Konfiguracija nastavitev IPSec
Internet Protocol Security (IPSec ali IPsec) je zbirka protokolov za šifriranje podatkov, ki se prenašajo po omrežju, vključno z internetnimi omrežji. Medtem ko TLS šifrira samo podatke, uporabljene v določenem programu, na primer spletnem brskalniku ali e-poštnem odjemalcu, IPSec šifrira vse pakete ali vsebino paketov IP, zato je bolj univerzalen varnostni sistem. IPSec v napravi deluje v načinu prenosa, v katerem se vsebina paketov IP šifrira. S to funkcijo se lahko naprava poveže neposredno z računalnikom, ki je v istem navideznem zasebnem omrežju (VPN). Preden konfigurirate napravo, preverite sistemske zahteve (Funkcije upravljanja) in določite zahtevano konfiguracijo v računalniku.
|
|
Uporaba funkcije IPSec s filtrom naslovov IPNastavitve filtriranja naslovov IP se uveljavijo pred pravilniki IPSec. Izbira naslovov IP za pravila požarnega zidu
|
Konfiguracija nastavitev IPSec
Preden uporabite IPSec za šifrirano komunikacijo, morate registrirati varnostne pravilnike (SP). Varnostni pravilnik vključuje spodaj opisane skupine nastavitev. Po registraciji pravilnikov izberite vrstni red, v katerem bodo uveljavljeni.
Izbirnik
Izbirnik določa pogoje, v katerih bodo paketi IP uporabili komunikacijo IPSec. Pogoji vključujejo naslove IP in številke vrat naprave ter naprave za komunikacijo.
IKE
IKE konfigurira protokol za izmenjavo ključev IKEv1. Upoštevajte, da so navodila lahko drugačna, odvisno od izbranega načina preverjanja pristnosti.
[Pre-Shared Key Method]
Ta način preverjanja pristnosti uporablja običajno besedo za ključ, imenovano »Ključ v skupni rabi« za komunikacijo med napravo in drugimi napravami. Omogočite TLS za vmesnik Remote UI (Oddaljeni uporabniški vmesnik), preden določite ta način preverjanja pristnosti (Konfiguracija ključa in potrdila za TLS).
Ta način preverjanja pristnosti uporablja običajno besedo za ključ, imenovano »Ključ v skupni rabi« za komunikacijo med napravo in drugimi napravami. Omogočite TLS za vmesnik Remote UI (Oddaljeni uporabniški vmesnik), preden določite ta način preverjanja pristnosti (Konfiguracija ključa in potrdila za TLS).
[Digital Signature Method]
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Ključ in potrdilo ustvarite ali namestite vnaprej (Registracija ključa in potrdila za omrežno komunikacijo).
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Ključ in potrdilo ustvarite ali namestite vnaprej (Registracija ključa in potrdila za omrežno komunikacijo).
AH/ESP
Določite nastavitve za AH/ESP, ki se paketom doda med komunikacijo IPSec. AH in ESP lahko uporabljate hkrati. Izberete lahko tudi, ali želite za večjo varnost omogočiti PFS.
|
|
|
Če želite več informacij o osnovnih postopkih, ki se izvajajo med nastavljanjem naprave prek vmesnika Remote UI (Oddaljeni uporabniški vmesnik), glejte Nastavitev možnosti menijev iz vmesnika Remote UI (Oddaljeni uporabniški vmesnik).
|
1
Zaženite Remote UI (Oddaljeni uporabniški vmesnik) in se prijavite v načinu upravitelja sistema. Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
2
Na strani portala kliknite [Settings/Registration]. Zaslon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
3
Izberite [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Kliknite [Edit].
5
Potrdite polje [Use IPSec] in kliknite [OK].
Če želite, da naprava sprejema samo tiste pakete, ki ustrezajo enemu od varnostnih pravilnikov, ki jih določite po spodnjem postopku, počistite potrditveno polje [Receive Non-Policy Packets].
6
Kliknite [Register New Policy].
7
Določite nastavitve pravilnika.
|
1
|
V besedilno polje [Policy Name] vnesite črkovno-številske znaka za ime, ki se bo uporabljalo za identifikacijo pravilnika.
|
|
2
|
Potrdite potrditveno polje [Enable Policy].
|
8
Določite nastavitve izbirnika.
[Local Address]
Kliknite izbirni gumb pred vrsto naslova IP naprave, za katero bo veljal pravilnik.
Kliknite izbirni gumb pred vrsto naslova IP naprave, za katero bo veljal pravilnik.
|
[All IP Addresses]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[IPv4 Address]
|
Izberite, če želite IPSec uporabiti za vse pakete IP, poslane z naslova IPv4 naprave ali prejete nanj.
|
|
[IPv6 Address]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo z naslova IPv6 naprave ali prejmejo nanj.
|
[Remote Address]
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljal pravilnik.
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljal pravilnik.
|
[All IP Addresses]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[All IPv4 Addresses]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo iz naslova IPv4 drugih naprav ali prejmejo nanj.
|
|
[All IPv6 Addresses]
|
Izberite za uporabo IPSec za vse pakete IP, ki se pošljejo iz naslova IPv6 drugih naprav ali prejmejo nanj.
|
|
[IPv4 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv4 ali razpon naslovov IPv4, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv4 v besedilno polje [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv6 ali razpon naslovov IPv6, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv6 v besedilno polje [Addresses to Set Manually].
|
[Addresses to Set Manually]
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Remote Address], vnesite IP naslov, da uveljavite politiko. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Remote Address], vnesite IP naslov, da uveljavite politiko. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Vnos naslovov IP
|
Opis
|
Primer
|
|
|
Vnos posameznega naslova
|
IPv4:
Med številke vnesite pike. |
192.168.0.10
|
|
IPv6:
Med črkovno-številske znake vnesite dvopičja. |
fe80::10
|
|
|
Določanje razpona naslovov
|
Med naslove vnesite vezaje.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
[Prefix Length]
Če določite razpon naslovov IPv6 ročno, lahko določite tudi razpon z uporabo predpon. Vnesite razpon med 0 in 128 kot dolžino predpone.
Če določite razpon naslovov IPv6 ročno, lahko določite tudi razpon z uporabo predpon. Vnesite razpon med 0 in 128 kot dolžino predpone.
[Local Port]/[Remote Port]
Če želite ustvariti ločene pravilnike za vsak posamezni protokol, na primer HTTP ali WSD, vnesite ustrezno številko vrat za protokol, da določite, ali se bo uporabljal IPSec.
Če želite ustvariti ločene pravilnike za vsak posamezni protokol, na primer HTTP ali WSD, vnesite ustrezno številko vrat za protokol, da določite, ali se bo uporabljal IPSec.
IPSec ni uporabljen za te pakete
Pakete s povratno zanko, večvrstno oddajanje in oddajanje
Pakete IKE (ki uporabljajo UDP na vratih 500)
Pakete ICMPv6 za spodbujanje sosednjih odjemalcev in oglaševanje
9
Določite nastavitve za IKE.
[IKE Mode]
Prikaže se uporabljeni način za protokol izmenjave ključev. Naprava podpira glavni način, agresivnega načina pa ne.
Prikaže se uporabljeni način za protokol izmenjave ključev. Naprava podpira glavni način, agresivnega načina pa ne.
[Authentication Method]
Izberite [Pre-Shared Key Method] ali [Digital Signature Method] za način, ki ga uporabljate za preverjanje pristnosti naprave. Preden izberete [Pre-Shared Key Method], morate omogočiti TLS za Remote UI (Oddaljeni uporabniški vmesnik). Preden izberete [Digital Signature Method]., morate ustvariti ali namestiti ključ in potrdilo. Konfiguracija ključa in potrdila za TLS
Izberite [Pre-Shared Key Method] ali [Digital Signature Method] za način, ki ga uporabljate za preverjanje pristnosti naprave. Preden izberete [Pre-Shared Key Method], morate omogočiti TLS za Remote UI (Oddaljeni uporabniški vmesnik). Preden izberete [Digital Signature Method]., morate ustvariti ali namestiti ključ in potrdilo. Konfiguracija ključa in potrdila za TLS
[Valid for]
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
[Authentication]/[Encryption]/[DH Group]
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
|
[Authentication]
|
Izberite razpršilni algoritem.
|
|
[Encryption]
|
Izberite algoritem kodiranja.
|
|
[DH Group]
|
Izberite skupino Diffie-Hellman, ki določa moč ključa.
|
Preverjanje pristnosti naprave s ključem v vnaprejšnji skupni rabi
|
1
|
Kliknite izbirni gumb [Pre-Shared Key Method] za [Authentication Method] in nato kliknite [Shared Key Settings].
|
|
2
|
Vnesite črkovno-številske znake za ključ v vnaprejšnji skupni rabi in kliknite [OK].
|
|
3
|
Določite nastavitve [Valid for] in [Authentication]/[Encryption]/[DH Group].
|
Preverjanje pristnosti naprave z načinom digitalnega podpisa
|
1
|
Kliknite izbirni gumb [Digital Signature Method] za [Authentication Method] in nato kliknite [Key and Certificate].
|
|
2
|
Kliknite [Register Default Key] desno od ključa in potrdila, ki ju želite uporabiti.
Ogled podrobnosti potrdila
Če kliknete ustrezno besedilno povezavo v razdelku [Key Name] ali ikono potrdila, si lahko ogledate podrobnosti potrdila ali ga preverite.
|
|
3
|
Določite nastavitve [Valid for] in [Authentication]/[Encryption]/[DH Group].
|
10
Določite omrežne nastavitve IPSec.
[Use PFS]
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
[Specify by Time]/[Specify by Size]
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
|
[Specify by Time]
|
Vnesite čas v minutah, da določite trajanje seje.
|
|
[Specify by Size]
|
Vnesite velikost v megabajtih, da določite, koliko podatkov se lahko prenese v seji.
|
[Select Algorithm]
Potrdite potrditveno polje (polja) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za preverjanje pristnosti in šifriranje. Če izberete [ESP], izberite tudi algoritme za preverjanje pristnosti in šifriranje v spustnih seznamih [ESP Authentication] in [ESP Encryption].
Potrdite potrditveno polje (polja) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za preverjanje pristnosti in šifriranje. Če izberete [ESP], izberite tudi algoritme za preverjanje pristnosti in šifriranje v spustnih seznamih [ESP Authentication] in [ESP Encryption].
|
[ESP Authentication]
|
Za vklop overjanja ESP izberite [SHA1] za razpršilni algoritem. Izberite [Do Not Use], če želite onemogočiti preverjanje pristnosti ESP.
|
|
[ESP Encryption]
|
Izberite algoritem šifriranja za ESP. Izberite [NULL], če ne želite določiti algoritma, ali pa izberite [Do Not Use], če želite onemogočiti kodiranje ESP.
|
[Connection Mode]
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem je vsebina paketov IP šifrirana. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem je vsebina paketov IP šifrirana. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
11
Kliknite [OK].
Če želite registrirati dodaten varnostni pravilnik, se vrnite na 6. korak.
12
Razvrstite politike, navedene v [Registered IPSec Policies].
Pravilniki so uporabljeni od tistega na najvišjem mestu do najnižjega. Kliknite [Up] ali [Down], da politiko pomaknete višje ali nižje.
Urejanje pravilnika
Kliknite ustrezno besedilno povezavo v razdelku [Policy Name], da odprete zaslon za urejanje.
Brisanje pravilnika
Kliknite [Delete] desno od imena pravilnika, ki ga želite izbrisati kliknite [OK].
kliknite [OK].13
Znova zaženite napravo.
Izklopite napravo in pred ponovnim vklopom naprave počakajte vsaj 10 sekund.
|
|
Uporaba operacijske ploščeKomunikacijo IPSec lahko omogočite ali onemogočite tudi v možnosti <Meni> na zaslonu Domov. <Uporabi IPSec>
|