配置IPSec设置

通过使用IPSec,可以防止第三方截取或篡改在IP网络上传输的IP数据包。由于IPSec为IP (一种用于互联网的基本协议套件)添加了安全功能,因此IPSec可以不依赖于应用程序或网络配置提供安全性。要与本机进行IPSec通信,必须配置的设置包括应用程序参数以及用于认证和加密的算法。配置这些设置需要“管理员”或“网络管理员”权限。
通信模式
本机仅支持IPSec通信的传输模式。因此,认证和加密仅适用于IP数据包的数据部分。
密钥交换协议
本机支持基于“Internet安全关联和密钥管理协议(ISAKMP)”的“Internet密钥交换版本1(IKEv1)”用于交换密钥。对于认证方法,可以设置预共享密钥方法或数字签名方法。
设置预共享密钥方法时,需要预先确定密码(预共享密钥),此密码在本机与IPSec通信对等方之间使用。
设置数字签名方法时,使用CA证书和PKCS#12格式的密钥和证书在本机与IPSec通信对等方之间执行相互认证。有关注册新CA证书或密钥/证书的详细信息,请参阅注册用于网络通信的密钥和证书。请注意,使用此方法前必须为本机配置SNTP。 设置SNTP
不管IPSec通信的<以FIPS 140-2作为加密方法的格式>设置是什么,将使用已经获得FIPS140-2认证的加密模块。
为了使IPSec通信符合FIPS 140-2要求,必须在本机所属的网络环境中将IPSec通信的DH和RSA密钥长度设为2048位或更长。
只能从本机指定DH密钥长度。
配置您的环境时要做记录,因为本机中没有RSA的设置。
安全策略最多可以注册 10 项。
1
 (设置/注册)。
2
按<参数选择>  <网络>  <TCP/IP设置>  <IPSec设置>。
3
将<使用IPSec>设置为<打开>,然后按<注册>。
4
指定策略名称。
按<策略名称>,输入名称,然后按<确定>。
佳能多功能打印机支持两种AES加密方式的密钥长度:128位和256位。若要将密钥长度限制为256位并符合CC认证方法,请将<仅允许AES密钥长度为256-bit>设置为<打开>。
5
配置IPSec应用程序参数。
1
按<选择器设置>。
2
指定要应用IPSec策略的IP地址。
在<本地地址>中指定本机的IP地址,在<远程地址>中指定通信对等方的IP地址。

<全部IP地址>
IPSec应用于所有发送和接收的IP数据包。
<IPv4地址>
IPSec应用于发送至本机的IPv4地址和从本机的IPv4地址接收的IP数据包。
<IPv6地址>
IPSec应用于发送至本机的IPv6地址和从本机的IPv6地址接收的IP数据包。
<全部IPv4地址>
IPSec应用于发送至通信对等方的IPv4地址和从通信对等方的IPv4地址接收的IP数据包。
<全部IPv6地址>
IPSec应用于发送至通信对等方的IPv6地址和从通信对等方的IPv6地址接收的IP数据包。
<IPv4手动设置>
指定要应用IPSec的IPv4地址。
选择<单地址>输入单个IPv4地址。
选择<地址范围>指定IPv4地址范围。在<首地址>和<末地址>中分别输入地址。
选择<子网设置>指定使用子网掩码的IPv4地址范围。在<地址>和<子网掩码>中分别输入值。
<IPv6手动设置>
指定要应用IPSec的IPv6地址。
选择<单地址>输入单个IPv6地址。
选择<地址范围>指定IPv6地址范围。在<首地址>和<末地址>中分别输入地址。
选择<指定前缀>指定使用前缀的IPv6地址范围。在<地址>和<前缀长度>中分别输入值。
3
指定要应用IPSec的端口。
按<通过端口号指定>以在指定应用IPSec的端口时使用端口号。选择<全部端口>对所有端口号应用IPSec。要对特定端口号应用IPSec,按<单端口>并输入端口号。指定端口后,按<确定>。在<本地端口>中指定本机的端口,在<远程端口>中指定通信对等方的端口。
按<通过服务名称指定>以在指定应用IPSec的端口时使用服务名称。在列表中选择服务,按<服务打开/关闭>将其设置为<打开>,然后按<确定>。
4
按<确定>。
6
配置认证和加密设置。
1
按<IKE设置>。
2
配置必要的设置。
<IKE模式>
选择密钥交换协议的操作模式。如果操作模式设置为<主要>,安全性将因对IKE会话本身进行加密而得到增强,但与<挑战>(不执行加密)相比,会给通信带来更高的负荷。
<有效期>
设置所生成的IKE SA的有效期。
<认证方法>
选择以下所述的一种认证方法。
<预共享密钥方法>
设置与通信对等方相同的密码(预共享密钥)。按<共享密钥>,输入要用作预共享密钥的字符串,然后按<确定>。
<数字签名方法>
设置用于与通信对等方相互认证的密钥和证书。按<密钥和证书>,选择要使用的密钥和证书,然后按<设置为默认密钥>  <是>  <确定>。
<认证/加密算法>
选择<自动>或<手动设置>设置如何为IKE阶段1指定认证和加密算法。如果选择<自动>,则会自动设置可用于本机和通信对等方的算法。如果要指定特定算法,选择<手动设置>并配置以下设置。
<认证>
选择哈希算法。
<加密>
选择加密算法。
<DH组>
为Diffie-Hellman密钥交换方法选择组以设置密钥强度。
3
按<确定>。
如果在<IKE设置>屏幕中将<IKE模式>设置为<主要>,并且将<认证方法>设置为<预共享密钥方法>,在注册多项安全策略时,将应用以下限制。
预共享密钥方法:当指定多个采用安全策略的远程 IP 地址时,该安全策略对应的所有共享密钥均相同(不适用于指定单个地址时的情况)。
优先级:当指定多个采用安全策略的远程 IP 地址时,该安全策略对应的优先级低于为单个地址指定的安全策略。
7
配置IPSec通信设置。
1
按<IPSec网络设置>。
2
配置必要的设置。
<有效期>
设置所生成的IKE SA的有效期。请确保设置了<时间>或<尺寸>。如果同时设置了两个,则以先到的为准。
<PFS>
如果将“完全前向保密(PFS)”功能设置为<打开>,则加密密钥的保密性增强但通信速度降低。此外,必须在通信对等方设备上启用PFS功能。
<认证/加密算法>
选择<自动>或<手动设置>设置如何为IKE阶段2指定认证和加密算法。如果选择<自动>,则会自动设置ESP认证和加密算法。如果要指定特定认证方法,按<手动设置>,然后选择以下一种认证方法。
<ESP>
同时执行认证和加密。选择<ESP认证>和<ESP加密>的算法。如果不想设置认证或加密算法,选择<空>。
<ESP(AES-GCM)>
使用AES-GCM作为ESP算法,且同时执行认证和加密。
<AH (SHA1)>
执行认证,但不加密数据。使用SHA1算法。
3
按<确定>  <确定>。
8
启用注册的策略并检查优先级顺序。
从列表中选择注册的策略,然后按<策略打开/关闭>将其设置为<打开>。
策略按所列顺序自上而下进行应用。如果要更改优先级顺序,从列表中选择策略,然后按<提高优先级>或<降低优先级>。
如果不想发送或接收不符合策略的数据包,请将<接收非策略数据包>选择为<拒绝>。
9
按<确定>。
10
按  (设置/注册)   (设置/注册) <应用设置更改>  <是>。
管理IPSec策略
可以在步骤3中显示的屏幕上编辑策略。
要编辑策略详细信息,从列表中选择策略,然后按<编辑>。
要禁用策略,从列表中选择策略,然后按<策略打开/关闭>。
要删除策略,从列表中选择策略,然后按 <删除><是>。
6CRX-0E2