پیکربندی تنظیمات IPSec
امنیت پروتکل اینترنتی (IPSec یا IPsec) پروتکلی است که برای رمزگذاری داده های منتقل شده در شبکه از جمله شبکه های اینترنتی مناسب است. در حالیکه TLS فقط داده های استفاده شده در یک برنامه خاص مانند مرورگر وب یا برنامه ایمیل را رمزگذاری می کند، IPSec همه بسته های IP یا داده های ضروری بسته های IP را رمزگذاری می کند، در واقع یک سیستم امنیتی همه کاره ارائه دهد. IPSec دستگاه در حالت انتقال کار می کند، که در آن داده های ضروری بسته های IP رمزگذاری می شوند. با این ویژگی، دستگاه می تواند مستقیم به رایانه ای وصل شود که در شبکه خصوصی مجازی (VPN) مشابه ای است. قبل از پیکربندی دستگاه، پیکربندی لازم را در رایانه تنظیم کنید.
|
استفاده از IPSec با فیلتر آدرس IPدر طول دریافت بسته، تنظیمات IPSec قبل از تنظیمات فیلتر آدرس IP اعمال میشود، درحالیکه در طول انتقال بسته، تنظیمات آدرس IP قبل از تنظیمات IPSect اعمال میشود. تعیین آدرس های IP برای قوانین دیوار آتش |
ثبت سیاستهای امنیتی
برای استفاده از IPSec برای ارتباطات رمزگذاریشده، باید سیاست های امنیتی (SP) را قبل از فعالسازی تنظیمات IPSec ثبت کنید (فعال کردن ارتباط IPSec). سیاست امنیتی شامل گروه های تنظیمات توضیح داده شده در زیر است. میتوانید چندین سیاست را براساس ترکیبی از آدرس IP و شماره درگاه ثبت کنید. بعد از ثبت سیاست ها، ترتیب اعمال شدن آنها را مشخص کنید.
انتخاب کننده
انتخاب کننده شرایط را برای بسته های IP جهت اعمال ارتباط IPSec مشخص می کند. شرایط قابل انتخاب شامل آدرس های IP و شماره های درگاه دستگاه و دستگاه هایی که با آنها ارتباط دارد می شود.
IKE
IKE به پیکربندی IKEv1 می پردازد که برای پروتکل تبادل کلید استفاده می شود. توجه داشته باشید بسته به روش تأیید اعتبار انتخاب شده، دستورالعمل ها فرق دارند.
[Pre-Shared Key Method]
کلید متشکل از نویسههای الفبایی عددی را میتوان با سایر دستگاهها به اشتراک گذاشت. TLS را برای Remote UI (واسطه کاربر از راه دور) از قبل فعال کنید (استفاده از TLS برای ارتباطات رمزگذاری شده).
کلید متشکل از نویسههای الفبایی عددی را میتوان با سایر دستگاهها به اشتراک گذاشت. TLS را برای Remote UI (واسطه کاربر از راه دور) از قبل فعال کنید (استفاده از TLS برای ارتباطات رمزگذاری شده).
[Digital Signature Method]
دستگاه و سایر دستگاه ها با تأیید متقابل امضاهای دیجیتال خود یکدیگر را تأیید اعتبار می کنند. یک جفتکلید را برای استفاده آماده کنید (استفاده از گواهیهای دیجیتال و جفتکلیدهای صادرشده در CA).
دستگاه و سایر دستگاه ها با تأیید متقابل امضاهای دیجیتال خود یکدیگر را تأیید اعتبار می کنند. یک جفتکلید را برای استفاده آماده کنید (استفاده از گواهیهای دیجیتال و جفتکلیدهای صادرشده در CA).
تنظیم پروتکلها و گزینهها
تنظیمات را برای ESP و AH مشخص کنید که در مدت ارتباط IPSec به بستهها اضافه میشوند. نمیتوانید هم زمان از ESP و AH استفاده کنید. همچنین میتوانید مشخص کنید آیا PFS برای امنیت بیشتر فعال شود یا خیر.
1
Remote UI (واسطه کاربر از راه دور) را راهاندازی کنید و وارد حالت مدیریت شوید. راه اندازی Remote UI (واسطه کاربر از راه دور)
2
روی [Settings/Registration] کلیک کنید.
3
روی [Security] 
[IPSec Settings] کلیک کنید.
[IPSec Settings] کلیک کنید.
4
روی [IPSec Policy List] کلیک کنید.
5
روی [Register IPSec Policy] کلیک کنید.
6
یک نام سیاست را در [Policy Name] وارد کنید، و کادر انتخاب [Enable Policy] را علامت بزنید.
[Policy Name]
برای نامی که برای شناسایی سیاست استفاده میشود، نویسههای الفبایی عددی وارد کنید.
برای نامی که برای شناسایی سیاست استفاده میشود، نویسههای الفبایی عددی وارد کنید.
[Enable Policy]
کادر انتخاب را برای فعال کردن سیاست علامت بزنید. زمانی که از سیاست استفاده نمیکنید، علامت انتخاب را بردارید.
کادر انتخاب را برای فعال کردن سیاست علامت بزنید. زمانی که از سیاست استفاده نمیکنید، علامت انتخاب را بردارید.
7
تنظیمات انتخابکننده را مشخص کنید.
[Local Address]
نوع آدرس IP دستگاه را برای اعمال سیاست از فهرست زیر انتخاب کنید.
نوع آدرس IP دستگاه را برای اعمال سیاست از فهرست زیر انتخاب کنید.
[All IP Addresses] | انتخاب کنید از IPSec برای همه بسته های IP استفاده شود. |
[IPv4 Address] | انتخاب کنید از IPSec برای همه بسته های IP که از آدرس IPv4 دستگاه یا به آن ارسال می شود استفاده شود. |
[IPv6 Address] | انتخاب کنید از IPSec برای همه بسته های IP که از آدرس IPv6 دستگاه یا به آن ارسال می شود استفاده شود. |
[IPv4 Manual Settings] | انتخاب کنید یک آدرس IPv4 تکی یا یک محدوده از آدرس های IPv4 برای اعمال IPSec مشخص شود. آدرس IPv4 (یا محدوده) را در کادر متنی [Addresses to Set Manually] وارد کنید. |
[IPv6 Manual Settings] | انتخاب کنید یک آدرس IPv6 تکی یا یک محدوده از آدرسهای IPv6 برای اعمال IPSec مشخص شود. آدرس IPv6 (یا محدوده) را در کادر متن [Addresses to Set Manually] وارد کنید. |
[Addresses to Set Manually]
اگر [IPv4 Manual Settings] یا [IPv6 Manual Settings] برای [Local Address] انتخاب شود، آدرس IP را برای اعمال سیاست وارد کنید.
اگر [IPv4 Manual Settings] یا [IPv6 Manual Settings] برای [Local Address] انتخاب شود، آدرس IP را برای اعمال سیاست وارد کنید.
[Subnet Settings]
زمانی که به صورت دستی آدرسهای IPv4 را مشخص میکنید، میتوانید محدوده را با استفاده از پوشش شبکه فرعی مشخص کنید. پوشش شبکه فرعی را با استفاده از نقطه برای تعیین اعداد (مثلاً "255.255.255.240") وارد کنید.
زمانی که به صورت دستی آدرسهای IPv4 را مشخص میکنید، میتوانید محدوده را با استفاده از پوشش شبکه فرعی مشخص کنید. پوشش شبکه فرعی را با استفاده از نقطه برای تعیین اعداد (مثلاً "255.255.255.240") وارد کنید.
[Remote Address]
نوع آدرس IP سایر دستگاهها را برای اعمال سیاست از فهرستی که در زیر نمایش داده میشود انتخاب کنید.
نوع آدرس IP سایر دستگاهها را برای اعمال سیاست از فهرستی که در زیر نمایش داده میشود انتخاب کنید.
[All IP Addresses] | انتخاب کنید از IPSec برای همه بسته های IP استفاده شود. |
[All IPv4 Address] | انتخاب کنید از IPSec برای همه بستههای IP که از آدرس IPv4 یا به آن ارسال میشود استفاده شود. |
[All IPv6 Address] | انتخاب کنید از IPSec برای همه بستههای IP که از آدرس IPv6 یا به آن ارسال میشود استفاده شود. |
[IPv4 Manual Settings] | انتخاب کنید یک آدرس IPv4 تکی یا یک محدوده از آدرس های IPv4 برای اعمال IPSec مشخص شود. آدرس IPv4 (یا محدوده) را در کادر متنی [Addresses to Set Manually] وارد کنید. |
[IPv6 Manual Settings] | انتخاب کنید یک آدرس IPv6 تکی یا یک محدوده از آدرسهای IPv6 برای اعمال IPSec مشخص شود. آدرس IPv6 (یا محدوده) را در کادر متن [Addresses to Set Manually] وارد کنید. |
[Addresses to Set Manually]
اگر [IPv4 Manual Settings] یا [IPv6 Manual Settings] برای [Remote Address] انتخاب شود، آدرس IP را برای اعمال سیاست وارد کنید.
اگر [IPv4 Manual Settings] یا [IPv6 Manual Settings] برای [Remote Address] انتخاب شود، آدرس IP را برای اعمال سیاست وارد کنید.
[Subnet Settings]
زمانی که به صورت دستی آدرسهای IPv4 را مشخص میکنید، میتوانید محدوده را با استفاده از پوشش شبکه فرعی مشخص کنید. پوشش شبکه فرعی را با استفاده از نقطه برای تعیین اعداد (مثلاً "255.255.255.240") وارد کنید.
زمانی که به صورت دستی آدرسهای IPv4 را مشخص میکنید، میتوانید محدوده را با استفاده از پوشش شبکه فرعی مشخص کنید. پوشش شبکه فرعی را با استفاده از نقطه برای تعیین اعداد (مثلاً "255.255.255.240") وارد کنید.
[Local Port]/[Remote Port]
اگر میخواهید سیاستهای جداگانه ای را برای هر پروتکل ایجاد کنید مانند HTTP یا SMTP، شماره درگاه مناسب برای پروتکل جهت استفاده از IPSec را وارد کنید.
اگر میخواهید سیاستهای جداگانه ای را برای هر پروتکل ایجاد کنید مانند HTTP یا SMTP، شماره درگاه مناسب برای پروتکل جهت استفاده از IPSec را وارد کنید.
IPSec روی بستههایی که دارای آدرس چندتایی یا پخش هستند، اعمال نمیشود.
8
تنظیمات IKE را مشخص کنید.
[IKE Mode]
حالت استفاده شده برای پروتکل تبادل کلید نشان داده میشود. بهطور معمول حالت اصلی را انتخاب کنید.
هنگامی که آدرس IP ثابت نیست، حالت تهاجمی را انتخاب کنید. توجه که امنیت در حالت تهاجمی کمتر از حالت اصلی است.
[AUTH Method]
[Pre-Shared Key Method] یا [Digital Signature Method] را برای روش استفاده شده زمان تأیید اعتبار دستگاه انتخاب کنید.
[Pre-Shared Key Method] یا [Digital Signature Method] را برای روش استفاده شده زمان تأیید اعتبار دستگاه انتخاب کنید.
هنگامی که حالت تهاجمی در [IKE Mode] انتخاب شود، تنظیمات [Pre-Shared Key Method] کلید مشترک را رمزگذاری نمیکند.
[Authentication/Encryption Algorithm]
برای تنظیم خودکار الگوریتمی که برای تبادل کلید استفاده میشود، کادر انتخاب [Auto] را علامت بزنید. اگر کادر انتخاب را علامت بزنید، الگوریتم مطابق شکل زیر تنظیم میشود.
برای تنظیم خودکار الگوریتمی که برای تبادل کلید استفاده میشود، کادر انتخاب [Auto] را علامت بزنید. اگر کادر انتخاب را علامت بزنید، الگوریتم مطابق شکل زیر تنظیم میشود.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
برای تنظیم دستی الگوریتم، علامت کادر انتخاب را بردارید و الگوریتم را انتخاب کنید.
[Authentication] | الگوریتم هش را انتخاب کنید. |
[Encryption] | الگوریتم رمزگذاری را انتخاب کنید. |
[DH Group] | گروه دیفی هلمن که قدرت کلید را مشخص می کند انتخاب کنید. |
استفاده از [Pre-Shared Key Method] برای تأیید اعتبار
1 | گزینه [Pre-Shared Key Method] را برای [AUTH Method] انتخاب نمایید و روی [Shared Key Settings] کلیک کنید. |
2 | نویسه های الفبایی عددی را برای کلید از قبل مشترک وارد کرده و روی [OK] کلیک کنید.  |
استفاده از [Digital Signature Method] برای تأیید اعتبار
1 | گزینه [Digital Signature Method] را برای [AUTH Method] انتخاب نمایید و روی [Key and Certificate] کلیک کنید. |
2 | جفتکلیدی را که میخواهید به کار ببرید انتخاب کنید و روی [Default Key Settings] کلیک کنید.  مشاهده جزئیات جفتکلید یا گواهی می توانید جزئیات گواهی را بررسی کنید یا گواهی را از طریق کلیک بر روی لینک متنی مربوطه از قسمت [Key Name] یا نماد گواهی مورد بررسی قرار دهید. تأیید گواهیهای دیجیتال و جفتکلیدهای صادرشده در CA |
9
تنظیمات شبکه IPSec را مشخص کنید.
[Use PFS]
کادر انتخاب را برای فعال کردن محرمانگی کامل ارسال (PFS) برای کلیدهای جلسه IPSec علامت بزنید. فعال کردن PFS زمان افزایش بار در ارتباط، امنیت را افزایش می دهد. دقت کنید PFS برای سایر دستگاه ها نیز فعال شود. زمانی که از PFS استفاده نمیکنید، علامت کادر انتخاب را بردارید.
[Validity]
مدت زمان استفاده از SA به عنوان تونل ارتباطی را مشخص کنید. در صورت لزوم کادر انتخاب [Specify by Time] یا [Specify by Size] یا هر دو گزینه کادر انتخاب را علامت بزنید. اگر هر دو کادر انتخاب را علامت بزنید، در صورت مساعد شدن هر کدام از شرایط، جلسه IPSec SA به پایان می رسد.
مدت زمان استفاده از SA به عنوان تونل ارتباطی را مشخص کنید. در صورت لزوم کادر انتخاب [Specify by Time] یا [Specify by Size] یا هر دو گزینه کادر انتخاب را علامت بزنید. اگر هر دو کادر انتخاب را علامت بزنید، در صورت مساعد شدن هر کدام از شرایط، جلسه IPSec SA به پایان می رسد.
[Specify by Time] | برای تعیین مدت زمان جلسه، زمان را به دقیقه وارد کنید. زمان وارد شده به IPSec SA و IKE SA اعمال میشود. |
[Specify by Size] | برای تعیین اینکه چه مقدار داده می تواند در یک جلسه منتقل شود اندازه را به مگابایت وارد کنید. اندازه وارد شده فقط به IPSec SA اعمال میشود. |
فقط در صورتی که کادر انتخاب [Specify by Size] را علامت زده باشید
اعتبار IKE SA را نمیتوان بر حسب اندازه تعیین کرد، بنابراین مقدار اولیه (480 دقیقه) [Specify by Time] اعمال میشود.
[Authentication/Encryption Algorithm]
پروتکل و الگوریتم مورد استفاده برای ارتباط IPSec را انتخاب کنید.
پروتکل و الگوریتم مورد استفاده برای ارتباط IPSec را انتخاب کنید.
تنظیم خودکار اتصالگزینه [Auto] را انتخاب کنید.
[ESP Authentication] | ESP فعال است و الگوریتم تأیید اعتبار روی [SHA1 and MD5] تنظیم شده است. |
[ESP Encryption] | ESP فعال شده و الگوریتم رمزگذاری روی [3DES-CBC and AES-CBC] تنظیم شده است. |
استفاده از ESP[ESP] را انتخاب کنید و الگوریتم تأیید اعتبار و الگوریتم رمزگذاری را برگزینید.
[ESP Authentication] | الگوریتم هش را برای استفاده برای تأیید اعتبار ESP انتخاب کنید. |
[ESP Encryption] | الگوریتم رمزگذاری را برای ESP انتخاب کنید. |
استفاده از AH[AH] را انتخاب کنید و الگوریتم هش را برای استفاده در تأیید اعتبار AH از [AH Authentication] انتخاب کنید.
[Connection Mode]
حالت اتصال IPSec نشان داده می شود. دستگاه از حالت انتقال پشتیبانی می کند، که در آن داده های ضروری بسته های IP رمزگذاری می شوند. حالت تونل، که در آن همه بسته های IP (عناوین و داده های ضروری) محصور شده اند موجود نیست.
حالت اتصال IPSec نشان داده می شود. دستگاه از حالت انتقال پشتیبانی می کند، که در آن داده های ضروری بسته های IP رمزگذاری می شوند. حالت تونل، که در آن همه بسته های IP (عناوین و داده های ضروری) محصور شده اند موجود نیست.
10
روی [OK] کلیک کنید.
اگر لازم است سیاست امنیتی دیگری ثبت کنید، به مرحله 5 برگردید.
11
ترتیب سیاست های لیست شده را از قسمت [IPSec Policy List] مشخص کنید.
سیاست ها از بالاترین تا پایین ترین موقعیت اعمال می شوند. روی [Raise Priority] یا [Lower Priority] برای بالا یا پایین بردن سیاست در لیست کلیک کنید.
ویرایش سیاست
برای ویرایش کردن تنظیمات مربوطه، میتوانید روی لینک متن در قسمت [Policy Name] کلیک کنید.
حذف سیاست
روی [Delete] در سمت راست سیاستی که میخواهید حذف کنید کلیک کنید.
12
بازنشانی سخت را انجام دهید.
روی [Device Control] کلیک کنید، [Hard Reset] را انتخاب نمایید، و سپس روی [Execute] کلیک کنید.
پس از انجام بازنشانی سخت، تنظیمات فعال میشود.
فعال کردن ارتباط IPSec
پس از اتمام ثبت سیاست های امنیتی، ارتباط IPSec را فعال کنید.
1
Remote UI (واسطه کاربر از راه دور) را راهاندازی کنید و وارد حالت مدیریت شوید. راه اندازی Remote UI (واسطه کاربر از راه دور)
2
روی [Settings/Registration] کلیک کنید.
3
روی [Security] [IPSec Settings] کلیک کنید.
[IPSec Settings] کلیک کنید.4
روی [Edit] کلیک کنید.
5
کادر انتخاب [Use IPSec] را علامت بزنید و روی [OK] کلیک کنید.
[Use IPSec]
هنگام استفاده از IPSec در دستگاه، کادر انتخاب را علامت بزنید. زمانی که استفاده نمیکنید، کادر انتخاب را پاک کنید.
[Allow Receive Non-Policy Packets]
اگر هنگام استفاده از IPSec، کادر انتخاب را علامت بزنید، بستههایی که برای سیاستهای ثبتشده در دسترس نیستند نیز ارسال/دریافت میشوند. برای غیرفعال کردن ارسال/دریافت بستههایی که برای سیاستها در دسترس نیستند، علامت کادر انتخاب را بردارید.
اگر هنگام استفاده از IPSec، کادر انتخاب را علامت بزنید، بستههایی که برای سیاستهای ثبتشده در دسترس نیستند نیز ارسال/دریافت میشوند. برای غیرفعال کردن ارسال/دریافت بستههایی که برای سیاستها در دسترس نیستند، علامت کادر انتخاب را بردارید.
6
بازنشانی سخت را انجام دهید.
روی [Device Control] کلیک کنید، [Hard Reset] را انتخاب نمایید، و سپس روی [Execute] کلیک کنید.
پس از انجام بازنشانی سخت، تنظیمات فعال میشود.
|
استفاده از پانل عملیاتهمچنین میتوانید ارتباطات IPSec را از منوی تنظیمات در پانل عملیات فعال یا غیرفعال کنید. IPSec |