Cấu Hình Cho Cài Đặt IPSec
Bảo Mật Giao Thức Internet (IPSec hoặc IPsec) là một bộ giao thức để mã hóa dữ liệu vận chuyển qua một mạng, bao gồm mạng Internet. Trong khi TLS chỉ mã hóa dữ liệu được sử dụng trên một ứng dụng cụ thể, chẳng hạn như một trình duyệt Web hoặc ứng dụng e-mail, IPSec mã hóa toàn bộ gói IP hoặc phần tải dữ liệu của gói IP, cung cấp một hệ thống bảo mật linh hoạt hơn. IPSec của máy hoạt động ở chế độ vận chuyển, trong đó phần tải dữ liệu của gói IP được mã hóa. Với tính năng này, máy có thể kết nối trực tiếp tới máy tính ở trong cùng một mạng riêng ảo (VPN). Hãy kiểm tra (Các Chức Năng Quản Lý) yêu cầu hệ thống và cài đặt cấu hình cần thiết trên máy tính trước khi bạn cấu hình cho máy.
/b_C231_L.gif)
|
|
Sử dụng IPSec với bộ lọc địa chỉ IPCài đặt bộ lọc địa chỉ IP được áp dụng trước chính sách IPSec. Chỉ định Địa chỉ IP cho Cài Đặt Tường Lửa
|
Cấu Hình Cho Cài Đặt IPSec
Trước khi sử dụng IPSec cho truyền thông được mã hóa, bạn cần phải đăng ký chính sách bảo mật (SP). Chính sách bảo mật bao gồm các nhóm cài đặt được mô tả dưới đây. Sau khi đăng ký chính sách, hãy chỉ định thứ tự mà chúng sẽ được áp dụng.
Bộ chọn
Bộ chọn xác định các điều kiện cho các gói IP để áp dụng truyền thông IPSec. Các điều kiện có thể chọn bao gồm địa chỉ IP và số cổng của máy và các thiết bị tương tác truyền thông với máy.
IKE
IKE cấu hình IKEv1 được sử dụng cho giao thức trao đổi khóa. Lưu ý rằng các hướng dẫn có thể khác nhau tùy thuộc vào phương pháp xác thực được chọn.
[Pre-Shared Key Method] (Phương pháp Mã Khóa Cần Chia sẻ Trước)
Phương pháp xác thực này sử dụng một từ khóa phổ biến, được gọi là Khóa Chia Sẻ, cho tương tác truyền thông giữa máy và các thiết bị khác. Kích hoạt TLS cho Remote UI trước khi chỉ định phương pháp xác thực này (Cấu hình Khóa và Chứng chỉ cho TLS).
Phương pháp xác thực này sử dụng một từ khóa phổ biến, được gọi là Khóa Chia Sẻ, cho tương tác truyền thông giữa máy và các thiết bị khác. Kích hoạt TLS cho Remote UI trước khi chỉ định phương pháp xác thực này (Cấu hình Khóa và Chứng chỉ cho TLS).
[Digital Signature Method] (Phương pháp Chữ Ký Số)
Máy và các thiết bị khác xác thực lẫn nhau bằng cách xác minh chữ ký số của nhau. Hãy tạo hoặc cài đặt khóa và chứng chỉ từ trước (Đăng ký Khóa và Chứng chỉ cho Truyền Thông Mạng).
Máy và các thiết bị khác xác thực lẫn nhau bằng cách xác minh chữ ký số của nhau. Hãy tạo hoặc cài đặt khóa và chứng chỉ từ trước (Đăng ký Khóa và Chứng chỉ cho Truyền Thông Mạng).
AH/ESP
Chỉ định cài đặt cho AH/ESP, được thêm vào các gói trong quá trình truyền thông IPSec. AH và ESP có thể được sử dụng cùng một lúc. Bạn cũng có thể chọn có kích hoạt PFS để bảo mật chặt chẽ hơn hay không.
|
|
|
Để biết thêm chi tiết về các vận hành cơ bản được thực hiện khi cài đặt máy từ Remote UI, vui lòng xem Cài Đặt Tùy Chọn Trình Đơn từ Remote UI.
|
1
Khởi động Remote UI và đăng nhập vào Chế Độ Người Quản Lý Hệ Thống. Khởi động Remote UI
2
Nhấp vào [Settings/Registration] (Cài Đặt/Đăng Ký) trên trang Cổng thông tin. Màn Hình Remote UI
3
Chọn [Network Settings] (Cài Đặt Mạng) /b_key_arrow_right.gif)
[IPSec Settings] (Cài đặt IPsec).
[IPSec Settings] (Cài đặt IPsec).4
Nhấp vào [Edit] (Sửa).
5
Chọn hộp kiểm tra [Use IPSec] (Dùng IPSec) và bấm [OK] (OK).
Nếu bạn muốn máy chỉ nhận các gói khớp với một trong các chính sách bảo mật mà bạn xác định rõ trong các bước dưới đây, hãy bỏ chọn ô đánh dấu [Receive Non-Policy Packets] (Nhận Các Gói Phi Chính Sách).
6
Nhấp vào [Register New Policy] (Đăng Ký Chính Sách Mới).
7
Chỉ định Cài Đặt Chính Sách.
/b_rui081.gif)
|
1
|
Trông hộp văn bản [Policy Name] (Tên Chính Sách), hãy nhập ký tự chữ cái và chữ số cho tên được sử dụng để nhận dạng chính sách.
|
|
2
|
Chọn vào ô đánh dấu [Enable Policy] (Bật Chính Sách).
|
8
Chỉ định Cài Đặt Bộ chọn
/b_rui082.gif)
[Local Address] (Địa Chỉ Cục Bộ)
Nhấp vào nút radio cho loại địa chỉ IP của máy để áp dụng các chính sách.
Nhấp vào nút radio cho loại địa chỉ IP của máy để áp dụng các chính sách.
|
[All IP Addresses] (Tất cả Địa Chỉ IP)
|
Chọn sử dụng IPSec cho tất cả các gói IP.
|
|
[IPv4 Address] (Địa Chỉ IPv4)
|
Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ các địa chỉ IPv4 của máy.
|
|
[IPv6 Address] (Địa Chỉ IPv6)
|
Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ một địa chỉ IPv6 của máy.
|
[Remote Address] (Địa Chỉ Từ Xa)
Nhấp vào nút radio cho loại địa chỉ IP của các thiết bị khác để áp dụng các chính sách.
Nhấp vào nút radio cho loại địa chỉ IP của các thiết bị khác để áp dụng các chính sách.
|
[All IP Addresses] (Tất cả Địa Chỉ IP)
|
Chọn sử dụng IPSec cho tất cả các gói IP.
|
|
[All IPv4 Addresses] (Tất cả Địa Chỉ IPv4)
|
Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ các địa chỉ IPv4 của các thiết bị khác.
|
|
[All IPv6 Addresses] (Tất cả Địa Chỉ IPv6)
|
Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ các địa chỉ IPv6 của các thiết bị khác.
|
|
[IPv4 Manual Settings] (Cài Đặt Thủ Công IPv4)
|
Chọn để chỉ định một địa chỉ IPv4 đơn hoặc một chuỗi địa chỉ IPv4 để áp dụng IPSec. Nhập địa chỉ IPv4 (hoặc dãy) trong hộp văn bản [Addresses to Set Manually] (Địa chỉ để Cài Đặt Thủ Công).
|
|
[IPv6 Manual Settings] (Cài Đặt Thủ Công IPv6)
|
Chọn để chỉ định một địa chỉ IPv6 đơn hoặc một chuỗi địa chỉ IPv6 để áp dụng IPSec. Nhập địa chỉ IPv6 (hoặc dãy) trong hộp văn bản [Addresses to Set Manually] (Địa chỉ để Cài Đặt Thủ Công).
|
[Addresses to Set Manually] (Địa chỉ để Cài Đặt Thủ Công)
Nếu [IPv4 Manual Settings] (Cài Đặt Thủ Công IPv4) hoặc [IPv6 Manual Settings] (Cài Đặt Thủ Công IPv6) được chọn cho [Remote Address] (Địa Chỉ Từ Xa), hãy nhập địa chỉ IP để áp dụng chính sách. Bạn có thể nhập một dãy các địa chỉ bằng cách chèn dấu gạch ngang giữa các địa chỉ.
Nếu [IPv4 Manual Settings] (Cài Đặt Thủ Công IPv4) hoặc [IPv6 Manual Settings] (Cài Đặt Thủ Công IPv6) được chọn cho [Remote Address] (Địa Chỉ Từ Xa), hãy nhập địa chỉ IP để áp dụng chính sách. Bạn có thể nhập một dãy các địa chỉ bằng cách chèn dấu gạch ngang giữa các địa chỉ.
Nhập địa chỉ IP
|
Mô tả
|
Ví dụ
|
|
|
Nhập một địa chỉ đơn
|
IPv4:
Phân cách các số bằng dấu chấm. |
192.168.0.10
|
|
IPv6:
Phân cách các ký tự bằng dấu hai chấm. |
fe80::10
|
|
|
Chỉ định dãy địa chỉ
|
Chèn một dấu gạch ngang giữa các địa chỉ.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings] (Cài Đặt Mạng Con)
Khi xác định địa chỉ IPv4 theo cách thủ công, bạn có thể biểu thị dãy bằng cách sử dụng mặt nạ mạng con. Nhập mặt nạ mạng con, sử dụng các dấu chấm để phân cách các số (ví dụ: "255.255.255.240").
Khi xác định địa chỉ IPv4 theo cách thủ công, bạn có thể biểu thị dãy bằng cách sử dụng mặt nạ mạng con. Nhập mặt nạ mạng con, sử dụng các dấu chấm để phân cách các số (ví dụ: "255.255.255.240").
[Prefix Length] (Độ Dài Tiền Tố)
Chỉ định dãy địa chỉ IPv6 theo cách thủ công cũng cho phép bạn chỉ định dãy sử dụng tiền tố. Nhập dãy từ 0 đến 128 làm độ dài tiền tố.
Chỉ định dãy địa chỉ IPv6 theo cách thủ công cũng cho phép bạn chỉ định dãy sử dụng tiền tố. Nhập dãy từ 0 đến 128 làm độ dài tiền tố.
[Local Port]/[Remote Port]
Nếu bạn muốn tạo ra các chính sách riêng biệt cho từng giao thức, chẳng hạn như HTTP hoặc WSD, nhấp chuột vào nút radio [Single Port] và nhập số cổng phù hợp cho giao thức để xác định có sử dụng IPSec hay không.
Nếu bạn muốn tạo ra các chính sách riêng biệt cho từng giao thức, chẳng hạn như HTTP hoặc WSD, nhấp chuột vào nút radio [Single Port] và nhập số cổng phù hợp cho giao thức để xác định có sử dụng IPSec hay không.
IPSec không áp dụng cho các gói sau
Gói lặp lại, truyền thông đa hướng, và thông tin phát đi
Các gói IKE (sử dụng UDP trên cổng 500)
Các gói chào mời lân cận (neighbor solicitation) và quảng cáo lân cận (neighbor advertisement) ICMPv6
9
Chỉ định Cài Đặt IKE.
/b_rui083.gif)
[IKE Mode] (Chế độ IKE)
Chế độ được sử dụng cho các giao thức trao đổi khóa sẽ được hiển thị. Máy hỗ trợ chế độ chính, không hỗ trợ chế độ linh hoạt.
Chế độ được sử dụng cho các giao thức trao đổi khóa sẽ được hiển thị. Máy hỗ trợ chế độ chính, không hỗ trợ chế độ linh hoạt.
[Authentication Method] (Phương Pháp Xác Thực)
Chọn [Pre-Shared Key Method] (Phương pháp Mã Khóa Cần Chia sẻ Trước) hoặc [Digital Signature Method] (Phương pháp Chữ Ký Số) cho phương pháp được sử dụng khi xác thực máy. Bạn cần phải kích hoạt TLS cho Remote UI trước khi chọn [Pre-Shared Key Method] (Phương pháp Mã Khóa Cần Chia sẻ Trước). Bạn cần phải tạo hoặc cài đặt khóa và chứng chỉ trước khi chọn [Digital Signature Method] (Phương pháp Chữ Ký Số). Cấu hình Khóa và Chứng chỉ cho TLS
Chọn [Pre-Shared Key Method] (Phương pháp Mã Khóa Cần Chia sẻ Trước) hoặc [Digital Signature Method] (Phương pháp Chữ Ký Số) cho phương pháp được sử dụng khi xác thực máy. Bạn cần phải kích hoạt TLS cho Remote UI trước khi chọn [Pre-Shared Key Method] (Phương pháp Mã Khóa Cần Chia sẻ Trước). Bạn cần phải tạo hoặc cài đặt khóa và chứng chỉ trước khi chọn [Digital Signature Method] (Phương pháp Chữ Ký Số). Cấu hình Khóa và Chứng chỉ cho TLS
[Valid for] (Hợp lệ cho)
Chỉ định thời gian một phiên kéo dài cho IKE SA (ISAKMP SA). Nhập thời gian tính bằng phút.
Chỉ định thời gian một phiên kéo dài cho IKE SA (ISAKMP SA). Nhập thời gian tính bằng phút.
[Authentication] (Xác thực)/[Encryption] (Mã hóa)/[DH Group] (Nhóm DH)
Chọn một thuật toán từ danh sách thả xuống. Mỗi thuật toán được sử dụng trong trao đổi khóa.
Chọn một thuật toán từ danh sách thả xuống. Mỗi thuật toán được sử dụng trong trao đổi khóa.
|
[Authentication] (Xác thực)
|
Chọn thuật toán băm.
|
|
[Encryption] (Mã hóa)
|
Chọn thuật toán mã hóa.
|
|
[DH Group] (Nhóm DH)
|
Chọn nhóm Diffie-Hellman xác định độ mạnh của khóa.
|
Xác thực máy bằng mã khóa cần chia sẻ trước
|
1
|
Nhấp vào nút radio [Pre-Shared Key Method] (Phương pháp Mã Khóa Cần Chia Sẻ Trước) cho [Authentication Method] (Phương Pháp Xác Thực) và sau đó nhấp vào [Shared Key Settings] (Cài đặt Mã Khóa Chia Sẻ).
|
|
2
|
Nhập ký tự chữ cái và chữ số cho mã khóa cần chia sẻ trước và nhấp vào [OK] (OK).
|
|
3
|
Chỉ định các cài đặt [Valid for] (Hợp lệ cho) và [Authentication] (Xác thực)/[Encryption] (Mã hóa)/[DH Group] (Nhóm DH).
|
Xác thực máy bằng phương pháp chữ ký số
|
1
|
Nhấp vào nút radio [Digital Signature Method] (Phương pháp Chữ Ký Số) cho [Authentication Method] (Phương Pháp Xác Thực) và sau đó nhấp vào [Key and Certificate] (Khóa và Chứng Chỉ).
|
|
2
|
Nhấp vào [Register Default Key] (Đăng Ký Khóa Mặc Định) phía bên phải của khóa và chứng chỉ bạn muốn sử dụng.
Xem chi tiết của một chứng chỉ
Bạn có thể kiểm tra chi tiết của chứng chỉ hoặc xác nhận chứng chỉ bằng cách bấm vào liên kết văn bản tương ứng dưới [Key Name] (Tên Khóa) hoặc biểu tượng chứng chỉ.
|
|
3
|
Chỉ định các cài đặt [Valid for] (Hợp lệ cho) và [Authentication] (Xác thực)/[Encryption] (Mã hóa)/[DH Group] (Nhóm DH).
|
10
Chỉ định Cài Đặt Mạng IPSec.
/b_rui086.gif)
[Use PFS] (Sử dụng PFS)
Chọn vào ô đánh dấu để kích hoạt Perfect Forward Secrecy (PFS) cho các khóa phiên IPSec. Việc kích hoạt PFS sẽ tăng cường bảo mật trong khi tăng tải về trong tương tác truyền thông. Hãy đảm bảo rằng PFS cũng được kích hoạt trên các thiết bị khác.
Chọn vào ô đánh dấu để kích hoạt Perfect Forward Secrecy (PFS) cho các khóa phiên IPSec. Việc kích hoạt PFS sẽ tăng cường bảo mật trong khi tăng tải về trong tương tác truyền thông. Hãy đảm bảo rằng PFS cũng được kích hoạt trên các thiết bị khác.
[Specify by Time] (Chỉ định bằng Thời gian)/[Specify by Size] (Chỉ định bằng Cỡ)
Cài đặt các điều kiện chấm dứt một phiên cho IPSec SA. IPSec SA được sử dụng làm một đường hầm truyền thông. Chọn vào một trong hai hoặc cả hai ô đánh dấu khi cần thiết. Nếu cả hai ô đánh dấu đã được chọn, phiên IPSec SA sẽ chấm dứt khi một trong các điều kiện được đáp ứng.
Cài đặt các điều kiện chấm dứt một phiên cho IPSec SA. IPSec SA được sử dụng làm một đường hầm truyền thông. Chọn vào một trong hai hoặc cả hai ô đánh dấu khi cần thiết. Nếu cả hai ô đánh dấu đã được chọn, phiên IPSec SA sẽ chấm dứt khi một trong các điều kiện được đáp ứng.
|
[Specify by Time] (Chỉ định bằng Thời gian)
|
Nhập thời gian tính bằng phút để chỉ định thời gian một phiên kéo dài.
|
|
[Specify by Size] (Chỉ định bằng Cỡ)
|
Nhập dung lượng tính bằng megabyte để chỉ định bao nhiêu dữ liệu có thể vận chuyển trong một phiên.
|
[Select Algorithm] (Chọn Thuật toán)
Chọn vào (các) ô đánh dấu [ESP] (ESP), [ESP (AES-GCM)] (ESP (AES-GCM)) hoặc [AH (SHA1)] (AH (SHA1)) tùy thuộc vào tiêu đề IPSec và các thuật toán được sử dụng. AES-GCM là một thuật toán cho cả mã hóa và xác thực. Nếu [ESP] (ESP) được chọn, cũng chọn cả thuật toán cho xác thực và mã hóa từ danh sách thả xuống [ESP Authentication] (Xác Nhận ESP) và [ESP Encryption] (Mã hóa ESP).
Chọn vào (các) ô đánh dấu [ESP] (ESP), [ESP (AES-GCM)] (ESP (AES-GCM)) hoặc [AH (SHA1)] (AH (SHA1)) tùy thuộc vào tiêu đề IPSec và các thuật toán được sử dụng. AES-GCM là một thuật toán cho cả mã hóa và xác thực. Nếu [ESP] (ESP) được chọn, cũng chọn cả thuật toán cho xác thực và mã hóa từ danh sách thả xuống [ESP Authentication] (Xác Nhận ESP) và [ESP Encryption] (Mã hóa ESP).
|
[ESP Authentication] (Xác Nhận ESP)
|
Để kích hoạt xác nhận ESP, chọn [SHA1] (SHA1) cho các thuật toán băm. Chọn [Do Not Use] (Không Sử Dụng) nếu bạn muốn tắt xác thực ESP.
|
|
[ESP Encryption] (Mã hóa ESP)
|
Chọn thuật toán mật mã cho ESP. Bạn có thể chọn [NULL] (NULL) nếu bạn không muốn chỉ định thuật toán, hoặc chọn [Do Not Use] (Không Sử Dụng) nếu bạn muốn tắt mã hóa ESP.
|
[Connection Mode] (Chế độ kết nối)
Chế độ kết nối của IPSec sẽ được hiển thị. Máy hỗ trợ chế độ vận chuyển, trong đó phần tải dữ liệu của gói IP được mã hóa. Chế độ đường hầm , trong đó toàn bộ các gói IP (tiêu đề và phần tải dữ liệu) được đóng gói không khả dụng.
Chế độ kết nối của IPSec sẽ được hiển thị. Máy hỗ trợ chế độ vận chuyển, trong đó phần tải dữ liệu của gói IP được mã hóa. Chế độ đường hầm , trong đó toàn bộ các gói IP (tiêu đề và phần tải dữ liệu) được đóng gói không khả dụng.
11
Nhấp vào [OK] (OK).
Nếu bạn cần đăng ký một chính sách bảo mật bổ sung, quay lại bước 6.
12
Sắp xếp thứ tự của các chính sách được liệt kê dưới [Registered IPSec Policies] (Đăng Ký Các Chính Sách IPSec).
Chính sách được áp dụng từ vị trí cao nhất đến thấp nhất. Nhấp vào [Up] (Lên) hoặc [Down] (Xuống) để di chuyển thứ tự lên hoặc xuống một chính sách.
/b_rui087.gif)
Chỉnh sửa một chính sách
Nhấp vào liên kết văn bản tương ứng dưới [Policy Name] (Tên Chính Sách) cho màn hình chỉnh sửa.
Xóa một chính sách
Nhấp vào [Delete] (Xóa) ở phía bên phải tên chính sách bạn muốn xóa nhấp vào [OK] (OK).
nhấp vào [OK] (OK).13
Khởi động lại máy.
TẮT máy, chờ ít nhất 10 giây, và BẬT lại máy.
|
|
Sử dụng bảng thao tácBạn cũng có thể bật hoặc tắt truyền thông IPSec từ <Menu> trong màn hình Home. <Dùng IPSec>
|