„IPSec“ parametrų konfigūravimas
Interneto saugos protokolai („IPSec“ arba „IPsec“) – tai protokolų paketas per tinklą, įskaitant interneto tinklus, perduodamiems duomenims šifruoti. TLS šifruoja tiktai konkrečioje programoje, pvz., interneto naršyklėje ar el. pašto programoje, naudojamus duomenis, o „IPSec“ šifruoja visus IP paketus arba IP paketų mokomąją krovą ir teikia lankstesnę saugos sistemą. Aparato „IPSec“ veikia transportavimo režimu, kuriuo šifruojama IP paketų mokomoji apkrova. Naudojant šią funkciją, aparatas gali tiesiogiai jungtis prie kompiuterio, esančio tame pačiame virtualiajame privačiame tinkle (VPN). Prieš konfigūruodami aparatą patikrinkite sistemos reikalavimus (Valdymo funkcijos) ir nustatykite reikiamą kompiuterio konfigūraciją.
|
|
„IPSec“ naudojimas su IP adreso filtruIP adresų filtro parametrai taikomi prieš „IPSec“ politiką. Užkardos parametrų IP adresų nustatymas
|
„IPSec“ parametrų konfigūravimas
Prieš naudojant „IPSec“ šifruotiems ryšiams, turite užregistruoti saugos politiką (SP). Saugos politika susideda iš toliau aprašytų parametrų grupių. Užregistravę politikas, nurodykite eilės tvarką, kuria jos bus taikomos.
Išrinkiklis
Išrinkiklis apibrėžia IP paketų sąlygas taikyti „IPSec“ ryšį. Pasirenkamos sąlygos apima IP adresus ir aparato bei įrenginių, su kuriais užmezgamas ryšys, prievadų numerius.
IKE
IKE konfigūruoja „IKEv1“, kuris naudojamas raktų mainų protokolui. Įsidėmėkite, kad nurodymai skiriasi, atsižvelgiant į pasirinktą autentifikavimo metodą.
[Pre-Shared Key Method]
Pagal šį autentifikavimo metodą, ryšiui tarp aparto ir kitų įrenginių naudojamas bendras raktinis žodis, vadinamas bendrai naudojamu raktu. Prieš nurodydami autentifikavimo metodą, „Remote UI“ (Nuotolinio vartotojo sąsaja) įgalinkite TLS (TLS rakto ir sertifikato konfigūravimas).
Pagal šį autentifikavimo metodą, ryšiui tarp aparto ir kitų įrenginių naudojamas bendras raktinis žodis, vadinamas bendrai naudojamu raktu. Prieš nurodydami autentifikavimo metodą, „Remote UI“ (Nuotolinio vartotojo sąsaja) įgalinkite TLS (TLS rakto ir sertifikato konfigūravimas).
[Digital Signature Method]
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Iš anksto sugeneruokite arba įdiekite raktą ir sertifikatą (Tinklo ryšio rakto ir sertifikato registravimas).
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Iš anksto sugeneruokite arba įdiekite raktą ir sertifikatą (Tinklo ryšio rakto ir sertifikato registravimas).
AH/ESP
Nurodykite AH/ESP, kuris įtraukiamas į paketus „IPSec“ ryšio metu, parametrus. AH ir ESP galima naudoti tuo pačiu metu. Be to, galite pasirinkti, ar norite įjungti PFS, kad būtų užtikrinta didesnė sauga.
|
|
|
Daugiau informacijos apie pagrindines operacijas, kurias reikia atlikti nustatant aparatą „Remote UI“ (Nuotolinio vartotojo sąsaja), žr. Meniu parinkčių nustatymas naudojant priemonę „Remote UI“ (Nuotolinio vartotojo sąsaja).
|
1
Paleiskite „Remote UI“ (Nuotolinio vartotojo sąsaja) ir prisijunkite sistemos administratoriaus režimu. Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) paleidimas
2
Portalo puslapyje spustelėkite [Settings/Registration]. Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) ekranas
3
Pasirinkite [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Spustelėkite [Edit].
5
Pažymėkite žymės langelį [Use IPSec], tada spustelėkite [OK].
Jei norite, kad aparatas priimtų tik paketus, atitinkančius vieną iš saugos politikų, kurias apibrėžiate atlikdami toliau nurodytus veiksmus, panaikinkite žymę žymės langelyje [Receive Non-Policy Packets].
6
Spustelėkite [Register New Policy].
7
Nurodykite politikos parametrus.
|
1
|
Teksto lauke [Policy Name] įveskite politikos identifikavimo pavadinimo raidinių ir skaitinių simbolių.
|
|
2
|
Pažymėkite žymės langelį [Enable Policy].
|
8
Nurodykite išrinkiklio parametrus.
[Local Address]
Spustelėkite aparato IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
Spustelėkite aparato IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
|
[All IP Addresses]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[IPv4 Address]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv4 adresą arba iš jo.
|
|
[IPv6 Address]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv6 adresą arba iš jo.
|
[Remote Address]
Spustelėkite kitų įrenginių IP adreso tipo parinkties mygtuką, kad taikytumėte strategiją.
Spustelėkite kitų įrenginių IP adreso tipo parinkties mygtuką, kad taikytumėte strategiją.
|
[All IP Addresses]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[All IPv4 Addresses]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į kitų įrenginių IPv4 adresus arba iš jų.
|
|
[All IPv6 Addresses]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į kitų įrenginių IPv6 adresus arba iš jų.
|
|
[IPv4 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv4 adresą arba IPv4 adresų diapazoną „IPSec“ taikyti. Įveskite IPv4 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv6 adresą arba IPv6 adresų diapazoną „IPSec“ taikyti. Įveskite IPv6 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
[Addresses to Set Manually]
Jei dalyje [IPv4 Manual Settings] pasirinkta [IPv6 Manual Settings] arba [Remote Address], įveskite IP adresą politikai taikyti. Taip pat galite įvesti adresų diapazoną tarp adresų įterpę brūkšnį.
Jei dalyje [IPv4 Manual Settings] pasirinkta [IPv6 Manual Settings] arba [Remote Address], įveskite IP adresą politikai taikyti. Taip pat galite įvesti adresų diapazoną tarp adresų įterpę brūkšnį.
IP adreso įvedimas
|
Aprašymas
|
Pavyzdys
|
|
|
Vieno adreso įvedimas
|
IPv4:
Skaičius atskirti taškais. |
192.168.0.10
|
|
IPv6:
Raidinius ir skaitinius simbolius atskirti dvitaškiais. |
fe80::10
|
|
|
Adresų diapazono nurodymas
|
Tarp adresų įterpkite brūkšnį.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
[Prefix Length]
Rankiniu būdu nurodant IPv6 adresų diapazoną galima nurodyti naudojamų priešvardžių diapazoną. Kaip priešvardžio ilgio diapazoną nurodykite diapazoną nuo 0 iki 128.
Rankiniu būdu nurodant IPv6 adresų diapazoną galima nurodyti naudojamų priešvardžių diapazoną. Kaip priešvardžio ilgio diapazoną nurodykite diapazoną nuo 0 iki 128.
[Local Port] / [Remote Port]
Jei kiekvienam protokolui, pvz., HTTP arba WSD, norite sukurti skirtingą strategiją, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
Jei kiekvienam protokolui, pvz., HTTP arba WSD, norite sukurti skirtingą strategiją, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
„IPSec“ netaikoma šiems paketams
Kilpinės jungties, sudėtiniams ir platinimo paketams
IKE paketams (naudojant UDP prievade 500)
ICMPv6 kaimyno prašymo ir kaimyno reklamos paketams
9
Nurodykite IKE parametrus.
[IKE Mode]
Rodomas raktų mainų protokolui naudojamas režimas. Aparatas palaiko pagrindinį, o ne agresyvųjį režimą.
Rodomas raktų mainų protokolui naudojamas režimas. Aparatas palaiko pagrindinį, o ne agresyvųjį režimą.
[Authentication Method]
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Pre-Shared Key Method] arba [Digital Signature Method]. „Remote UI“ (Nuotolinio vartotojo sąsaja) būtina įgalinti TLS prieš pasirenkant [Pre-Shared Key Method]. Būtina generuoti ar įdiegti raktą ir sertifikatą prieš pasirenkant [Digital Signature Method]. TLS rakto ir sertifikato konfigūravimas
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Pre-Shared Key Method] arba [Digital Signature Method]. „Remote UI“ (Nuotolinio vartotojo sąsaja) būtina įgalinti TLS prieš pasirenkant [Pre-Shared Key Method]. Būtina generuoti ar įdiegti raktą ir sertifikatą prieš pasirenkant [Digital Signature Method]. TLS rakto ir sertifikato konfigūravimas
[Valid for]
Nurodykite, kiek ilgai truks IKE SA seansas (ISAKMP SA). Įveskite laiką minutėmis.
Nurodykite, kiek ilgai truks IKE SA seansas (ISAKMP SA). Įveskite laiką minutėmis.
[Authentication] / [Encryption] / [DH Group]
Iš išplečiamojo sąrašo pasirinkite algoritmą. Kiekvienas algoritmas naudojamas raktų mainams.
Iš išplečiamojo sąrašo pasirinkite algoritmą. Kiekvienas algoritmas naudojamas raktų mainams.
|
[Authentication]
|
Pasirinkite maišos algoritmą.
|
|
[Encryption]
|
Pasirinkite šifravimo algoritmą.
|
|
[DH Group]
|
Pasirinkite „Diffie-Hellman“ grupę, kuri lemia rakto sudėtingumą.
|
Aparato autentifikavimas naudojant iš anksto bendrinamą raktą
|
1
|
Spustelėkite [Pre-Shared Key Method] parinkties mygtuką [Authentication Method], tada spustelėkite [Shared Key Settings].
|
|
2
|
Įveskite iš anksto bendrinamo rakto raidinių ir skaitinių simbolių ir spustelėkite [OK].
|
|
3
|
Nurodykite parametrus [Valid for] ir [Authentication] / [Encryption] / [DH Group].
|
Aparato autentifikavimas naudojant skaitmeninio parašo metodą
|
1
|
Spustelėkite [Digital Signature Method] parinkties mygtuką [Authentication Method], tada spustelėkite [Key and Certificate].
|
|
2
|
Spustelėkite [Register Default Key] į dešinę nuo norimo naudoti sertifikato.
Sertifikato informacijos peržiūra
Galite peržiūrėti sertifikato informaciją arba patikrinti sertifikatą spustelėdami atitinkamą teksto nuorodą [Key Name] arba sertifikato piktogramą.
|
|
3
|
Nurodykite parametrus [Valid for] ir [Authentication] / [Encryption] / [DH Group].
|
10
Nurodykite „IPSec“ tinklo parametrus.
[Use PFS]
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose.
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose.
[Specify by Time] / [Specify by Size]
Nustatykite „IPSec“ SA seanso nutraukimo sąlygas. „IPSec“ SA naudojamas kaip ryšių tunelis. Pažymėkite vieną arba abu žymės langelius, kaip pageidaujate. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
Nustatykite „IPSec“ SA seanso nutraukimo sąlygas. „IPSec“ SA naudojamas kaip ryšių tunelis. Pažymėkite vieną arba abu žymės langelius, kaip pageidaujate. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
|
[Specify by Time]
|
Įveskite laiką minutėmis, kad nurodytumėte, kiek trunka seansas.
|
|
[Specify by Size]
|
Įveskite dydį megabaitais, kad nurodytumėte, kiek duomenų galima transportuoti seanse.
|
[Select Algorithm]
Pažymėkite žymės langelį (-ius) [ESP], [ESP (AES-GCM)] arba [AH (SHA1)] atsižvelgdami į „IPSec“ antraštę ir naudojamą algoritmą. AES-GCM – tai ir autentifikavimo, ir šifravimo algoritmas. Jei pasirinkta [ESP], iš [ESP Authentication] ir [ESP Encryption] išplečiamųjų sąrašų taip pat pasirinkite autentifikavimo ir šifravimo algoritmus.
Pažymėkite žymės langelį (-ius) [ESP], [ESP (AES-GCM)] arba [AH (SHA1)] atsižvelgdami į „IPSec“ antraštę ir naudojamą algoritmą. AES-GCM – tai ir autentifikavimo, ir šifravimo algoritmas. Jei pasirinkta [ESP], iš [ESP Authentication] ir [ESP Encryption] išplečiamųjų sąrašų taip pat pasirinkite autentifikavimo ir šifravimo algoritmus.
|
[ESP Authentication]
|
Jei norite įjungti ESP autentifikavimą, pasirinkite maišos algoritmo parametrą [SHA1]. Pasirinkite [Do Not Use], jei norite išjungti ESP autentifikavimą.
|
|
[ESP Encryption]
|
Pasirinkite ESP šifravimo algoritmą. Jei nenorite nurodyti algoritmo, galite pasirinkti [NULL] arba pasirinkite [Do Not Use], jei norite išjungti ESP šifravimą.
|
[Connection Mode]
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
11
Spustelėkite [OK].
Jei norite užregistruoti papildomą saugos strategiją, grįžkite į 6 veiksmą.
12
Išdėstykite dalyje [Registered IPSec Policies] pateiktos strategijos eilės tvarką.
Politika taikoma nuo esančios aukščiausioje padėtyje iki žemiausioje. Spustelėkite [Up] arba [Down], kad perkeltumėte strategiją aukštyn arba žemyn.
Strategijos redagavimas
Spustelėkite atitinkamą teksto nuorodą [Policy Name] į redagavimo ekraną.
Politikos naikinimas
Spustelėkite [Delete] į dešinę nuo norimo panaikinti politikos pavadinimo spustelėkite [OK].
spustelėkite [OK].13
Iš naujo įjunkite aparatą.
Išjunkite aparatą, palaukite bent 10 sekundžių ir vėl jį įjunkite.
|
|
Valdymo pulto naudojimasTaip pat galite įgalinti arba išjungti IPSec ryšį iš <Meniu> ekrane Pagrindinis. <Naudoti IPSec>
|