Mengkonfigurasi Tetapan IPSec
Keselamatan Protokol Internet (IPSec atau IPsec) adalah suite protokol untuk menyulitkan data dipindahkan melalui rangkaian, termasuk rangkaian Internet. Walaupun TLS hanya menyulitkan data yang digunakan pada aplikasi tertentu, seperti pelayar web atau aplikasi e-mel, IPSec menyulitkan sama ada paket IP sepenuhnya atau muatan paket IP, menawarkan sistem keselamatan yang lebih versatil. IPSec mesin berfungsi dalam mod pemindahan, di mana muatan paket IP disulitkan. Dengan ciri ini, mesin boleh berhubung terus ke komputer yang ada di rangkaian persendirian maya (VPN) yang sama. Semak keperluan sistem (Fungsi Pengurusan) dan tetapkan konfigurasi pada komputer sebelum anda mengkonfigurasi mesin.
|
|
Guna IPSec dengan penapis alamat IPTetapan penapis alamat IP digunakan sebelum dasar IPSec. Mengkhususkan Alamat IP untuk Tetapan Firewall
|
Mengkonfigurasi Tetapan IPSec
Sebelum menggunakan IPSec untuk komunikasi disulitkan, anda perlu mendaftar dasar keselamatan (SP). Dasar keselamatan terdiri daripada kumpulan tetapan yang dinyatakan di bawah. Selepas mendaftar dasar, tentukan perintah itu di mana ia digunakan.
Pemilih
Pemilih mentakrifkan syarat untuk paket IP untuk memohon komunikasi IPSec. Keadaan boleh dipilih termasuk alamat IP dan nombor port mesin dan peranti untuk berkomunikasi.
IKE
IKE mengkonfigurasi IKEv1 yang digunakan untuk protokol pertukaran utama. Perhatikan bahawa arahan berbeza-beza mengikut kaedah pengesahan yang dipilih.
[Pre-Shared Key Method]
Kaedah pengesahan ini menggunakan kata kunci yang sama, yang dipanggil Shared Key, untuk komunikasi antara mesin dan peranti lain. Bolehkan TLS untuk UI Kawalan Jauh sebelum menentukan kaedah pengesahan ini (Mengkonfigurasi Kunci dan Sijil bagi TLS).
Kaedah pengesahan ini menggunakan kata kunci yang sama, yang dipanggil Shared Key, untuk komunikasi antara mesin dan peranti lain. Bolehkan TLS untuk UI Kawalan Jauh sebelum menentukan kaedah pengesahan ini (Mengkonfigurasi Kunci dan Sijil bagi TLS).
[Digital Signature Method]
Mesin dan peranti lain mengesahkan satu sama lain dengan saling mengesahkan tandatangan digital mereka. Hasilkan atau pasang kunci dan sijil terlebih dahulu (Mendaftar Kunci dan Sijil bagi Komunikasi Rangkaian).
Mesin dan peranti lain mengesahkan satu sama lain dengan saling mengesahkan tandatangan digital mereka. Hasilkan atau pasang kunci dan sijil terlebih dahulu (Mendaftar Kunci dan Sijil bagi Komunikasi Rangkaian).
AH/ESP
Tentukan tetapan untuk AH/ESP, yang ditambah kepada paket semasa komunikasi IPSec. AH dan ESP boleh digunakan pada masa yang sama. Anda juga boleh memilih sama ada boleh atau tidak untuk membolehkan PFS untuk keselamatan yang lebih ketat.
|
|
|
Untuk maklumat lebih lanjut mengenai operasi asas yang akan dilaksanakan apabila menetapkan mesin daripada UI Kawalan Jauh, lihat Menetapkan Pilihan Menu daripada UI Kawalan Jauh.
|
1
Mulakan dengan UI Kawalan Jauh dan log masuk ke Mod Pengurus Sistem. Memulakan UI Kawalan Jauh
2
Klik [Settings/Registration] pada halaman Portal. Tetapan UI Kawalan Jauh
3
Pilih [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Klik [Edit].
5
Pilih kotak semak [Use IPSec] dan klik [OK].
Jika anda mahu mesin untuk hanya menerima paket yang sesuai dengan salah satu dasar keselamatan yang anda tentukan dalam langkah-langkah di bawah, kosongkan [Receive Non-Policy Packets] kotak semak.
6
Klik [Register New Policy].
7
Khususkan Tetapan Dasar.
|
1
|
Dalam [Policy Name] kotak semak, masukkan aksara abjad angka untuk nama yang digunakan bagi mengenal pasti dasar.
|
|
2
|
Pilih [Enable Policy] kotak semak.
|
8
Tentukan Tetapan Pemilih.
[Local Address]
Klik butang radio bagi jenis alamat IP mesin untuk menggunakan dasar.
Klik butang radio bagi jenis alamat IP mesin untuk menggunakan dasar.
|
[All IP Addresses]
|
Pilih untuk guna IPSec bagi semua Paket IP.
|
|
[IPv4 Address]
|
Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv4 mesin.
|
|
[IPv6 Address]
|
Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv6 mesin.
|
[Remote Address]
Klik butang radio bagi jenis alamat IP peranti lain mesin untuk menggunakan dasar.
Klik butang radio bagi jenis alamat IP peranti lain mesin untuk menggunakan dasar.
|
[All IP Addresses]
|
Pilih untuk guna IPSec bagi semua Paket IP.
|
|
[All IPv4 Addresses]
|
Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv4 peranti yang lain.
|
|
[All IPv6 Addresses]
|
Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv6 peranti yang lain.
|
|
[IPv4 Manual Settings]
|
Pilih untuk menentukan alamat IPv4 tunggal atau pelbagai IPv4 menangani memohon IPSec. Masukkan alamat IPv4 (atau julat) dalam [Addresses to Set Manually] kotak semak.
|
|
[IPv6 Manual Settings]
|
Pilih untuk menentukan alamat IPv6 tunggal atau julat alamat IPv6 menggunakan IPSec. Masukkan alamat IPv6 (atau julat) dalam [Addresses to Set Manually] kotak semak.
|
[Addresses to Set Manually]
Jika [IPv4 Manual Settings] atau [IPv6 Manual Settings] dipilih untuk [Remote Address],masukkan alamat IP untuk menggunakan dasar. Anda juga boleh memasukkan pelbagai alamat dengan memasukkan sempang antara alamat.
Jika [IPv4 Manual Settings] atau [IPv6 Manual Settings] dipilih untuk [Remote Address],masukkan alamat IP untuk menggunakan dasar. Anda juga boleh memasukkan pelbagai alamat dengan memasukkan sempang antara alamat.
Masukkan alamat IP
|
Penerangan
|
Contoh
|
|
|
Masukkan satu alamat
|
IPv4:
Hadkan nombor dengan noktah. |
192.168.0.10
|
|
IPv6:
Hadkan karakter huruf dan nombor dengan tanda noktah bertindih. |
fe80::10
|
|
|
Menentukan julat alamat
|
Masukkan tanda sengkang di antara alamat.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Apabila menyatakan alamat IPv4 secara manual, anda boleh meluahkan pelbagai dengan menggunakan topeng subnet. Masukkan subnet mask yang menggunakan tempoh untuk menghadkan nombor (contoh: "255.255.255.240").
Apabila menyatakan alamat IPv4 secara manual, anda boleh meluahkan pelbagai dengan menggunakan topeng subnet. Masukkan subnet mask yang menggunakan tempoh untuk menghadkan nombor (contoh: "255.255.255.240").
[Prefix Length]
Menentukan julat alamat IPv6 secara manual juga membolehkan anda menentukan julat yang menggunakan awalan. Masukkan julat antara 0 dan 128 sebagai panjang awalan.
Menentukan julat alamat IPv6 secara manual juga membolehkan anda menentukan julat yang menggunakan awalan. Masukkan julat antara 0 dan 128 sebagai panjang awalan.
[Local Port]/[Remote Port]
Jika anda mahu mencipta dasar berasingan untuk setiap protokol, seperti HTTP atau WSD, klik butang radio [Single Port] dan masukkan nombor port yang sesuai untuk protokol bagi menentukan sama ada mahu menggunakan IPSec.
Jika anda mahu mencipta dasar berasingan untuk setiap protokol, seperti HTTP atau WSD, klik butang radio [Single Port] dan masukkan nombor port yang sesuai untuk protokol bagi menentukan sama ada mahu menggunakan IPSec.
IPSec tidak digunakan untuk paket berikut
Loopback, multicast, dan paket siaran
Paket IKE (menggunakan UDP, pada port 500)
Permintaan jiran ICMPv6 dan jiran iklan paket
9
Tentukan Tetapan IKE.
[IKE Mode]
Mod digunakan untuk protokol pertukaran kunci dipaparkan. Mesin ini menyokong mod utama, bukan mod agresif.
Mod digunakan untuk protokol pertukaran kunci dipaparkan. Mesin ini menyokong mod utama, bukan mod agresif.
[Authentication Method]
Pilih [Pre-Shared Key Method] atau [Digital Signature Method] untuk kaedah digunakan apabila mengesahkan mesin. Anda perlu membolehkan TLS untuk UI Kawalan Jauh sebelum memilih [Pre-Shared Key Method]. Anda perlu menghasilkan atau memasang kunci dan sijil sebelum memilih [Digital Signature Method]. Mengkonfigurasi Kunci dan Sijil bagi TLS
Pilih [Pre-Shared Key Method] atau [Digital Signature Method] untuk kaedah digunakan apabila mengesahkan mesin. Anda perlu membolehkan TLS untuk UI Kawalan Jauh sebelum memilih [Pre-Shared Key Method]. Anda perlu menghasilkan atau memasang kunci dan sijil sebelum memilih [Digital Signature Method]. Mengkonfigurasi Kunci dan Sijil bagi TLS
[Valid for]
Tentukan tempoh sesi berlangsung selama IKE SA (ISAKMP SA). Masukkan masa dalam beberapa minit.
Tentukan tempoh sesi berlangsung selama IKE SA (ISAKMP SA). Masukkan masa dalam beberapa minit.
[Authentication]/[Encryption]/[DH Group]
Pilih satu algoritma dari senarai juntai bawah. Setiap algoritma yang digunakan dalam pertukaran kunci.
Pilih satu algoritma dari senarai juntai bawah. Setiap algoritma yang digunakan dalam pertukaran kunci.
|
[Authentication]
|
Pilih algoritma hash.
|
|
[Encryption]
|
Pilih algoritma penyulitan.
|
|
[DH Group]
|
Pilih kumpulan Diffie-Hellman, yang menentukan kekuatan kunci.
|
Mengesahkan mesin menggunakan kunci dikongsi sebelum ini.
|
1
|
Klik pada [Pre-Shared Key Method] butang radio untuk [Authentication Method] dan kemudian klik [Shared Key Settings].
|
|
2
|
Masukkan aksara abjad angka untuk kunci dikongsi sebelum ini dan klik [OK].
|
|
3
|
Tentukan [Valid for] dan tetapan [Authentication]/[Encryption]/[DH Group].
|
Mengesahkan mesin menggunakan kaedah tandatangan digital.
|
1
|
Klik pada [Digital Signature Method] butang radio untuk [Authentication Method] dan kemudian klik [Key and Certificate].
|
|
2
|
Klik [Register Default Key] pada bahagian kanan kunci dan sijil yang ingin anda gunakan.
Melihat butiran sijil
Anda boleh memeriksa butiran sijil atau menentusahkan sijil dengan mengklik pautan teks berpadanan di bawah [Key Name] atau ikon sijil.
|
|
3
|
Tentukan [Valid for] dan tetapan [Authentication]/[Encryption]/[DH Group].
|
10
Tentukan Tetapan Rangkaian IPSec.
[Use PFS]
Pilih kotak semak untuk membolehkan Kerahsiaan Pemajuan Sempurna (PFS) untuk kunci sesi IPSec. Membolehkan PFS meningkatkan keselamatan di samping meningkatkan beban pada komunikasi. Pastikan PFS juga diaktifkan untuk peranti lain.
Pilih kotak semak untuk membolehkan Kerahsiaan Pemajuan Sempurna (PFS) untuk kunci sesi IPSec. Membolehkan PFS meningkatkan keselamatan di samping meningkatkan beban pada komunikasi. Pastikan PFS juga diaktifkan untuk peranti lain.
[Specify by Time]/[Specify by Size]
Menetapkan syarat untuk menamatkan sesi untuk IPSec SA. IPSec SA digunakan sebagai terowong komunikasi. Pilih salah satu atau kedua-dua kotak semak seperti yang diperlukan. Jika kedua-dua kotak semak dipilih, satu sesi IPSec SA ditamatkan apabila sama ada syarat-syarat telah dipenuhi.
Menetapkan syarat untuk menamatkan sesi untuk IPSec SA. IPSec SA digunakan sebagai terowong komunikasi. Pilih salah satu atau kedua-dua kotak semak seperti yang diperlukan. Jika kedua-dua kotak semak dipilih, satu sesi IPSec SA ditamatkan apabila sama ada syarat-syarat telah dipenuhi.
|
[Specify by Time]
|
Masukkan nama dalam minit untuk mengkhususkan berapa lama sesi akan habis.
|
|
[Specify by Size]
|
Masukkan saiz yang dalam megabait untuk menentukan berapa banyak data yang boleh dipindahkan dalam sesi.
|
[Select Algorithm]
Pilih [ESP], [ESP (AES-GCM)], atau [AH (SHA1)]kotak semak bergantung pada pengepala IPSec dan algoritma yang digunakan. AES-GCM adalah satu algoritma untuk kedua-dua pengesahan dan penyulitan. Jika [ESP] dipilih, pilih juga algoritma untuk pengesahan dan penyulitan daripada [ESP Authentication] dan [ESP Encryption] senarai juntai bawah.
Pilih [ESP], [ESP (AES-GCM)], atau [AH (SHA1)]kotak semak bergantung pada pengepala IPSec dan algoritma yang digunakan. AES-GCM adalah satu algoritma untuk kedua-dua pengesahan dan penyulitan. Jika [ESP] dipilih, pilih juga algoritma untuk pengesahan dan penyulitan daripada [ESP Authentication] dan [ESP Encryption] senarai juntai bawah.
|
[ESP Authentication]
|
Untuk membolehkan pengesahan ESP, pilih [SHA1] untuk algoritma hash. Pilih [Do Not Use] jika anda ingin melumpuhkan pengesahan ESP.
|
|
[ESP Encryption]
|
Pilih algoritma penyulitan untuk ESP. Anda boleh memilih [NULL] jika anda tidak mahu untuk menentukan algoritma, atau pilih [Do Not Use] jika anda ingin mematikan penyulitan ESP.
|
[Connection Mode]
Mod sambungan IPSec dipaparkan. Mesin ini menyokong mod pengangkutan, di mana muatan paket IP disulitkan. Mod terowong, di mana paket IP keseluruhan (pengepala dan muatan) yang terkandung tidak tersedia.
Mod sambungan IPSec dipaparkan. Mesin ini menyokong mod pengangkutan, di mana muatan paket IP disulitkan. Mod terowong, di mana paket IP keseluruhan (pengepala dan muatan) yang terkandung tidak tersedia.
11
Klik [OK].
Jika anda perlu mendaftar dasar keselamatan tambahan, kembali ke langkah 6.
12
Mengatur susunan dasar yang disenaraikan di bawah [Registered IPSec Policies].
Dasar digunakan daripada satu di kedudukan yang tertinggi kepada yang terendah. Klik [Up] atau [Down] untuk mengalih turutan dasar ke atas atau ke bawah.
Edit dasar
Klik pada pautan teks yang bersamaan di bawah [Policy Name] untuk skrin edit.
Memadam polisi
Klik [Delete] pada bahagian kanan nama dasar yang anda ingin padamkan klik [OK].
klik [OK].13
Mulakan semula mesin.
MATIKAN mesin, tunggu selama sekurang-kurangnya 10 saat, dan HIDUPKAN semula.
|
|
Menggunakan panel operasiAnda juga boleh membolehkan atau melumpuhkan komunikasi IPSecdaripada <Menu> dalam skrin Rumah. <Guna IPSec>
|