключ для сервера.
|
|
2.
|
Сертификат и открытый ключ передаются с аппарата на компьютер пользователя.
|
|
3.
|
С помощью полученного с сервера открытого ключа на компьютере выполняется шифрование уникального сгенерированного общего ключа.
|
|
4.
|
Зашифрованный общий ключ передается в аппарат.
|
|
5.
|
С помощью закрытого ключа в аппарате выполняется декодирование общего ключа.
|
|
6.
|
Теперь как в компьютере пользователя, так и в аппарате имеется общий ключ, с помощью которого можно передавать/принимать данные.
|
Брандмауэр
Брандмауэр — это система, предотвращающая доступ из внешних сетей, а также атаки/вторжения в сеть. Брандмауэр на этом аппарате можно использовать для блокирования потенциально опасного доступа из внешней сети путем ограничения передачи данных с указанных внешних IP-адресов. (См. "Protocol Settings.")
SNMP
SNMP — это протокол управления всей сетью. Данный аппарат поддерживает протоколы SNMPv1 и SNMPv3. Протокол SNMP служит для наблюдения и управления связью с аппаратами, подключенными к данному аппарату по сети. (См. "Communication Environment Setup.")
IEEE 802.1X Аутентификация
Служит для управления всей аутентификационной информацией через сервер аутентификации (RADIUS: Remote Authentication Dial In User Service (Служба дистанционной аутентификации пользователей по коммутируемым линиям)) и аутентификации обращающихся. Можно предотвратить несанкционированный доступ, так как только пользователи, аутентифицированные сервером RADIUS получают разрешение на подключение к сети через аутентификатор.
Аутентификатор блокирует связь для пользователей, не аутентифицированных сервером RADIUS. (См. "IEEE 802.1X Authentication Settings.")
Связь с помощью IPSec и FIPS 140-2
IPSec представляет собой протокол для создания политики защиты данных, получаемых из IP-сети и передаваемых в эту сеть, от таких угроз, как перехват, изменение или похищение данных. (См. "IPSec Settings.")
Можно также привести способ кодирования для связи с помощью IPSec в соответствие со стандартами FIPS (Federal Information Processing Standards) 140-2, утвержденными правительством США. (См. "Использование способа кодирования, который соответствует FIPS 140-2.")
Параметры MEAP
При использовании приложения MEAP посредством доступа к аппарату через веб-браузер можно пользоваться связью по протоколу TLS. (См. "Параметры MEAP.")