IPSec iestatījumu konfigurēšana
Interneta protokolu drošība (Internet Protocol Security) (IPSec vai IPsec) ir protokolu komplekts, kas paredzēts tīklā (arī interneta tīklos) pārsūtīto datu šifrēšanai. TLS šifrē tikai konkrētā lietojumprogrammā, piemēram, tīmekļa pārlūkprogrammā vai e-pasta lietojumprogrammā, izmantotos datus, taču IPSec šifrē vai nu visus IP pakešdatus, vai IP pakešdatu vērtumus, sniedzot daudzpusīgāku drošības sistēmu. Iekārtas IPSec darbojas transportēšanas režīmā, un tajā tiek šifrēti IP pakešu vērtumi. Izmantojot šo funkciju, iekārta nevar tieši izveidot savienojumu ar datoru, kas atrodas tajā pašā virtuālajā privātajā tīklā (VPN). Pirms iekārtas konfigurēšanas datorā iestatiet nepieciešamo konfigurāciju.
|
IPSec izmantošana ar IP adreses filtruIPSec iestatījumi tiek piemēroti pirms IP adrešu filtrēšanas iestatījumiem pakešdatu saņemšanas laikā, bet IP adreses iestatījumi tiek piemēroti pirms IPSec iestatījumiem, pārsūtot pakešdatus. Ugunsmūra kārtulu IP adrešu norādīšana |
Drošības politiku reģistrēšana
Lai šifrētai saziņai izmantotu IPSec, pirms IPSec iestatījumu iespējošanas jāreģistrē drošības politikas (Security Policy, SP) (IPSec sakaru iespējošana). Drošības politika sastāv no tālāk aprakstīto iestatījumu grupām. Jūs varat reģistrēt vairākas politikas saskaņā ar IP adrešu un porta numuru kombinācijām. Pēc politiku reģistrēšanas norādiet to lietošanas secību.
Atlasītājs
Atlasītājs nosaka nosacījumus, kādos IP pakešdatos tiek lietoti IPSec sakari. Nosacījumi, kurus var izvēlēties, ietver iekārtas IP adreses un portu numurus, kā arī ierīces, ar kurām veidot sakarus.
IKE
IKE konfigurē IKEv1, ko izmanto atslēgu apmaiņas protokolam. Ņemiet vērā, ka norādījumi atšķiras atkarībā no izvēlētās autentifikācijas metodes.
[Pre-Shared Key Method]
Atslēgu ar burtciparu rakstzīmēm var koplietot ar citām ierīcēm. Vispirms iespējojiet TLS utilītprogrammai Remote UI (Attālais lietotāja interfeiss) (TLS izmantošana šifrētai saziņai).
Atslēgu ar burtciparu rakstzīmēm var koplietot ar citām ierīcēm. Vispirms iespējojiet TLS utilītprogrammai Remote UI (Attālais lietotāja interfeiss) (TLS izmantošana šifrētai saziņai).
[Digital Signature Method]
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Sagatavojiet izmantošanai atslēgu pāri (CA izsniegto atslēgu pāru un digitālo sertifikātu izmantošana).
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Sagatavojiet izmantošanai atslēgu pāri (CA izsniegto atslēgu pāru un digitālo sertifikātu izmantošana).
Protokolu un iespēju iestatīšana
Norādiet ESP un AH iestatījumus, kas tiek pievienoti pakešdatiem IPSec sakaru laikā. ESP un AH nevar lietot vienlaikus. Varat arī izvēlēties, vai papildus drošībai iespējot PFS.
1
Startējiet utilītprogrammu Remote UI (Attālais lietotāja interfeiss) un piesakieties pārvaldības režīmā. Remote UI (Attālais lietotāja interfeiss) startēšana
2
Noklikšķiniet uz [Settings/Registration].
3
Noklikšķiniet uz [Security] 
[IPSec Settings].
[IPSec Settings].
4
Noklikšķiniet uz [IPSec Policy List].
5
Noklikšķiniet uz [Register IPSec Policy].
6
Laukā [Policy Name] ievadiet politikas nosaukumu un atzīmējiet izvēles rūtiņu [Enable Policy].
[Policy Name]
Ievadiet politikas identifikācijai izmantotā nosaukuma burtciparu rakstzīmes.
Ievadiet politikas identifikācijai izmantotā nosaukuma burtciparu rakstzīmes.
[Enable Policy]
Atzīmējiet šo izvēles rūtiņu, lai iespējotu politiku. Ja neizmantosit politiku, notīriet šo izvēles rūtiņu.
Atzīmējiet šo izvēles rūtiņu, lai iespējotu politiku. Ja neizmantosit politiku, notīriet šo izvēles rūtiņu.
7
Norādiet atlasītāja iestatījumus.
[Local Address]
Izvēlieties iekārtas IP adreses veidu, lai lietotu politiku no nākamā saraksta.
Izvēlieties iekārtas IP adreses veidu, lai lietotu politiku no nākamā saraksta.
[All IP Addresses] | Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem. |
[IPv4 Address] | Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv4 adresi vai no tās. |
[IPv6 Address] | Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv6 adresi vai no tās. |
[IPv4 Manual Settings] | Izvēlieties, lai norādītu vienu IPv4 adresi vai IPv4 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv4 adresi (vai diapazonu). |
[IPv6 Manual Settings] | Izvēlieties, vai norādīt vienu IPv6 adresi vai IPv6 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv6 adresi (vai diapazonu). |
[Addresses to Set Manually]
Ja sadaļā [Local Address] ir izvēlēta opcija [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku.
Ja sadaļā [Local Address] ir izvēlēta opcija [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku.
[Subnet Settings]
Ja IPv4 adreses norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot punktus (piemērs: “255.255.255.240”).
Ja IPv4 adreses norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot punktus (piemērs: “255.255.255.240”).
[Remote Address]
Izvēlieties citu ierīču IP adreses veidu, lai lietotu politiku no zemāk redzamā saraksta.
Izvēlieties citu ierīču IP adreses veidu, lai lietotu politiku no zemāk redzamā saraksta.
[All IP Addresses] | Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem. |
[All IPv4 Address] | Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas sūtīti uz/no IPv4 adreses. |
[All IPv6 Address] | Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas sūtīti uz vai no IPv6 adreses. |
[IPv4 Manual Settings] | Izvēlieties, lai norādītu vienu IPv4 adresi vai IPv4 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv4 adresi (vai diapazonu). |
[IPv6 Manual Settings] | Izvēlieties, vai norādīt vienu IPv6 adresi vai IPv6 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv6 adresi (vai diapazonu). |
[Addresses to Set Manually]
Ja sadaļā [Remote Address] ir izvēlēta opcija [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku.
Ja sadaļā [Remote Address] ir izvēlēta opcija [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku.
[Subnet Settings]
Ja IPv4 adreses norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot punktus (piemērs: “255.255.255.240”).
Ja IPv4 adreses norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot punktus (piemērs: “255.255.255.240”).
[Local Port]/[Remote Port]
Ja katram protokolam, piemēram, HTTP vai SMTP, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.
Ja katram protokolam, piemēram, HTTP vai SMTP, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.
IPSec netiek lietots pakešdatiem, kuros ir norādīta multiraide vai apraides adreses.
8
Norādiet IKE iestatījumus.
[IKE Mode]
Tiek parādīts atslēgu apmaiņas protokolam izmantotais režīms. Vienmēr izvēlieties galveno režīmu.
Ja IP adrese nav fiksēta, izvēlieties aktīvo režīmu. Ņemiet vērā, ka drošība aktīvajā režīmā ir vājāka nekā galvenajā režīmā.
[AUTH Method]
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Pre-Shared Key Method] vai [Digital Signature Method].
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Pre-Shared Key Method] vai [Digital Signature Method].
Ja sadaļā [IKE Mode] ir izvēlēts aktīvais režīms, iestatījums [Pre-Shared Key Method] nešifrē koplietojamo atslēgu.
[Authentication/Encryption Algorithm]
Lai automātiski iestatītu atslēgu apmaiņai izmantojamu algoritmu, atzīmējiet izvēles rūtiņu [Auto]. Atzīmējot izvēles rūtiņu, algoritms tiks iestatīts, kā parādīts zemāk.
Lai automātiski iestatītu atslēgu apmaiņai izmantojamu algoritmu, atzīmējiet izvēles rūtiņu [Auto]. Atzīmējot izvēles rūtiņu, algoritms tiks iestatīts, kā parādīts zemāk.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
Lai iestatītu algoritmu manuāli, notīriet izvēles rūtiņu un izvēlieties algoritmu.
[Authentication] | Izvēlieties jaucējalgoritmu. |
[Encryption] | Izvēlieties šifrēšanas algoritmu. |
[DH Group] | Izvēlieties grupu Diffie-Hellman, kas nosaka atslēgas stiprumu. |
[Pre-Shared Key Method] izmantošana autentifikācijā
1 | Vienumam [AUTH Method] izvēlieties iespēju [Pre-Shared Key Method] un noklikšķiniet uz [Shared Key Settings]. |
2 | Ievadiet iepriekš koplietotās atslēgas burtciparu rakstzīmes un noklikšķiniet uz [OK].  |
[Digital Signature Method] izmantošana autentifikācijā
1 | Vienumam [AUTH Method] izvēlieties iespēju [Digital Signature Method] un noklikšķiniet uz [Key and Certificate]. |
2 | Izvēlieties izmantojamu atslēgu pāri un noklikšķiniet uz [Default Key Settings].  Atslēgu pāra vai sertifikāta detalizētas informācijas skatīšana Varat skatīt detalizētu informāciju par sertifikātu vai pārbaudīt to, sadaļā [Key Name] noklikšķinot uz atbilstošās teksta saites vai sertifikāta ikonas. Atslēgu pāru un digitālo sertifikātu pārbaudīšana |
9
Norādiet IPSec tīkla iestatījumus.
[Use PFS]
Atzīmējiet izvēles rūtiņu, lai iespējotu IPSec sesiju atslēgu standartu “perfekta pārsūtīšanas slepenība” (Perfect Forward Secrecy, PFS). Aktivizējot PFS, tiek uzlabota drošība, bet arī palielināta sakaru slodze. Pārbaudiet, vai PFS ir aktivizēts arī citām ierīcēm. Ja neizmantojat PFS, notīriet šo izvēles rūtiņu.
[Validity]
Norādiet, cik ilgi SA tiks izmantots kā sakaru tunelis. Atzīmējiet izvēles rūtiņu [Specify by Time] vai [Specify by Size], vai atzīmējiet abas, ja nepieciešams. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.
Norādiet, cik ilgi SA tiks izmantots kā sakaru tunelis. Atzīmējiet izvēles rūtiņu [Specify by Time] vai [Specify by Size], vai atzīmējiet abas, ja nepieciešams. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.
[Specify by Time] | Ievadiet laiku minūtēs, lai norādītu sesijas ilgumu. Ievadītais laiks tiek lietots gan IPSec SA, gan IKE SA. |
[Specify by Size] | Ievadiet lielumu megabaitos, lai norādītu, cik datu drīkst transportēt sesijā. Ievadītais lielums tiks lietots tikai IPSec SA. |
Ja ir atzīmēta tikai izvēles rūtiņa [Specify by Size]
IKE SA derīgumu nevar norādīt pēc apjoma, tādēļ tiks izmantota sākotnējā [Specify by Time] vērtība (480 minūtes).
[Authentication/Encryption Algorithm]
Izvēlieties protokolu un algoritmu IPSec sakaru izmantošanai.
Izvēlieties protokolu un algoritmu IPSec sakaru izmantošanai.
Savienojuma automātiska iestatīšanaIzvēlieties [Auto].
[ESP Authentication] | ESP ir iespējots un autentifikācijas algoritma iestatījums ir [SHA1 and MD5]. |
[ESP Encryption] | ESP ir iespējots un šifrēšanas algoritma iestatījums ir [3DES-CBC and AES-CBC]. |
ESP izmantošanaIzvēlieties [ESP] un atlasiet autentifikācijas un šifrēšanas algoritmu.
[ESP Authentication] | Izvēlieties jaucējalgoritmu, ko izmantot ESP autentifikācijā. |
[ESP Encryption] | Izvēlieties ESP šifrēšanas algoritmu. |
AH izmantošanaIzvēlieties [AH] un sadaļā [AH Authentication] atlasiet jaucējalgoritmu, ko lietot AH autentifikācijā.
[Connection Mode]
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.
10
Noklikšķiniet uz [OK].
Ja jāreģistrē papildu drošības politika, atgriezieties 5. darbībā.
11
Kārtojiet sadaļā [IPSec Policy List] uzskaitīto politiku secību.
Politikas tiek lietotas, sākot no tās, kas atrodas visaugstāk, uz leju. Noklikšķiniet uz [Raise Priority] vai [Lower Priority], lai politiku pārvietotu uz augšu vai uz leju.
Politikas rediģēšana
Lai rediģētu iestatījumus, noklikšķiniet uz teksta saites sadaļā [Policy Name].
Politikas dzēšana
Noklikšķiniet uz [Delete], kas atrodas pa labi no politikas, ko vēlaties dzēst.
12
Veiciet aparatūras atiestatīšanu.
Noklikšķiniet uz [Device Control], izvēlieties [Hard Reset] un tad noklikšķiniet uz [Execute].
Iestatījumi tiek iespējoti pēc aparatūras atiestates.
IPSec sakaru iespējošana
Pēc drošības politiku reģistrēšanas iespējojiet IPSec sakarus.
1
Startējiet utilītprogrammu Remote UI (Attālais lietotāja interfeiss) un piesakieties pārvaldības režīmā. Remote UI (Attālais lietotāja interfeiss) startēšana
2
Noklikšķiniet uz [Settings/Registration].
3
Noklikšķiniet uz [Security] [IPSec Settings].
[IPSec Settings].4
Noklikšķiniet uz [Edit].
5
Atzīmējiet izvēles rūtiņu [Use IPSec] un noklikšķiniet uz [OK].
[Use IPSec]
Ja iekārtā izmantojat IPSec, atzīmējiet šo izvēles rūtiņu. Ja neizmantosit, notīriet šo izvēles rūtiņu.
[Allow Receive Non-Policy Packets]
Ja atzīmējat šo izvēles rūtiņu, kad izmantojat IPSec, tiks nosūtīti un saņemti arī pakešdati, kas nav pieejami reģistrētajām politikām. Lai atspējotu politikām nepieejamu pakešdatu sūtīšanu un saņemšanu, notīriet izvēles rūtiņu.
Ja atzīmējat šo izvēles rūtiņu, kad izmantojat IPSec, tiks nosūtīti un saņemti arī pakešdati, kas nav pieejami reģistrētajām politikām. Lai atspējotu politikām nepieejamu pakešdatu sūtīšanu un saņemšanu, notīriet izvēles rūtiņu.
6
Veiciet aparatūras atiestatīšanu.
Noklikšķiniet uz [Device Control], izvēlieties [Hard Reset] un tad noklikšķiniet uz [Execute].
Iestatījumi tiek iespējoti pēc aparatūras atiestates.
|
Darbības paneļa izmantošanaIPSec sakarus var iespējot vai atspējot arī darbības paneļa iestatījumu izvēlnē. IPSec |