Mengkonfigurasi Tetapan IPSec
Keselamatan Protokol Internet (IPSec atau IPsec) adalah suite protokol untuk menyulitkan data dipindahkan melalui rangkaian, termasuk rangkaian Internet. Walaupun TLS hanya menyulitkan data yang digunakan pada aplikasi tertentu, seperti pelayar web atau aplikasi e-mel, IPSec menyulitkan sama ada paket IP sepenuhnya atau muatan paket IP, menawarkan sistem keselamatan yang lebih versatil. IPSec mesin berfungsi dalam mod pemindahan, di mana muatan paket IP disulitkan. Dengan ciri ini, mesin boleh berhubung terus ke komputer yang ada di rangkaian persendirian maya (VPN) yang sama. Semak keperluan sistem (Fungsi Pengurusan) dan tetapkan konfigurasi pada komputer sebelum anda mengkonfigurasi mesin.
|
Guna IPSec dengan penapis alamat IPTetapan penapis alamat IP digunakan sebelum dasar IPSec. Mengkhususkan Alamat IP untuk Tetapan Firewall |
Mengkonfigurasi Tetapan IPSec
Sebelum menggunakan IPSec untuk komunikasi disulitkan, anda perlu mendaftar dasar keselamatan (SP). Dasar keselamatan terdiri daripada kumpulan tetapan yang dinyatakan di bawah. Selepas mendaftar dasar, tentukan perintah itu di mana ia digunakan.
Pemilih
Pemilih mentakrifkan syarat untuk paket IP untuk memohon komunikasi IPSec. Keadaan boleh dipilih termasuk alamat IP dan nombor port mesin dan peranti untuk berkomunikasi.
IKE
IKE mengkonfigurasi IKEv1 yang digunakan untuk protokol pertukaran utama. Perhatikan bahawa arahan berbeza-beza mengikut kaedah pengesahan yang dipilih.
[Pre-Shared Key Method] (Kaedah Kunci Pra-Kongsi)
Kaedah pengesahan ini menggunakan kata kunci yang sama, yang dipanggil Shared Key, untuk komunikasi antara mesin dan peranti lain. Bolehkan TLS untuk UI Kawalan Jauh sebelum menentukan kaedah pengesahan ini (Mengkonfigurasi Kunci dan Sijil bagi TLS).
Kaedah pengesahan ini menggunakan kata kunci yang sama, yang dipanggil Shared Key, untuk komunikasi antara mesin dan peranti lain. Bolehkan TLS untuk UI Kawalan Jauh sebelum menentukan kaedah pengesahan ini (Mengkonfigurasi Kunci dan Sijil bagi TLS).
[Digital Signature Method] (Kaedah Tandatangan Digital)
Mesin dan peranti lain mengesahkan satu sama lain dengan saling mengesahkan tandatangan digital mereka. Hasilkan atau pasang kunci dan sijil terlebih dahulu (Mendaftar Kunci dan Sijil bagi Komunikasi Rangkaian).
Mesin dan peranti lain mengesahkan satu sama lain dengan saling mengesahkan tandatangan digital mereka. Hasilkan atau pasang kunci dan sijil terlebih dahulu (Mendaftar Kunci dan Sijil bagi Komunikasi Rangkaian).
AH/ESP
Tentukan tetapan untuk AH/ESP, yang ditambah kepada paket semasa komunikasi IPSec. AH dan ESP boleh digunakan pada masa yang sama. Anda juga boleh memilih sama ada boleh atau tidak untuk membolehkan PFS untuk keselamatan yang lebih ketat.
|
Untuk maklumat lebih lanjut mengenai operasi asas yang akan dilaksanakan apabila menetapkan mesin daripada UI Kawalan Jauh, lihat Menetapkan Pilihan Menu daripada UI Kawalan Jauh. |
1
Mulakan dengan UI Kawalan Jauh dan log masuk ke Mod Pengurus Sistem. Memulakan UI Kawalan Jauh
2
Klik [Settings/Registration] (Tetapan/Pendaftaran) pada halaman Portal. Tetapan UI Kawalan Jauh
3
Pilih [Network Settings] (Tetapan Rangkaian) 
[IPSec Settings] (Tetapan IPSec).
[IPSec Settings] (Tetapan IPSec).4
Klik [Edit] (Edit).
5
Pilih kotak semak [Use IPSec] (Guna IPSec) dan klik [OK] (OK).
Jika anda mahu mesin untuk hanya menerima paket yang sesuai dengan salah satu dasar keselamatan yang anda tentukan dalam langkah-langkah di bawah, kosongkan [Receive Non-Policy Packets] (Terima Paket Bukan Polisi) kotak semak.
6
Klik [Register New Policy] (Daftar Polisi Baru).
7
Khususkan Tetapan Dasar.
1 | Dalam [Policy Name] (Nama Polisi) kotak semak, masukkan aksara abjad angka untuk nama yang digunakan bagi mengenal pasti dasar. |
2 | Pilih [Enable Policy] (Bolehkan Polisi) kotak semak. |
8
Tentukan Tetapan Pemilih.
[Local Address] (Alamat Setempat)
Klik butang radio bagi jenis alamat IP mesin untuk menggunakan dasar.
Klik butang radio bagi jenis alamat IP mesin untuk menggunakan dasar.
[All IP Addresses] (Semua Alamat IP) | Pilih untuk guna IPSec bagi semua Paket IP. |
[IPv4 Address] (Alamat IPv4) | Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv4 mesin. |
[IPv6 Address] (Alamat IPv6) | Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv6 mesin. |
[Remote Address] (Alamat Jarak Jauh)
Klik butang radio bagi jenis alamat IP peranti lain mesin untuk menggunakan dasar.
Klik butang radio bagi jenis alamat IP peranti lain mesin untuk menggunakan dasar.
[All IP Addresses] (Semua Alamat IP) | Pilih untuk guna IPSec bagi semua Paket IP. |
[All IPv4 Addresses] (Semua Alamat IPv4) | Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv4 peranti yang lain. |
[All IPv6 Addresses] (Semua Alamat IPv6) | Pilih untuk guna IPSec bagi semua Paket IP yang dihantar kepada atau daripada alamat IPv6 peranti yang lain. |
[IPv4 Manual Settings] (Tetapan Manual IPv4) | Pilih untuk menentukan alamat IPv4 tunggal atau pelbagai IPv4 menangani memohon IPSec. Masukkan alamat IPv4 (atau julat) dalam [Addresses to Set Manually] (Alamat Ditetap secara Manual) kotak semak. |
[IPv6 Manual Settings] (Tetapan Manual IPv6) | Pilih untuk menentukan alamat IPv6 tunggal atau julat alamat IPv6 menggunakan IPSec. Masukkan alamat IPv6 (atau julat) dalam [Addresses to Set Manually] (Alamat Ditetap secara Manual) kotak semak. |
[Addresses to Set Manually] (Alamat Ditetap secara Manual)
Jika [IPv4 Manual Settings] (Tetapan Manual IPv4) atau [IPv6 Manual Settings] (Tetapan Manual IPv6) dipilih untuk [Remote Address] (Alamat Jarak Jauh),masukkan alamat IP untuk menggunakan dasar. Anda juga boleh memasukkan pelbagai alamat dengan memasukkan sempang antara alamat.
Jika [IPv4 Manual Settings] (Tetapan Manual IPv4) atau [IPv6 Manual Settings] (Tetapan Manual IPv6) dipilih untuk [Remote Address] (Alamat Jarak Jauh),masukkan alamat IP untuk menggunakan dasar. Anda juga boleh memasukkan pelbagai alamat dengan memasukkan sempang antara alamat.
Masukkan alamat IP
Penerangan | Contoh | |
Masukkan satu alamat | IPv4: Hadkan nombor dengan noktah. | 192.168.0.10 |
IPv6: Hadkan karakter huruf dan nombor dengan tanda noktah bertindih. | fe80::10 | |
Menentukan julat alamat | Masukkan tanda sengkang di antara alamat. | 192.168.0.10-192.168.0.20 |
[Subnet Settings] (Tetapan Subnet)
Apabila menyatakan alamat IPv4 secara manual, anda boleh meluahkan pelbagai dengan menggunakan topeng subnet. Masukkan subnet mask yang menggunakan tempoh untuk menghadkan nombor (contoh: "255.255.255.240").
Apabila menyatakan alamat IPv4 secara manual, anda boleh meluahkan pelbagai dengan menggunakan topeng subnet. Masukkan subnet mask yang menggunakan tempoh untuk menghadkan nombor (contoh: "255.255.255.240").
[Prefix Length] (Panjang Tanda Nama)
Menentukan julat alamat IPv6 secara manual juga membolehkan anda menentukan julat yang menggunakan awalan. Masukkan julat antara 0 dan 128 sebagai panjang awalan.
Menentukan julat alamat IPv6 secara manual juga membolehkan anda menentukan julat yang menggunakan awalan. Masukkan julat antara 0 dan 128 sebagai panjang awalan.
[Local Port]/[Remote Port]
Jika anda mahu mencipta dasar berasingan untuk setiap protokol, seperti HTTP atau WSD, klik butang radio [Single Port] dan masukkan nombor port yang sesuai untuk protokol bagi menentukan sama ada mahu menggunakan IPSec.
Jika anda mahu mencipta dasar berasingan untuk setiap protokol, seperti HTTP atau WSD, klik butang radio [Single Port] dan masukkan nombor port yang sesuai untuk protokol bagi menentukan sama ada mahu menggunakan IPSec.
IPSec tidak digunakan untuk paket berikut
Loopback, multicast, dan paket siaran
Paket IKE (menggunakan UDP, pada port 500)
Permintaan jiran ICMPv6 dan jiran iklan paket
9
Tentukan Tetapan IKE.
[IKE Mode] (Mod IKE)
Mod digunakan untuk protokol pertukaran kunci dipaparkan. Mesin ini menyokong mod utama, bukan mod agresif.
Mod digunakan untuk protokol pertukaran kunci dipaparkan. Mesin ini menyokong mod utama, bukan mod agresif.
[Authentication Method] (Kaedah pengesahan)
Pilih [Pre-Shared Key Method] (Kaedah Kunci Pra-Kongsi) atau [Digital Signature Method] (Kaedah Tandatangan Digital) untuk kaedah digunakan apabila mengesahkan mesin. Anda perlu membolehkan TLS untuk UI Kawalan Jauh sebelum memilih [Pre-Shared Key Method] (Kaedah Kunci Pra-Kongsi). Anda perlu menghasilkan atau memasang kunci dan sijil sebelum memilih [Digital Signature Method] (Kaedah Tandatangan Digital). Mengkonfigurasi Kunci dan Sijil bagi TLS
Pilih [Pre-Shared Key Method] (Kaedah Kunci Pra-Kongsi) atau [Digital Signature Method] (Kaedah Tandatangan Digital) untuk kaedah digunakan apabila mengesahkan mesin. Anda perlu membolehkan TLS untuk UI Kawalan Jauh sebelum memilih [Pre-Shared Key Method] (Kaedah Kunci Pra-Kongsi). Anda perlu menghasilkan atau memasang kunci dan sijil sebelum memilih [Digital Signature Method] (Kaedah Tandatangan Digital). Mengkonfigurasi Kunci dan Sijil bagi TLS
[Valid for] (Sah untuk)
Tentukan tempoh sesi berlangsung selama IKE SA (ISAKMP SA). Masukkan masa dalam beberapa minit.
Tentukan tempoh sesi berlangsung selama IKE SA (ISAKMP SA). Masukkan masa dalam beberapa minit.
[Authentication] (Pengesahan)/[Encryption] (Penyulitan)/[DH Group] (Kumpulan DH)
Pilih satu algoritma dari senarai juntai bawah. Setiap algoritma yang digunakan dalam pertukaran kunci.
Pilih satu algoritma dari senarai juntai bawah. Setiap algoritma yang digunakan dalam pertukaran kunci.
[Authentication] (Pengesahan) | Pilih algoritma hash. |
[Encryption] (Penyulitan) | Pilih algoritma penyulitan. |
[DH Group] (Kumpulan DH) | Pilih kumpulan Diffie-Hellman, yang menentukan kekuatan kunci. |
Mengesahkan mesin menggunakan kunci dikongsi sebelum ini.
1 | Klik pada [Pre-Shared Key Method] (Kaedah Kunci Pra-Kongsi) butang radio untuk [Authentication Method] (Kaedah pengesahan) dan kemudian klik [Shared Key Settings] (Tetapan Kunci Kongsi). |
2 | Masukkan aksara abjad angka untuk kunci dikongsi sebelum ini dan klik [OK] (OK). |
3 | Tentukan [Valid for] (Sah untuk) dan tetapan [Authentication] (Pengesahan)/[Encryption] (Penyulitan)/[DH Group] (Kumpulan DH). |
Mengesahkan mesin menggunakan kaedah tandatangan digital.
1 | Klik pada [Digital Signature Method] (Kaedah Tandatangan Digital) butang radio untuk [Authentication Method] (Kaedah pengesahan) dan kemudian klik [Key and Certificate] (Kunci dan Sijil). |
2 | Klik [Register Default Key] (Daftar Kunci Lalai) pada bahagian kanan kunci dan sijil yang ingin anda gunakan. Melihat butiran sijil Anda boleh memeriksa butiran sijil atau menentusahkan sijil dengan mengklik pautan teks berpadanan di bawah [Key Name] (Nama Kunci) atau ikon sijil. |
3 | Tentukan [Valid for] (Sah untuk) dan tetapan [Authentication] (Pengesahan)/[Encryption] (Penyulitan)/[DH Group] (Kumpulan DH). |
10
Tentukan Tetapan Rangkaian IPSec.
[Use PFS] (Guna PFS)
Pilih kotak semak untuk membolehkan Kerahsiaan Pemajuan Sempurna (PFS) untuk kunci sesi IPSec. Membolehkan PFS meningkatkan keselamatan di samping meningkatkan beban pada komunikasi. Pastikan PFS juga diaktifkan untuk peranti lain.
Pilih kotak semak untuk membolehkan Kerahsiaan Pemajuan Sempurna (PFS) untuk kunci sesi IPSec. Membolehkan PFS meningkatkan keselamatan di samping meningkatkan beban pada komunikasi. Pastikan PFS juga diaktifkan untuk peranti lain.
[Specify by Time] (Tentukan dengan Masa)/[Specify by Size] (Tentukan dengan Saiz)
Menetapkan syarat untuk menamatkan sesi untuk IPSec SA. IPSec SA digunakan sebagai terowong komunikasi. Pilih salah satu atau kedua-dua kotak semak seperti yang diperlukan. Jika kedua-dua kotak semak dipilih, satu sesi IPSec SA ditamatkan apabila sama ada syarat-syarat telah dipenuhi.
Menetapkan syarat untuk menamatkan sesi untuk IPSec SA. IPSec SA digunakan sebagai terowong komunikasi. Pilih salah satu atau kedua-dua kotak semak seperti yang diperlukan. Jika kedua-dua kotak semak dipilih, satu sesi IPSec SA ditamatkan apabila sama ada syarat-syarat telah dipenuhi.
[Specify by Time] (Tentukan dengan Masa) | Masukkan nama dalam minit untuk mengkhususkan berapa lama sesi akan habis. |
[Specify by Size] (Tentukan dengan Saiz) | Masukkan saiz yang dalam megabait untuk menentukan berapa banyak data yang boleh dipindahkan dalam sesi. |
[Select Algorithm] (Pilih Algoritma)
Pilih [ESP], [ESP (AES-GCM)], atau [AH (SHA1)]kotak semak bergantung pada pengepala IPSec dan algoritma yang digunakan. AES-GCM adalah satu algoritma untuk kedua-dua pengesahan dan penyulitan. Jika [ESP] dipilih, pilih juga algoritma untuk pengesahan dan penyulitan daripada [ESP Authentication] (Pengesahan ESP) dan [ESP Encryption] (Penyulitan ESP) senarai juntai bawah.
Pilih [ESP], [ESP (AES-GCM)], atau [AH (SHA1)]kotak semak bergantung pada pengepala IPSec dan algoritma yang digunakan. AES-GCM adalah satu algoritma untuk kedua-dua pengesahan dan penyulitan. Jika [ESP] dipilih, pilih juga algoritma untuk pengesahan dan penyulitan daripada [ESP Authentication] (Pengesahan ESP) dan [ESP Encryption] (Penyulitan ESP) senarai juntai bawah.
[ESP Authentication] (Pengesahan ESP) | Untuk membolehkan pengesahan ESP, pilih [SHA1] untuk algoritma hash. Pilih [Do Not Use] (Jangan Guna) jika anda ingin melumpuhkan pengesahan ESP. |
[ESP Encryption] (Penyulitan ESP) | Pilih algoritma penyulitan untuk ESP. Anda boleh memilih [NULL] (TIADA) jika anda tidak mahu untuk menentukan algoritma, atau pilih [Do Not Use] (Jangan Guna) jika anda ingin mematikan penyulitan ESP. |
[Connection Mode] (Mod sambungan)
Mod sambungan IPSec dipaparkan. Mesin ini menyokong mod pengangkutan, di mana muatan paket IP disulitkan. Mod terowong, di mana paket IP keseluruhan (pengepala dan muatan) yang terkandung tidak tersedia.
Mod sambungan IPSec dipaparkan. Mesin ini menyokong mod pengangkutan, di mana muatan paket IP disulitkan. Mod terowong, di mana paket IP keseluruhan (pengepala dan muatan) yang terkandung tidak tersedia.
11
Klik [OK] (OK).
Jika anda perlu mendaftar dasar keselamatan tambahan, kembali ke langkah 6.
12
Mengatur susunan dasar yang disenaraikan di bawah [Registered IPSec Policies] (Polisi IPSec yang Didaftar).
Dasar digunakan daripada satu di kedudukan yang tertinggi kepada yang terendah. Klik [Up] (Atas) atau [Down] (Bawah) untuk mengalih turutan dasar ke atas atau ke bawah.
Edit dasar
Klik pada pautan teks yang bersamaan di bawah [Policy Name] (Nama Polisi) untuk skrin edit.
Memadam polisi
Klik [Delete] (Padam) pada bahagian kanan nama dasar yang anda ingin padamkan klik [OK] (OK).
klik [OK] (OK).13
Mulakan semula mesin. Mulakan semula Mesin
|
Menggunakan panel operasiAnda juga boleh membolehkan atau melumpuhkan komunikasi IPSecdaripada <Menu> dalam skrin Rumah. <Guna IPSec> |