IPSec設定
IPSec是一種保證透過IP網路傳送和接收的IP資料封包的安全以防止資料遭到偷竊、修改和偽造等威脅的協定。IPSec應用於TCP資料封包、UDP(使用者資料電報通訊協定)資料封包和ICMP(Internet控制資訊協定)資料封包。IPSec優於其他安全協定的原因是,由於其向IP(Internet的基本協定)添加安全功能,該協定不依賴於應用程式軟體和網路組態。
本節介紹使用本機器的控制面板創建設定IPSec通訊的安全策略的步驟。安全策略註冊IPSec的設定(例如使用IPSec處理的資料封包)以及用於認證和加密的演算法。透過根據IPSec安全策略執行協商而建立的用於通訊的邏輯連線稱為IPSec SA(安全關聯)。
本機器使用的IPSec功能如下。
通訊模式
由於本機器的IPSec僅支援傳輸層模式,認證和加密僅應用於IP資料封包的資料部分。
認證和加密方法
必須為本機器設定至少一種以下方法。不能同時設定兩種方法。
AH(認證報頭)
一種透過偵測對通訊資料(包括IP報頭)的修改進行認證的通訊協定。不加密通訊資料。
ESP(封裝安全承載 )
一種在驗證通訊資料完整性並僅對通訊資料的承載部分進行認證的同時透過加密提供機密性的通訊協定。
鍵值交換協定
支援用於根據ISAKMP(Internet安全關聯和鍵值管理協定)交換鍵值的IKEv1(Internet鍵值交換版本1)。IKE包括兩個階段,在階段1中創建用於IKE的SA(IKE SA),在階段2中創建用於IPSec的SA(IPSec SA)。
要設定使用預共用鍵值方法進行認證,必須事先確定一個預共用鍵值,即用於雙方機器傳送和接收資料的關鍵字。使用本機器的控制面板設定與要與其執行IPSec通訊的目標機器相同的預共用鍵值,並使用預共用鍵值方法執行認證。
要選擇使用數位簽章進行認證,必須註冊用於IPSec目標機器雙向認證的CA憑證(X.509憑證)。有關使用「遠端使用者介面」安裝CA憑證檔案的資訊,請參閱
「安裝CA憑證檔案」。有關註冊已安裝的CA憑證檔案的說明,請參閱
「註冊/編輯CA憑證檔案」。可用於數位簽章方法認證的鍵值對和憑證類型的說明如下。
RSA(Rivest Shamir Adleman)演算法
PKCS#12格式鍵值對
須知 |
在「IKE設定」螢幕中設定「主要」模式和預共用鍵值認證方法時,若要註冊多個安全策略,則以下限制適用。 預共用鍵值方法的鍵值:指定多個套用某個安全策略的遠端IP位址時,該安全策略的所有共用鍵值都是相同的(指定一個位址時不適用)。 優先權:指定多個套用某個安全策略的遠端IP位址時,該安全策略的優先權低於指定一個位址的安全策略。 |