การกำหนดการตั้งค่า IPSec

Internet Protocol Security (IPSec หรือ IPsec) เป็นชุดโปรโตคอลสำหรับเข้ารหัสข้อมูลที่รับส่งผ่านเครือข่าย ซึ่งรวมถึงเครือข่ายอินเทอร์เน็ต ในขณะที่ TLS จะเข้ารหัสเฉพาะข้อมูลที่ใช้บนแอพพลิเคชันที่เฉพาะเจาะจง เช่น เว็บเบราว์เซอร์ หรือแอพพลิเคชันอีเมล แต่ IPSec จะเข้ารหัสแพคเก็ต IP ทั้งหมดหรือ Payload ของแพคเก็ต IP จึงเป็นระบบรักษาความปลอดภัยที่ครอบคลุมรอบด้านมากกว่า IPSec ของเครื่องจะทำงานในโหมดการส่งข้อมูล ซึ่งมีการเข้ารหัส Payload ของแพคเก็ต IP ด้วยคุณลักษณะนี้ เครื่องจึงสามารถเชื่อมต่อกับคอมพิวเตอร์ที่อยู่บนเครือข่ายส่วนตัวแบบเสมือน (VPN) เดียวกันได้โดยตรง ตรวจสอบความต้องการของระบบ (ฟังก์ชันการจัดการ) และตั้งค่าการกำหนดค่าที่จำเป็นบนคอมพิวเตอร์ก่อนที่คุณจะกำหนดค่าเครื่อง
การใช้ IPSec ที่มีตัวกรองที่อยู่ IP
การตั้งค่าตัวกรองที่อยู่ IP จะถูกนำมาใช้ก่อนนโยบาย IPSec การระบุที่อยู่ IP สำหรับการตั้งค่าไฟร์วอลล์

การกำหนดการตั้งค่า IPSec

ก่อนใช้ IPSec สำหรับการสื่อสารที่เข้ารหัส คุณต้องลงทะเบียนนโยบายรักษาความปลอดภัย (Security Policies (SP)) นโยบายรักษาความปลอดภัยประกอบด้วยกลุ่มของการตั้งค่าที่อธิบายด้านล่างนี้ หลังจากลงทะเบียนนโยบายแล้ว ให้ระบุลำดับในการนำมาใช้
ตัวเลือก
ตัวเลือกจะกำหนดเงื่อนไขของแพคเก็ต IP ที่จะใช้การสื่อสาร IPSec เงื่อนไขที่เลือกได้จะรวมถึงที่อยู่ IP และหมายเลขพอร์ตของเครื่องและอุปกรณ์ที่จะสื่อสารด้วย
IKE
IKE จะกำหนดค่า IKEv1 ที่ใช้สำหรับโปรโตคอลการแลกเปลี่ยนคีย์ โปรดทราบว่าคำแนะนำจะแตกต่างกันไปขึ้นอยู่กับวิธีการรับรองความถูกต้องที่เลือก
[Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน)
วิธีการรับรองความถูกต้องนี้จะใช้คำสำคัญทั่วไปที่เรียกว่าคีย์ที่ใช้ร่วมกันในการสื่อสารระหว่างเครื่องและอุปกรณ์อื่น เปิดใช้งาน TLS สำหรับ UI ระยะไกล ก่อนระบุวิธีการรับรองความถูกต้องนี้ (การกำหนดค่าคีย์และใบรับรองสำหรับ TLS)
[Digital Signature Method] (วิธีการลายเซ็นดิจิทัล)
เครื่องและอุปกรณ์อื่นๆ จะตรวจสอบความถูกต้องของกันและกันโดยตรวจสอบลายเซ็นดิจิตัลร่วมกัน สร้างหรือติดตั้งคีย์และใบรับรองก่อนล่วงหน้า (การลงทะเบียนคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย)
AH/ESP
ระบุการตั้งค่าสำหรับ AH/ESP ซึ่งเพิ่มให้กับแพคเก็ตในระหว่างการสื่อสาร IPSec โดยสามารถใช้ AH และ ESP ได้พร้อมกัน คุณยังสามารถเลือกว่าจะเปิดใช้งาน PFS หรือไม่เพื่อให้มีการรักษาความปลอดภัยที่เข้มแข็งขึ้น
 
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการทำงานพื้นฐานที่จะดำเนินการเมื่อตั้งค่าเครื่องจาก UI ระยะไกล โปรดดูที่ การตั้งค่าตัวเลือกเมนูจาก UI ระยะไกล
1
เริ่มใช้งาน UI ระยะไกลและเข้าสู่ระบบในโหมดผู้จัดการระบบ การเริ่มใช้งาน UI ระยะไกล
2
คลิก [Settings/Registration] (การตั้งค่า/การลงทะเบียน) บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
เลือก [Network Settings] (การตั้งค่าเครือข่าย)  [IPSec Settings] (การตั้งค่า IPSec)
4
คลิก [Edit] (แก้ไข)
5
เลือกช่องทำเครื่องหมาย [Use IPSec] (ใช้ IPSec) และคลิก [OK] (ตกลง)
ถ้าคุณต้องการให้เครื่องรับเฉพาะแพคเก็ตที่ตรงกับนโยบายการรักษาความปลอดภัยเพียงหนึ่งนโยบายที่คุณกำหนดไว้ในขั้นตอนด้านล่างนี้ ให้ล้างช่องทำเครื่องหมาย [Receive Non-Policy Packets] (รับแพคเก็ตที่ไม่ใช้นโยบาย)
6
คลิก [Register New Policy] (ลงทะเบียนนโยบายใหม่)
7
ระบุการตั้งค่านโยบาย
1
ในกล่องข้อความ [Policy Name] (ชื่อนโยบาย) ให้ป้อนอักขระตัวอักษรผสมตัวเลขเป็นชื่อที่ใช้ในการระบุนโยบายนี้
2
เลือกช่องทำเครื่องหมาย [Enable Policy] (เปิดใช้งานนโยบาย)
8
ระบุการตั้งค่าตัวเลือก
[Local Address] (ที่อยู่ภายใน)
คลิกปุ่มตัวเลือกเพื่อระบุประเภทของที่อยู่ IP ของเครื่องที่จะใช้นโยบาย
[All IP Addresses] (ที่อยู่ IP ทั้งหมด)
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมด
[IPv4 Address] (ที่อยู่ IPv4)
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv4 ของเครื่อง
[IPv6 Address] (ที่อยู่ IPv6)
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv6 ของเครื่อง
[Remote Address] (ที่อยู่ระยะไกล)
คลิกปุ่มตัวเลือกเพื่อระบุประเภทของที่อยู่ IP ของอุปกรณ์อื่นที่จะใช้นโยบาย
[All IP Addresses] (ที่อยู่ IP ทั้งหมด)
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมด
[All IPv4 Addresses] (ที่อยู่ IPv4 ทั้งหมด)
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv4 ของอุปกรณ์อื่น
[All IPv6 Addresses] (ที่อยู่ IPv6 ทั้งหมด)
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv6 ของอุปกรณ์อื่น
[IPv4 Manual Settings] (การตั้งค่า IPv4 ด้วยตนเอง)
เลือกเพื่อระบุที่อยู่ IPv4 เดียวหรือช่วงที่อยู่ IPv4 เพื่อใช้ IPSec ป้อนที่อยู่ IPv4 (หรือช่วงที่อยู่) ในกล่องข้อความ [Addresses to Set Manually] (ที่อยู่ที่ตั้งค่าด้วยตนเอง)
[IPv6 Manual Settings] (การตั้งค่า IPv6 ด้วยตนเอง)
เลือกเพื่อระบุที่อยู่ IPv6 เดียวหรือช่วงที่อยู่ IPv6 เพื่อใช้ IPSec ป้อนที่อยู่ IPv6 (หรือช่วงที่อยู่) ในกล่องข้อความ [Addresses to Set Manually] (ที่อยู่ที่ตั้งค่าด้วยตนเอง)
[Addresses to Set Manually] (ที่อยู่ที่ตั้งค่าด้วยตนเอง)
ถ้าเลือก [IPv4 Manual Settings] (การตั้งค่า IPv4 ด้วยตนเอง) หรือ [IPv6 Manual Settings] (การตั้งค่า IPv6 ด้วยตนเอง) สำหรับ [Remote Address] (ที่อยู่ระยะไกล) ป้อนที่อยู่ IP เพื่อใช้นโยบาย คุณยังสามารถป้อนช่วงที่อยู่โดยแทรกเครื่องหมายยัติภังค์ ("-") ระหว่างที่อยู่
การป้อนที่อยู่ IP
คำอธิบาย
ตัวอย่าง
การป้อนที่อยู่รายการเดียว
IPv4:
คั่นตัวเลขด้วยจุด
192.168.0.10
IPv6:
คั่นอักขระตัวอักษรผสมตัวเลขด้วยทวิภาค
fe80::10
การระบุช่วงที่อยู่
แทรกเครื่องหมายยัติภังค์ ("-") ระหว่างที่อยู่
192.168.0.10-192.168.0.20
[Subnet Settings] (การตั้งค่าซับเน็ต)
เมื่อระบุที่อยู่ IPv4 ด้วยตนเอง คุณสามารถแสดงช่วงที่อยู่โดยใช้ซับเน็ตมาสก์ ป้อนซับเน็ตมาสก์โดยใช้จุดเพื่อคั่นหมายเลข (ตัวอย่าง:"255.255.255.240")
[Prefix Length] (ความยาวส่วนนำหน้า)
การระบุช่วงของที่อยู่ IPv6 ด้วยตนเองยังช่วยให้คุณสามารถระบุช่วงโดยใช้ส่วนนำหน้า ป้อนช่วงระหว่าง 0 ถึง 128 เป็นความยาวส่วนนำหน้า
[Local Port] (พอร์ตภายใน)/[Remote Port] (พอร์ตระยะไกล)
ถ้าคุณต้องการสร้างนโยบายแยกกันสำหรับแต่ละโปรโตคอล เช่น HTTP หรือ WSD ให้คลิกปุ่มตัวเลือก [Single Port] (พอร์ตเดี่ยว) และป้อนหมายเลขพอร์ตที่เหมาะสมสำหรับโปรโตคอลเพื่อกำหนดว่าจะใช้ IPSec หรือไม่
IPSec จะไม่ใช้กับแพคเก็ตต่อไปนี้
แพคเก็ตแบบย้อนกลับ แพคเก็ตแบบหลายผู้รับ และแพคเก็ตแบบกระจายข้อมูล
แพคเก็ต IKE (โดยใช้ UDP บนพอร์ต 500)
แพคเก็ต ICMPv6 Neighbor Solicitation และ Neighbor Advertisement
9
ระบุการตั้งค่า IKE
[IKE Mode] (โหมด IKE)
โหมดที่ใช้สำหรับโปรโตคอลการแลกเปลี่ยนคีย์จะปรากฏขึ้น เครื่องสนับสนุนโหมดหลัก ไม่ใช่โหมด Aggressive
[Authentication Method] (วิธีการรับรองความถูกต้อง)
เลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) หรือ [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) สำหรับวิธีที่ใช้เมื่อตรวจสอบความถูกต้องของเครื่อง คุณต้องเปิดใช้งาน TLS สำหรับ UI ระยะไกล ก่อนเลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) คุณต้องสร้างหรือติดตั้งใบรับรองก่อนเลือก [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) การกำหนดค่าคีย์และใบรับรองสำหรับ TLS
[Valid for] (ใช้ได้สำหรับ)
ระบุระยะเวลาที่เซสชันจะคงอยู่สำหรับ IKE SA (ISAKMP SA) ป้อนเวลาเป็นนาที
[Authentication] (การรับรองความถูกต้อง)/[Encryption] (การเข้ารหัส)/[DH Group] (กลุ่ม DH)
เลือกอัลกอริทึ่มจากรายการดรอปดาวน์ โดยแต่ละอัลกอริทึ่มจะใช้ในการแลกเปลี่ยนคีย์
[Authentication] (การรับรองความถูกต้อง)
เลือกแฮชอัลกอริทึ่ม
[Encryption] (การเข้ารหัส)
เลือกอัลกอริทึ่มการเข้ารหัส
[DH Group] (กลุ่ม DH)
เลือกลุ่ม Diffie-Hellman ซึ่งจะกำหนดความปลอดภัยของคีย์
 การตรวจสอบความถูกต้องเครื่องโดยใช้คีย์ที่กำหนดให้ใช้ร่วมกัน
1
คลิกปุ่มตัวเลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) สำหรับ [Authentication Method] (วิธีการรับรองความถูกต้อง) แล้วคลิก [Shared Key Settings] (การตั้งค่าคีย์ที่ใช้ร่วมกัน)
2
ป้อนอักขระตัวอักษรผสมตัวเลขเป็นคีย์ที่กำหนดให้ใช้ร่วมกันและคลิก [OK] (ตกลง)
3
ระบุการตั้งค่า [Valid for] (ใช้ได้สำหรับ) และ [Authentication] (การรับรองความถูกต้อง)/[Encryption] (การเข้ารหัส)/[DH Group] (กลุ่ม DH) 
 การตรวจสอบความถูกต้องเครื่องโดยใช้วิธีการลายเซ็นดิจิตัล
1
คลิกปุ่มตัวเลือก [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) สำหรับ [Authentication Method] (วิธีการรับรองความถูกต้อง) แล้วคลิก [Key and Certificate] (คีย์และใบรับรอง)
2
คลิก [Register Default Key] (ลงทะเบียนคีย์ที่เป็นค่าเริ่มต้น) ทางขวาของคีย์และใบรับรองที่คุณต้องการใช้
การดูรายละเอียดของใบรับรอง
คุณสามารถตรวจสอบรายละเอียดของใบรับรองหรือตรวจสอบความถูกต้องของใบรับรองโดยคลิกลิงค์ข้อความที่เกี่ยวข้องใต้ [Key Name] (ชื่อคีย์) หรือไอคอนใบรับรอง
3
ระบุการตั้งค่า [Valid for] (ใช้ได้สำหรับ) และ [Authentication] (การรับรองความถูกต้อง)/[Encryption] (การเข้ารหัส)/[DH Group] (กลุ่ม DH)
10
ระบุการตั้งค่าเครือข่าย IPSec
[Use PFS] (ใช้ PFS)
เลือกช่องทำเครื่องหมายเพื่อเปิดใช้งาน Perfect Forward Secrecy (PFS) สำหรับคีย์เซสชัน IPSec การเปิดใช้งาน PFS จะช่วยเสริมความปลอดภัยขณะเพิ่มโหลดในการสื่อสาร ตรวจสอบให้แน่ใจว่ามีการเปิดใช้งาน PFS สำหรับอุปกรณ์อื่นเช่นกัน
[Specify by Time] (ระบุตามเวลา)/[Specify by Size] (ระบุตามขนาด)
ตั้งค่าเงื่อนไขสำหรับยุติเซสชัน IPSec SA โดยจะมีการใช้ IPSec SA เป็นอุโมงค์สื่อสาร (Communication Tunnel) เลือกช่องทำเครื่องหมายหนึ่งหรือทั้งคู่ตามความจำเป็น ถ้าเลือกช่องทำเครื่องหมายทั้งคู่ เซสชัน IPSec SA จะยุติเมื่อเป็นไปตามเงื่อนไขอันใดอันหนึ่ง
[Specify by Time] (ระบุตามเวลา)
ป้อนเวลาเป็นนาทีเพื่อระบุระยะเวลาที่เซสชันนั้นจะคงอยู่
[Specify by Size] (ระบุตามขนาด)
ป้อนขนาดเป็นเมกะไบต์เพื่อระบุปริมาณข้อมูลที่สามารถส่งในหนึ่งเซสชัน
[Select Algorithm] (เลือกอัลกอริทึ่ม)
เลือกช่องทำเครื่องหมาย [ESP] (ESP), [ESP (AES-GCM)] (ESP (AES-GCM)) หรือ [AH (SHA1)] (AH (SHA1)) ขึ้นอยู่กับส่วนหัว IPSec และอัลกอริทึ่มที่ใช้ AES-GCM คืออัลกอริทึ่มสำหรับทั้งการรับรองความถูกต้องและการเข้ารหัส ถ้าเลือก [ESP] (ESP) ให้เลือกอัลกอริทึ่มสำหรับการรับรองความถูกต้องจากรายการดรอปดาวน์ [ESP Authentication] (การรับรองความถูกต้อง ESP) และ [ESP Encryption] (การเข้ารหัส ESP)
[ESP Authentication] (การรับรองความถูกต้อง ESP)
ในการเปิดใช้งานการรับรองความถูกต้อง ESP ให้เลือก [SHA1] (SHA1) สำหรับแฮชอัลกอริทึ่ม เลือก [Do Not Use] (ไม่ใช้) ถ้าคุณต้องการปิดใช้งานการรับรองความถูกต้อง ESP
[ESP Encryption] (การเข้ารหัส ESP)
เลือกอัลกอริทึ่มการเข้ารหัสสำหรับ ESP คุณสามารถเลือก [NULL] (ค่าว่าง) ถ้าคุณไม่ต้องการระบุอัลกอริทึ่ม หรือเลือก [Do Not Use] (ไม่ใช้) ถ้าคุณต้องการปิดใช้งานการเข้ารหัส ESP
[Connection Mode] (โหมดการเชื่อมต่อ)
โหมดการเชื่อมต่อของ IPSec จะปรากฏขึ้น เครื่องสนับสนุนโหมดการส่งข้อมูล ซึ่งมีการเข้ารหัส Payload ของแพคเก็ต IP คุณไม่สามารถใช้งานโหมดอุโมงค์ (Tunnel) ซึ่งมีการห่อหุ้มแพคเก็ต IP ทั้งหมด (ส่วนหัวและ Payload) เอาไว้
11
คลิก [OK] (ตกลง)
ถ้าคุณต้องการลงทะเบียนนโยบายการรักษาความปลอดภัยเพิ่มเติม ให้ย้อนกลับไปยังขั้นตอนที่ 6
12
จัดการลำดับของนโยบายที่แสดงใต้ [Registered IPSec Policies] (นโยบาย IPSec ที่ลงทะเบียน)
มีการใช้นโยบายโดยเริ่มจากนโยบายในตำแหน่งสูงสุดไปยังต่ำสุด คลิก [Up] (ขึ้น) หรือ [Down] (ลง) เพื่อย้ายนโยบายขึ้นหรือลงในลำดับ
การแก้ไขนโยบาย
คลิกลิงค์ข้อความที่เกี่ยวข้องใต้ [Policy Name] (ชื่อนโยบาย) สำหรับหน้าจอแก้ไข
การลบนโยบาย
คลิก [Delete] (ลบ) ทางขวาของชื่อนโยบายที่คุณต้องการลบ  คลิก [OK] (ตกลง)
 
13
เริ่มต้นเครื่องอีกครั้ง การเริ่มต้นเครื่องอีกครั้ง
การใช้แผงควบคุมการทำงาน
คุณยังสามารถเปิดใช้งานหรือปิดใช้งานการสื่อสาร IPSec จาก <เมนู> ในหน้าจอ Home<ใช้ IPSec>
51SJ-07J