پیکربندی تنظیمات IPSec
امنیت پروتکل اینترنتی (IPSec یا IPsec) پروتکلی است که برای رمزگذاری داده های منتقل شده در شبکه از جمله شبکه های اینترنتی مناسب است. در حالیکه TLS فقط داده های استفاده شده در یک برنامه خاص مانند مرورگر وب یا برنامه ایمیل را رمزگذاری می کند، IPSec همه بسته های IP یا داده های ضروری بسته های IP را رمزگذاری می کند، در واقع یک سیستم امنیتی همه کاره ارائه دهد. IPSec دستگاه در حالت انتقال کار می کند، که در آن داده های ضروری بسته های IP رمزگذاری می شوند. با این ویژگی، دستگاه می تواند مستقیم به رایانه ای وصل شود که در شبکه خصوصی مجازی (VPN) مشابه ای است. نیازمندی های سیستم را بررسی کنید (عملکردهای مدیریت) و قبل از پیکربندی دستگاه، پیکربندی لازم را در رایانه تنظیم کنید.
|
|
استفاده از IPSec با فیلتر آدرس IPتنظیمات فیلتر آدرس IP قبل از سیاست های IPSec اعمال می شود. تعیین آدرس های IP برای تنظیمات دیوارهای آتش
|
پیکربندی تنظیمات IPSec
قبل از استفاده از IPSec برای ارتباط رمزگذاری شده، لازم است سیاست های امنیتی SP را ثبت کنید. سیاست امنیتی شامل گروه های تنظیمات توضیح داده شده در زیر است. بعد از ثبت سیاست ها، ترتیب اعمال شدن آنها را مشخص کنید.
انتخاب کننده
انتخاب کننده شرایط را برای بسته های IP جهت اعمال ارتباط IPSec مشخص می کند. شرایط قابل انتخاب شامل آدرس های IP و شماره های درگاه دستگاه و دستگاه هایی که با آنها ارتباط دارد می شود.
IKE
IKE به پیکربندی IKEv1 می پردازد که برای پروتکل تبادل کلید استفاده می شود. توجه داشته باشید بسته به روش تأیید اعتبار انتخاب شده، دستورالعمل ها فرق دارند.
[Pre-Shared Key Method]
این روش تأیید اعتبار از کلمه کلید مشترک که کلید مشترک نامیده می شود برای ارتباط بین دستگاه و سایر دستگاه ها استفاده می کند. قبل از تعیین این روش تأیید اعتبار، TLS را برای Remote UI (واسط کاربر از راه دور) فعال کنید (پیکربندی کلید و گواهی برای TLS).
این روش تأیید اعتبار از کلمه کلید مشترک که کلید مشترک نامیده می شود برای ارتباط بین دستگاه و سایر دستگاه ها استفاده می کند. قبل از تعیین این روش تأیید اعتبار، TLS را برای Remote UI (واسط کاربر از راه دور) فعال کنید (پیکربندی کلید و گواهی برای TLS).
[Digital Signature Method]
دستگاه و سایر دستگاه ها با تأیید متقابل امضاهای دیجیتال خود یکدیگر را تأیید اعتبار می کنند. از قبل کلید و گواهی را ایجاد و نصب کنید (ثبت کلید و گواهی برای ارتباط شبکه).
دستگاه و سایر دستگاه ها با تأیید متقابل امضاهای دیجیتال خود یکدیگر را تأیید اعتبار می کنند. از قبل کلید و گواهی را ایجاد و نصب کنید (ثبت کلید و گواهی برای ارتباط شبکه).
AH/ESP
تنظیمات را برای AH/ESP مشخص کنید که در مدت ارتباط IPSec به بسته ها اضافه می شوند. می توانید هم زمان از AH و ESP استفاده کنید. همینطور می توانید مشخص کنید آیا PFS برای امنیت بیشتر فعال شود یا خیر.
|
|
|
برای اطلاعات بیشتر درباره عملیات های اصلی که باید زمان تنظیم دستگاه از Remote UI (واسط کاربر از راه دور) انجام شود، به تنظیم گزینه های منو از Remote UI (واسطه کاربر از راه دور) مراجعه کنید.
|
1
Remote UI (واسط کاربر از راه دور) را راه اندازی کرده و وارد حالت مدیر سیستم شوید. راه اندازی Remote UI (واسط کاربر از راه دور)
2
در صفحه پورتال روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
[Network Settings] 
[IPSec Settings] را انتخاب کنید.
[IPSec Settings] را انتخاب کنید.4
روی [Edit] کلیک کنید.
5
کادر انتخاب [Use IPSec] را علامت بزنید و روی [OK] کلیک کنید.
اگر می خواهید دستگاه فقط بسته هایی را دریافت کند که با یکی از سیاست های امنیتی که در مراحل زیر تعیین می کنید مطابقت دارد، علامت کادر انتخاب [Receive Non-Policy Packets] را بردارید.
6
روی [Register New Policy] کلیک کنید.
7
تنظیمات سیاست را مشخص کنید.
|
1
|
در کادر متنی [Policy Name]، نویسه های عددی حرفی را برای نامی که برای تعیین سیاست استفاده می شود وارد کنید.
|
|
2
|
کادر انتخاب [Enable Policy] را علامت بزنید.
|
8
تنظیمات انتخاب کننده را مشخص کنید.
[Local Address]
روی دکمه رادیویی برای نوع آدرس IP دستگاه کلیک کنید تا سیاست اعمال شود.
روی دکمه رادیویی برای نوع آدرس IP دستگاه کلیک کنید تا سیاست اعمال شود.
|
[All IP Addresses]
|
انتخاب کنید از IPSec برای همه بسته های IP استفاده شود.
|
|
[IPv4 Address]
|
انتخاب کنید از IPSec برای همه بسته های IP که از آدرس IPv4 دستگاه یا به آن ارسال می شود استفاده شود.
|
|
[IPv6 Address]
|
انتخاب کنید از IPSec برای همه بسته های IP که از آدرس IPv6 دستگاه یا به آن ارسال می شود استفاده شود.
|
[Remote Address]
روی دکمه رادیویی برای نوع آدرس IP سایر دستگاه ها کلیک کنید تا سیاست اعمال شود.
روی دکمه رادیویی برای نوع آدرس IP سایر دستگاه ها کلیک کنید تا سیاست اعمال شود.
|
[All IP Addresses]
|
انتخاب کنید از IPSec برای همه بسته های IP استفاده شود.
|
|
[All IPv4 Addresses]
|
انتخاب کنید از IPSec برای همه بسته های IP که از آدرس IPv4 سایر دستگاه ها یا به آنها ارسال می شود استفاده شود.
|
|
[All IPv6 Addresses]
|
انتخاب کنید از IPSec برای همه بسته های IP که از آدرس IPv6 سایر دستگاه ها یا به آنها ارسال می شود استفاده شود.
|
|
[IPv4 Manual Settings]
|
انتخاب کنید یک آدرس IPv4 تکی یا یک محدوده از آدرس های IPv4 برای اعمال IPSec مشخص شود. آدرس IPv4 (یا محدوده) را در کادر متنی [Addresses to Set Manually] وارد کنید.
|
|
[IPv6 Manual Settings]
|
انتخاب کنید یک آدرس IPv6 تکی یا یک محدوده از آدرس های IPv6 برای اعمال IPSec مشخص شود. آدرس IPv6 (یا محدوده) را در کادر متنی [Addresses to Set Manually] وارد کنید.
|
[Addresses to Set Manually]
اگر [IPv4 Manual Settings] یا [IPv6 Manual Settings] برای [Remote Address] انتخاب شود، آدرس IP را برای اعمال سیاست وارد کنید. همینطور می توانید یک مجموعه ای از آدرس ها را با قرار دادن یک خط تیره بین آدرس وارد کنید.
اگر [IPv4 Manual Settings] یا [IPv6 Manual Settings] برای [Remote Address] انتخاب شود، آدرس IP را برای اعمال سیاست وارد کنید. همینطور می توانید یک مجموعه ای از آدرس ها را با قرار دادن یک خط تیره بین آدرس وارد کنید.
وارد کردن آدرس های IP
|
توضیحات
|
مثال
|
|
|
وارد کردن آدرس تکی
|
IPv4:
اعداد را با نقطه تعیین کنید. |
192.168.0.10
|
|
IPv6:
نویسه های عددی حرفی را با دو نقطه تعیین کنید. |
fe80::10
|
|
|
تعیین محدوده آدرس ها
|
یک خط تیره بین آدرس ها وارد کنید.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
زمانی که به صورت دستی آدرس IPv4 را مشخص می کنید، می توانید محدوده را با استفاده از پوشش شبکه فرعی مشخص کنید. پوشش شبکه فرعی را با استفاده از نقطه برای تعیین اعداد (مثلاً "255.255.255.240") وارد کنید.
زمانی که به صورت دستی آدرس IPv4 را مشخص می کنید، می توانید محدوده را با استفاده از پوشش شبکه فرعی مشخص کنید. پوشش شبکه فرعی را با استفاده از نقطه برای تعیین اعداد (مثلاً "255.255.255.240") وارد کنید.
[Prefix Length]
تعیین دستی محدوده آدرس های IPv6 به شما اجازه می دهد محدوده را با استفاده از پیشوندها مشخص کنید. محدوده ای بین 0 و 128 به عنوان طول پیشوند وارد کنید.
تعیین دستی محدوده آدرس های IPv6 به شما اجازه می دهد محدوده را با استفاده از پیشوندها مشخص کنید. محدوده ای بین 0 و 128 به عنوان طول پیشوند وارد کنید.
[Local Port]/[Remote Port]
اگر می خواهید سیاست های جداگانه ای را برای هر پروتکل ایجاد کنید مانند HTTP یا WSD، روی دکمه رادیو [Single Port] کلیک کنید و شماره درگاه مناسب برای پروتکل جهت استفاده از IPSec را وارد کنید.
اگر می خواهید سیاست های جداگانه ای را برای هر پروتکل ایجاد کنید مانند HTTP یا WSD، روی دکمه رادیو [Single Port] کلیک کنید و شماره درگاه مناسب برای پروتکل جهت استفاده از IPSec را وارد کنید.
IPSec برای بسته های زیر اعمال نمی شود
بسته های پخش، چندتایی و حلقه برگشتی
بسته های IKE (استفاده از UDP در درگاه 500)
بسته های تبلیغات مجاور و درخواست مجاور ICMPv6
9
تنظیمات IKE را مشخص کنید.
[IKE Mode]
حالت استفاده شده برای پروتکل تبادل کلید نشان داده می شود. دستگاه از حالت اصلی و نه حالت تهاجمی پشتیبانی می کند.
حالت استفاده شده برای پروتکل تبادل کلید نشان داده می شود. دستگاه از حالت اصلی و نه حالت تهاجمی پشتیبانی می کند.
[Authentication Method]
[Pre-Shared Key Method] یا [Digital Signature Method] را برای روش استفاده شده زمان تأیید اعتبار دستگاه انتخاب کنید. لازم است قبل از انتخاب [Pre-Shared Key Method] TLS را برای Remote UI (واسط کاربر از راه دور) فعال کنید. لازم است قبل از انتخاب [Digital Signature Method]، کلید و گواهی را ایجاد و نصب کنید. پیکربندی کلید و گواهی برای TLS
[Pre-Shared Key Method] یا [Digital Signature Method] را برای روش استفاده شده زمان تأیید اعتبار دستگاه انتخاب کنید. لازم است قبل از انتخاب [Pre-Shared Key Method] TLS را برای Remote UI (واسط کاربر از راه دور) فعال کنید. لازم است قبل از انتخاب [Digital Signature Method]، کلید و گواهی را ایجاد و نصب کنید. پیکربندی کلید و گواهی برای TLS
[Valid for]
مشخص کنید جلسه برای IKE SA (ISAKMP SA) چقدر طول بکشد. زمان را به دقیقه وارد کنید.
مشخص کنید جلسه برای IKE SA (ISAKMP SA) چقدر طول بکشد. زمان را به دقیقه وارد کنید.
[Authentication]/[Encryption]/[DH Group]
یک الگوریتم از لیست کشویی انتخاب کنید. هر الگوریتم در تبادل کلید استفاده می شود.
یک الگوریتم از لیست کشویی انتخاب کنید. هر الگوریتم در تبادل کلید استفاده می شود.
|
[Authentication]
|
الگوریتم هش را انتخاب کنید.
|
|
[Encryption]
|
الگوریتم رمزگذاری را انتخاب کنید.
|
|
[DH Group]
|
گروه دیفی هلمن که قدرت کلید را مشخص می کند انتخاب کنید.
|
تأیید اعتبار دستگاه با استفاده از کلید از قبل مشترک
|
1
|
بر روی دکمه رادیویی [Pre-Shared Key Method] برای [Authentication Method] و سپس بر روی [Shared Key Settings] کلیک کنید.
|
|
2
|
نویسه های عددی حرفی را برای کلید از قبل مشترک وارد کرده و روی [OK] کلیک کنید.
|
|
3
|
تنظیمات [Valid for] و [Authentication]/[Encryption]/[DH Group] را مشخص کنید.
|
تأیید اعتبار دستگاه با استفاده از روش امضای دیجیتال
|
1
|
بر روی دکمه رادیویی [Digital Signature Method] برای [Authentication Method] و سپس بر روی [Key and Certificate] کلیک کنید.
|
|
2
|
روی [Register Default Key] در سمت راست کلید و گواهی که می خواهید استفاده کنید کلیک کنید.
مشاهده جزئیات گواهی
می توانید جزئیات گواهی را بررسی کنید یا گواهی را از طریق کلیک بر روی لینک متنی مربوطه از قسمت [Key Name] یا نماد گواهی مورد بررسی قرار دهید.
|
|
3
|
تنظیمات [Valid for] و [Authentication]/[Encryption]/[DH Group] را مشخص کنید.
|
10
تنظیمات شبکه IPSec را مشخص کنید.
[Use PFS]
کادر انتخاب را برای فعال کردن پنهان کاری کامل رو به جلو (PFS) برای کلیدهای جلسه IPSec علامت بزنید. فعال کردن PFS زمان افزایش بار در ارتباط، امنیت را افزایش می دهد. دقت کنید PFS برای سایر دستگاه ها نیز فعال شود.
کادر انتخاب را برای فعال کردن پنهان کاری کامل رو به جلو (PFS) برای کلیدهای جلسه IPSec علامت بزنید. فعال کردن PFS زمان افزایش بار در ارتباط، امنیت را افزایش می دهد. دقت کنید PFS برای سایر دستگاه ها نیز فعال شود.
[Specify by Time]/[Specify by Size]
شرایط را برای به پایان رساندن جلسه برای IPSec SA تنظیم کنید. IPSec SA به عنوان تونل ارتباطی استفاده می شود. در صورت نیاز هر کدام از کادرهای انتخاب یا هر دو را علامت بزنید. اگر هر دو کادر انتخاب را علامت بزنید، در صورت مساعد شدن هر کدام از شرایط، جلسه IPSec SA به پایان می رسد.
شرایط را برای به پایان رساندن جلسه برای IPSec SA تنظیم کنید. IPSec SA به عنوان تونل ارتباطی استفاده می شود. در صورت نیاز هر کدام از کادرهای انتخاب یا هر دو را علامت بزنید. اگر هر دو کادر انتخاب را علامت بزنید، در صورت مساعد شدن هر کدام از شرایط، جلسه IPSec SA به پایان می رسد.
|
[Specify by Time]
|
برای تعیین مدت زمان جلسه، زمان را به دقیقه وارد کنید.
|
|
[Specify by Size]
|
برای تعیین اینکه چه مقدار داده می تواند در یک جلسه منتقل شود اندازه را به مگابایت وارد کنید.
|
[Select Algorithm]
کادرهای انتخاب [ESP]، [ESP (AES-GCM)] یا [AH (SHA1)] را بسته به عنوان IPSec و الگوریتم استفاده شده علامت بزنید. AES-GCM یک الگوریتم برای تأیید اعتبار و رمزگذاری است. اگر [ESP] انتخاب شود، الگوریتم های تأیید اعتبار و رمزگذاری را از لیست های کشویی [ESP Authentication] و [ESP Encryption] انتخاب کنید.
کادرهای انتخاب [ESP]، [ESP (AES-GCM)] یا [AH (SHA1)] را بسته به عنوان IPSec و الگوریتم استفاده شده علامت بزنید. AES-GCM یک الگوریتم برای تأیید اعتبار و رمزگذاری است. اگر [ESP] انتخاب شود، الگوریتم های تأیید اعتبار و رمزگذاری را از لیست های کشویی [ESP Authentication] و [ESP Encryption] انتخاب کنید.
|
[ESP Authentication]
|
برای فعال کردن تأیید اعتبار ESP [SHA1] را برای الگوریتم هش انتخاب کنید. [Do Not Use] را انتخاب کنید اگر می خواهید تأیید اعتبار ESP را غیرفعال کنید.
|
|
[ESP Encryption]
|
الگوریتم رمزگذاری را برای ESP انتخاب کنید. می توانید [NULL] را انتخاب کنید اگر نمی خواهید الگوریتم را مشخص کنید، یا [Do Not Use] را انتخاب کنید اگر می خواهید رمزگذاری ESP را غیرفعال کنید.
|
[Connection Mode]
حالت اتصال IPSec نشان داده می شود. دستگاه از حالت انتقال پشتیبانی می کند، که در آن داده های ضروری بسته های IP رمزگذاری می شوند. حالت تونل، که در آن همه بسته های IP (عناوین و داده های ضروری) محصور شده اند موجود نیست.
حالت اتصال IPSec نشان داده می شود. دستگاه از حالت انتقال پشتیبانی می کند، که در آن داده های ضروری بسته های IP رمزگذاری می شوند. حالت تونل، که در آن همه بسته های IP (عناوین و داده های ضروری) محصور شده اند موجود نیست.
11
روی [OK] کلیک کنید.
اگر لازم است سیاست امنیتی دیگری ثبت کنید، به مرحله 6 برگردید.
12
ترتیب سیاست های لیست شده را از قسمت [Registered IPSec Policies] مشخص کنید.
سیاست ها از بالاترین تا پایین ترین موقعیت اعمال می شوند. روی [Up] یا [Down] برای بالا یا پایین بردن سیاست در لیست کلیک کنید.
ویرایش سیاست
روی لینک متنی مربوطه از قسمت [Policy Name] برای ویرایش صفحه کلیک کنید.
حذف سیاست
روی [Delete] در سمت راست نام سیاست که می خواهید ان را حذف کنید کلیک کنید روی [OK] کلیک کنید.
روی [OK] کلیک کنید.13
دستگاه را مجدداً راهاندازی کنید. نحوه راهاندازی مجدد دستگاه
|
|
استفاده از پانل عملیاتهمینطور می توانید ارتباط IPSec را از <Menu> در صفحه Home فعال یا غیرفعال کنید. <Use IPSec>
|