IPSec-asetusten määrittäminen
Internet Protocol Security (IPSec tai IPsec) on protokolla verkossa siirrettävien tietojen salaamiseen, mukaan lukien Internet-verkot. Siinä missä TLS salaa vain tietyn sovelluksen, kuten web-selaimen tai sähköpostisovelluksen käyttämät tiedot, IPSec salaa kaikki IP-paketit tai IP-pakettivirrat ja tarjoaa näin monipuolisemman suojausjärjestelmän. Laitteen IPSec-toiminto toimii siirtotilassa, jossa IP-pakettien virrat salataan. Tämän ominaisuuden avulla laite voi ottaa yhteyden suoraan tietokoneeseen, joka on samassa VPN (virtual private network) -verkossa. Aseta vaadittu kokoonpano tietokoneeseen ennen laitteen määrittämistä.
|
IPSec-toiminnon käyttäminen IP-osoitesuodattimen kanssaPaketin vastaanoton aikana käytetään IPSec-asetuksia ennen IP-osoitteen suodatusasetuksia, kun taas paketin lähetyksen aikana käytetään IP-osoitteen asetuksia ennen IPSec-asetuksia. IP-osoitteiden määrittäminen palomuurisääntöihin |
Suojauskäytäntöjen tallentaminen
Kun IPSec-protokollaa halutaan käyttää salattuun tiedonsiirtoon, suojauskäytännöt (SP) täytyy tallentaa ennen IPSec-asetusten ottamista käyttöön (IPSec-tiedonsiirron ottaminen käyttöön). Suojauskäytäntö koostuu ryhmästä asetuksia alla kuvatun mukaisesti. Voit tallentaa useita käytäntöjä IP-osoitteen ja portin numeron yhdistelmän mukaan. Määritä käytäntöjen tallentamisen jälkeen järjestys, jossa niitä käytetään.
Valitsin
Valitsin määrittää IP-pakettien ehdot, kun käytetään IPSec-tiedonsiirtoa. Valittavissa oleviin ehtoihin sisältyvät laitteen IP-osoitteet ja porttinumerot sekä laitteet joiden kanssa kommunikoidaan.
IKE
IKE määrittää IKEv1:n, jota käytetään avaimenvaihtoprotokollana. Huomaa, että ohjeet vaihtelevat valitun todennustavan mukaan.
[Esijaettu avain -menetelmä]
Aakkosnumeerisista merkeistä muodostuva avain voidaan jakaa muiden laitteiden kanssa. Ota TLS käyttöön etäkäyttöliittymässä ennen tätä (TLS:n käyttäminen salattuun tiedonsiirtoon).
Aakkosnumeerisista merkeistä muodostuva avain voidaan jakaa muiden laitteiden kanssa. Ota TLS käyttöön etäkäyttöliittymässä ennen tätä (TLS:n käyttäminen salattuun tiedonsiirtoon).
[Digitaalinen allekirjoitus -menetelmä]
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Pidä avainpari käyttövalmiina (CA:n myöntämien avainparien ja digitaalisten varmenteiden käyttäminen).
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Pidä avainpari käyttövalmiina (CA:n myöntämien avainparien ja digitaalisten varmenteiden käyttäminen).
Protokollien ja asetusten määrittäminen
Määritä asetukset ESP:lle ja AH:lle, jotka lisätään paketteihin IPSec-tiedonsiirron aikana. AH:ta ja ESP:tä ei voi käyttää yhtä aikaa. Voit myös valita, otatko PFS:n käyttöön turvallisuuden parantamiseksi.
1
Käynnistä etäkäyttöliittymä ja kirjaudu sisään hallintatilassa. Etäkäyttöliittymän käynnistäminen
2
Valitse [Asetukset/Tallennus].
3
Napsauta [Turva] 
[IPSec-asetukset].
[IPSec-asetukset].
4
Valitse [IPSec-toimintaohjelista].
5
Valitse [Tallenna IPSec-toimintaohje].
6
Syötä käytännön nimi kohtaan [Toimintaohjeen nimi] ja valitse [Ota käyttöön toimintaohje]-valintaruutu.
[Toimintaohjeen nimi]
Syötä aakkosnumeerisilla merkeillä nimi, jota käytetään käytännön tunnistamiseen.
Syötä aakkosnumeerisilla merkeillä nimi, jota käytetään käytännön tunnistamiseen.
[Ota käyttöön toimintaohje]
Valitse valintaruutu, kun haluat ottaa käytännön käyttöön. Jos käytäntöä ei käytetä, tyhjennä valintaruutu.
Valitse valintaruutu, kun haluat ottaa käytännön käyttöön. Jos käytäntöä ei käytetä, tyhjennä valintaruutu.
7
Määritä valitsimen asetukset.
[Paikallinen osoite]
Valitse seuraavasta luettelosta laitteen IP-osoitetyyppi, johon käytäntöä käytetään.
Valitse seuraavasta luettelosta laitteen IP-osoitetyyppi, johon käytäntöä käytetään.
[Kaikki IP-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin. |
[IPv4-osoite] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv4-osoitteesta. |
[IPv6-osoite] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv6-osoitteesta. |
[IPv4:n manuaaliset asetukset] | Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun. |
[IPv6:n manuaaliset asetukset] | Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun. |
[Manuaalisesti asetettavat osoitteet]
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Paikallinen osoite], syötä IP-osoite, johon käytäntöä käytetään.
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Paikallinen osoite], syötä IP-osoite, johon käytäntöä käytetään.
[Aliverkon asetukset]
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
[Etäosoite]
Valitse alla olevasta luettelosta muiden laitteiden IP-osoitetyyppi, johon käytäntöä käytetään.
Valitse alla olevasta luettelosta muiden laitteiden IP-osoitetyyppi, johon käytäntöä käytetään.
[Kaikki IP-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin. |
[Kaikki IPv4-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan IPv4-osoitteesta. |
[Kaikki IPv6-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan IPv6-osoitteesta. |
[IPv4:n manuaaliset asetukset] | Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun. |
[IPv6:n manuaaliset asetukset] | Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun. |
[Manuaalisesti asetettavat osoitteet]
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Etäosoite], syötä IP-osoite, johon käytäntöä käytetään.
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Etäosoite], syötä IP-osoite, johon käytäntöä käytetään.
[Aliverkon asetukset]
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
[Paikallinen portti]/[Etäportti]
Jos haluat luoda erilliset toimintaohjeet kullekin protokollalle, kuten HTTP tai SMTP, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
Jos haluat luoda erilliset toimintaohjeet kullekin protokollalle, kuten HTTP tai SMTP, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
IPSec-toimintoa ei käytetä paketteihin, joilla on määritetty monilähetys- tai lähetysosoite.
8
Määritä IKE-asetukset.
[IKE-tila]
Avaintenvaihtoprotokollalle käytetty tila näytetään. Valitse yleensä päätila.
Valitse aggressiivinen tila, jos IP-osoite ei ole kiinteä. Huomaa, että suojaus on aggressiivisessa tilassa heikompi kuin päätilassa.
[AUTENT.-menetelmä]
Valitse laitteen todentamiseen käytettäväksi tavaksi [Esijaettu avain -menetelmä] tai [Digitaalinen allekirjoitus -menetelmä].
Valitse laitteen todentamiseen käytettäväksi tavaksi [Esijaettu avain -menetelmä] tai [Digitaalinen allekirjoitus -menetelmä].
Kun kohdassa [IKE-tila] on valittu aggressiivinen tila, [Esijaettu avain -menetelmä]-asetus ei salaa jaettua avainta.
[Autentikointi/Salausalgoritmi]
Jos haluat asettaa avaimen vaihtoon käytettävän algoritmin automaattisesti, valitse [Automaattinen]-valintaruutu. Jos valintaruutu valitaan, algoritmi asetetaan kuten alla.
Jos haluat asettaa avaimen vaihtoon käytettävän algoritmin automaattisesti, valitse [Automaattinen]-valintaruutu. Jos valintaruutu valitaan, algoritmi asetetaan kuten alla.
[Autentikointi] | [SHA1 ja MD5] |
[Salaus] | [3DES-CBC ja AES-CBC] |
[DH-ryhmä] | [Ryhmä 2 (1024)] |
Jos haluat asettaa algoritmin manuaalisesti, tyhjennä valintaruutu ja valitse algoritmi.
[Autentikointi] | Valitse hash-algoritmi. |
[Salaus] | Valitse salausalgoritmi. |
[DH-ryhmä] | Valitse Diffie-Hellman-ryhmä, joka määrittää avaimen vahvuuden. |
[Esijaettu avain -menetelmä] -ominaisuuden käyttäminen todennukseen
1 | Valitse [Esijaettu avain -menetelmä] kohdassa [AUTENT.-menetelmä] ja napsauta [Jaetut avainasetukset]. |
2 | Syötä esijaettu avain aakkosnumeerisilla merkeillä ja napsauta [OK].  |
[Digitaalinen allekirjoitus -menetelmä] -ominaisuuden käyttäminen todennukseen
1 | Valitse [Digitaalinen allekirjoitus -menetelmä] kohdassa [AUTENT.-menetelmä] ja napsauta [Avain ja varmenne]. |
2 | Valitse avainpari, jota haluat käyttää, ja napsauta [Oletusavainasetukset].  Avainparin tai varmenteen tietojen näyttäminen Voit tarkistaa varmenteen tiedot tai varmistaa varmenteen napsauttamalla kohdan [Avaimen nimi] alla olevaa vastaavaa tekstilinkkiä tai varmenteen kuvaketta. Avainparien ja digitaalisten varmenteiden varmistaminen |
9
Määritä IPSec-verkkoasetukset.
[Käytä PFS:ää]
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (Perfect Forward Secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa. Jos FPS:ää ei käytetä, tyhjennä tämä valintaruutu.
[Voimassaolo]
Määritä, miten pitkään SA:ta käytetään tiedonsiirtotunnelina. Valitse [Määritä ajan mukaan]- tai [Määritä koon mukaan]-valintaruutu tai molemmat valintaruudut tarpeen mukaan. Jos valitaan molemmat valintaruudut, IPSec SA -istunto lopetetaan, kun jompikumpi ehdoista täyttyy.
Määritä, miten pitkään SA:ta käytetään tiedonsiirtotunnelina. Valitse [Määritä ajan mukaan]- tai [Määritä koon mukaan]-valintaruutu tai molemmat valintaruudut tarpeen mukaan. Jos valitaan molemmat valintaruudut, IPSec SA -istunto lopetetaan, kun jompikumpi ehdoista täyttyy.
[Määritä ajan mukaan] | Syötä istunnon keston aika minuutteina. Syötettyä aikaa käytetään sekä IPSec SA:lle että IKE SA:lle. |
[Määritä koon mukaan] | Syötä megatavuina tietomäärä, joka voidaan siirtää istunnon aikana. Syötettyä kokoa käytetään vain IPSec SA:lle. |
Jos valittiin vain [Määritä koon mukaan]-valintaruutu
IKE SA:n voimassaoloa ei voida määrittää koon mukaan, joten kohdan [Määritä ajan mukaan] alkuarvoa (480 minuuttia) käytetään.
[Autentikointi/Salausalgoritmi]
Valitse IPSec-tiedonsiirrossa käytettävä protokolla ja algoritmi.
Valitse IPSec-tiedonsiirrossa käytettävä protokolla ja algoritmi.
Yhteyden määrittäminen automaattisestiValitse [Automaattinen].
[ESP-autentikointi] | ESP on käytössä, ja todennusalgoritmiksi on valittu [SHA1 ja MD5]. |
[ESP-salaus] | ESP on käytössä, ja salausalgoritmiksi on valittu [3DES-CBC ja AES-CBC]. |
ESP:n käyttäminenValitse [ESP] ja valitse todennusalgoritmi ja salausalgoritmi.
[ESP-autentikointi] | Valitse ESP-todennuksessa käytettävä hajautusalgoritmi. |
[ESP-salaus] | Valitse ESP:n salausalgoritmi. |
AH:n käyttäminenValitse [AH] ja valitse AH-todennuksessa käytettävä hajautusalgoritmi kohdasta [AH-autentication].
[Kytkentätapa]
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
10
Valitse [OK].
Jos haluat tallentaa lisää suojauskäytäntöjä, palaa vaiheeseen 5.
11
Järjestä kohdassa [IPSec-toimintaohjelista] luetellut toimintaohjeet.
Toimintaohjeita käytetään ylhäältä alaspäin. Siirrä toimintaohjetta ylös tai alas järjestyksessä valitsemalla [Kohota etusijaisuutta] tai [Madalla etusijaisuutta].
Käytännön muokkaaminen
Voit muokata asetuksia napsauttamalla tekstilinkkiä kohdassa [Toimintaohjeen nimi].
Käytännön poistaminen
Napsauta poistettavan käytännön oikealla puolella [Poista].
12
Suorita laitteistokäynnistys.
Napsauta [Laitteen hallinta], valitse [Kova nollaus] ja napsauta sitten [Suorita].
Asetukset otetaan käyttöön laitteistokäynnistyksen jälkeen.
IPSec-tiedonsiirron ottaminen käyttöön
Kun suojauskäytännöt on tallennettu, ota IPSec-tiedonsiirto käyttöön.
1
Käynnistä etäkäyttöliittymä ja kirjaudu sisään hallintatilassa. Etäkäyttöliittymän käynnistäminen
2
Valitse [Asetukset/Tallennus].
3
Napsauta [Turva] [IPSec-asetukset].
[IPSec-asetukset].4
Valitse [Muokkaa].
5
Valitse [Käytä IPSec-muotoa] -valintaruutu ja valitse [OK].
[Käytä IPSec-muotoa]
Valitse valintaruutu, jos laitteessa käytetään IPSec-käytäntöä. Jos sitä ei käytetä, tyhjennä valintaruutu.
[Epätavallisten pakettien vastaanotto]
Jos valintaruutu valitaan, kun käytetään IPSec-tiedonsiirtoa, myös paketit, jotka eivät ole käytettävissä tallennetuille käytännöille, lähetetään/vastaanotetaan. Voit poistaa tällaisten pakettien vastaanottamisen/lähettämisen käytöstä tyhjentämällä valintaruudun.
Jos valintaruutu valitaan, kun käytetään IPSec-tiedonsiirtoa, myös paketit, jotka eivät ole käytettävissä tallennetuille käytännöille, lähetetään/vastaanotetaan. Voit poistaa tällaisten pakettien vastaanottamisen/lähettämisen käytöstä tyhjentämällä valintaruudun.
6
Suorita laitteistokäynnistys.
Napsauta [Laitteen hallinta], valitse [Kova nollaus] ja napsauta sitten [Suorita].
Asetukset otetaan käyttöön laitteistokäynnistyksen jälkeen.
|
Käyttöpaneelin käyttäminenVoit ottaa IPSec-tiedonsiirron käyttöön tai pois käytöstä myös käyttöpaneelin asetusvalikosta. IPSec |