Administrationsfunktioner
Firewall-indstillinger
Der kan angives op til 16 IP-adresser (eller IP-adresseområder) for både IPv4 og IPv6.
De pakkefiltre, der er beskrevet i dette afsnit, styrer meddelelser via TCP, UDP og ICMP.
Der kan angives op til 32 MAC-adresser.
IPSec
IPSec, der understøttes af maskinen, er i overensstemmelse med RFC2401, RFC2402, RFC2406 og RFC4305.
|
Operativsystem
|
Windows Vista/7/8/Server 2008/Server 2012
|
|
|
Forbindelsesstatus
|
Transportstatus
|
|
|
Nøgleudvekslingsprotokol
|
IKEv1 (hovedstatus)
|
|
|
Godkendelsesmetode
|
Forhåndsdelt nøgle
Digital signatur
|
|
|
Hashalgoritme
(og nøglelængde) |
HMAC-SHA1-96
HMAC-SHA2 (256 eller 384 bit)
|
|
|
Krypteringsalgoritme
(og nøglelængde) |
3DES-CBC
AES-CBC (128, 192 eller 256 bit)
|
|
|
Nøgleudvekslingsalgoritme/-gruppe (og nøglelængde)
|
Diffie-Hellman (DH)
Gruppe 1 (768 bit)
Gruppe 2 (1024 bit)
Gruppe 14 (2048 bit)
|
|
|
ESP
|
Hashalgoritme
|
HMAC-SHA1-96
|
|
Krypteringsalgoritme
(og nøglelængde) |
3DES-CBC
AES-CBC (128, 192 eller 256 bit)
|
|
|
Hashalgoritme/krypteringsalgoritme (og nøglelængde)
|
AES-GCM (128, 192 eller 256 bit)
|
|
|
AH
|
Hashalgoritme
|
HMAC-SHA1-96
|
 |
|
IPSec understøtter kommunikation til en unicast-adresse (eller en enkelt enhed).
Maskinen kan ikke bruge både IPSec og DHCPv6 samtidigt.
IPSec er ikke tilgængelig på netværk, hvor der er implementeret en NAT- eller IP-maske.
|
Registrering af nøgler og certifikater
Certifikat og nøgle, der kan oprettes med maskinen, er i overensstemmelse med X.509v3. Hvis du installerer en nøgle eller et CA-certifikat fra en computer, skal du sørge for, at de overholder følgende krav:
|
Format
|
Nøgle: PKCS#12*1
CA-certifikat: X.509v1 eller X.509v3, DER (kodet binær), PEM
|
|
Filtypenavn
|
Nøgle: ".p12" eller ".pfx"
CA-certifikat: ".cer" eller ".pem"
|
|
Algoritme for offentlig nøgle
(og nøglelængde) |
RSA (512 bit, 1024 bit, 2048 bit eller 4096 bit), ECDSA (P256, P384, P521)
|
|
Algoritme for certifikatsignatur
|
SHA1-RSA, SHA256-RSA, SHA384-RSA*2, SHA512-RSA*2, MD5-RSA, MD2-RSA, SHA1-ECDSA, SHA256-ECDSA, SHA384-ECDSA eller SHA512-ECDSA
|
|
Algoritme for certifikatminiaturebillede
|
SHA1
|
|
*1 Kravene til det certifikat, der er indeholdt i en nøgle, er i henhold til CA-certifikater.
*2 SHA384-RSA og SHA512-RSA er kun tilgængelige, når RSA-nøglelængden er 1024 bit eller mere.
|
|
|
|
Maskinen understøtter ikke brugen af en CRL (certificate revocation list).
|
Definition af "Svag kryptering"
Hvis <Forbyd svag kryptering.> er indstillet til <Til>, er brugen af følgende algoritmer forbudt.
|
Hash:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
Krypteringssystemer med fælles nøgler:
|
RC2, RC4, DES
|
|
Krypteringssystemer med offentlige nøgler:
|
RSA-kryptering (512 bit/1024 bit), RSA-signatur (512 bit/1024 bit), DSA (512 bit/1024 bit), DH (512 bit/1024 bit)
|
|
|
|
Selv hvis <Forbyd svag krypt. Nøgle/crt.>/<Forbyd Nøgle/Cert. ved Svag Kryptering> er indstillet til <Til>, kan du bruge hash-algoritmen SHA-1, der kan bruges til at signere et rodcertifikat.
|