Конфигуриране на IPSec настройки
Internet Protocol Security (IPSec или IPsec) е протокол за шифроване на данни, прехвърляни чрез мрежа, включително чрез интернет мрежи. Докато TLS шифрова само данните, които се използват от специфично приложение, като например уеб браузър или имейл приложение, IPSec шифрова целите IP пакети (или тяхното полезно съдържание), като предлага по-гъвкава система за защита. IPSec на устройството работи в транспортен режим, който шифрова полезното съдържание на IP пакетите. С тази функция устройството може да се свърже директно към компютър, който е в същата виртуална частна мрежа (VPN). Задайте необходимата конфигурация на компютъра, преди да конфигурирате устройството.
|
Използване на IPSec с филтър за IP адресиIPSec настройките се прилагат преди настройките на филтъра за IP адрес по време на приемането на пакети, докато настройките на IP адреса се прилагат преди IPSec настройките по време на предаването на пакети. Задаване на IP адреси за настройка на правилата на защитната стена |
Регистриране на правила за защита
За да използвате IPSec за шифрована комуникация, трябва да регистрирате правила за защита (SP), преди да активирате IPSec настройките (Активиране на IPSec комуникация). Правилата за защита се състоят от групите настройки, описани по-долу. Можете да регистрирате множество правила в зависимост от комбинация от IP адреси и номера на порта. След като регистрирате правилата, посочете реда, в който да се прилагат.
Селектор
Селекторът определя условия за IP пакетите, за да се приложи IPSec комуникация. Условията, които могат да се избират, включват IP адреси и номера на портове на това устройство и устройствата, с които се осъществява комуникация.
IKE
IKE конфигурира IKEv1, който се използва за протокол за обмен на ключове. Имайте предвид, че инструкциите се различават в зависимост от избрания метод за удостоверяване.
[Pre-Shared Key Method]
Ключ от буквено-цифрени знаци може да бъде споделен с другите устройства. Активирайте предварително TLS за Remote UI (Потребителски интерфейс за отдалечено управление) (Използване на TLS за шифрована комуникация).
Ключ от буквено-цифрени знаци може да бъде споделен с другите устройства. Активирайте предварително TLS за Remote UI (Потребителски интерфейс за отдалечено управление) (Използване на TLS за шифрована комуникация).
[Digital Signature Method]
Това устройство и другите устройства се удостоверяват помежду си чрез взаимна проверка на цифровите си подписи. Трябва да имате двойка ключове, която да е готова за използване (Използване на двойки ключове и цифрови сертификати, издадени от СА).
Това устройство и другите устройства се удостоверяват помежду си чрез взаимна проверка на цифровите си подписи. Трябва да имате двойка ключове, която да е готова за използване (Използване на двойки ключове и цифрови сертификати, издадени от СА).
Настройка на протоколи и опции
Задайте настройките за ESP и AH, които се добавят към пакетите по време на IPSec комуникация. ESP и AH не могат да се използват едновременно. Можете също така да изберете дали да разрешите PFS за по-стриктни мерки за сигурност.
1
Стартирайте Remote UI (Потребителски интерфейс за отдалечено управление) и влезте в режим на управление. Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration].
3
Щракнете върху [Security] 
[IPSec Settings].
[IPSec Settings].
4
Щракнете върху [IPSec Policy List].
5
Щракнете върху [Register IPSec Policy].
6
Въведете име на правило в [Policy Name] и поставете отметка в квадратчето [Enable Policy].
[Policy Name]
Въведете буквено-цифрени знаци за името, което се използва за идентифициране на правилата.
Въведете буквено-цифрени знаци за името, което се използва за идентифициране на правилата.
[Enable Policy]
Поставете отметка в квадратчето, за да разрешите правилата. Когато няма да използвате правилата, отстранете отметката от квадратчето.
Поставете отметка в квадратчето, за да разрешите правилата. Когато няма да използвате правилата, отстранете отметката от квадратчето.
7
Задайте настройките за селектор.
[Local Address]
Изберете типа на IP адреса на устройството, за да приложите правилото от списъка по-долу.
Изберете типа на IP адреса на устройството, за да приложите правилото от списъка по-долу.
[All IP Addresses] | Изберете, за да използвате IPSec за всички IP пакети. |
[IPv4 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреса на устройството. |
[IPv6 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреса на устройството. |
[IPv4 Manual Settings] | Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[Addresses to Set Manually]
Ако [IPv4 Manual Settings] или [IPv6 Manual Settings] е избрана за [Local Address], въведете IP адреса, за да приложите правилата.
Ако [IPv4 Manual Settings] или [IPv6 Manual Settings] е избрана за [Local Address], въведете IP адреса, за да приложите правилата.
[Subnet Settings]
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
[Remote Address]
Изберете типа на IP адреса на другите устройства, за да приложите правилата от списъка, показан по-долу.
Изберете типа на IP адреса на другите устройства, за да приложите правилата от списъка, показан по-долу.
[All IP Addresses] | Изберете, за да използвате IPSec за всички IP пакети. |
[All IPv4 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреса. |
[All IPv6 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреса. |
[IPv4 Manual Settings] | Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[Addresses to Set Manually]
Ако [IPv4 Manual Settings] или [IPv6 Manual Settings] е избрана за [Remote Address], въведете IP адреса, за да приложите правилата.
Ако [IPv4 Manual Settings] или [IPv6 Manual Settings] е избрана за [Remote Address], въведете IP адреса, за да приложите правилата.
[Subnet Settings]
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
[Local Port]/[Remote Port]
Ако искате да създадете отделни правила за всеки протокол, например HTTP или SMTP, въведете съответния номер на порт за протокола, за да определите дали да се използва IPSec.
Ако искате да създадете отделни правила за всеки протокол, например HTTP или SMTP, въведете съответния номер на порт за протокола, за да определите дали да се използва IPSec.
IPSec не се прилага за пакетите, които имат определен мултикаст адрес или адрес на излъчване.
8
Задайте настройки за IKE.
[IKE Mode]
Извежда се режимът, използван за протокола за обмен на ключове. Обикновено се избира основния режим.
Изберете агресивния режим, когато IP адресът не е фиксиран. Имайте предвид, че при агресивния режим защитата е по-ниска в сравнение с основния режим.
[AUTH Method]
Изберете [Pre-Shared Key Method] или [Digital Signature Method] за използвания метод за удостоверяване на устройството.
Изберете [Pre-Shared Key Method] или [Digital Signature Method] за използвания метод за удостоверяване на устройството.
Когато в [IKE Mode] е избран агресивен режим, настройката [Pre-Shared Key Method] не шифрова споделения ключ.
[Authentication/Encryption Algorithm]
За автоматично задаване на алгоритъма, който се използва за обмен на ключове, поставете отметка в квадратчето [Auto]. Ако сте поставили отметка в квадратчето, алгоритъмът се задава, както е показано по-долу.
За автоматично задаване на алгоритъма, който се използва за обмен на ключове, поставете отметка в квадратчето [Auto]. Ако сте поставили отметка в квадратчето, алгоритъмът се задава, както е показано по-долу.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
За ръчно задаване на алгоритъма отстранете отметката в квадратчето и изберете алгоритъма.
[Authentication] | Изберете hash алгоритъм. |
[Encryption] | Изберете алгоритъм за шифроване. |
[DH Group] | Изберете групата Diffie-Hellman, която определя силата на ключа. |
Използване на [Pre-Shared Key Method] за удостоверяване
1 | Изберете [Pre-Shared Key Method] за [AUTH Method] и щракнете върху [Shared Key Settings]. |
2 | Въведете предварително споделения ключ с буквено-цифрени знаци и щракнете върху [OK].  |
Използване на [Digital Signature Method] за удостоверяване
1 | Изберете [Digital Signature Method] за [AUTH Method] и щракнете върху [Key and Certificate]. |
2 | Изберете двойката ключове, която искате да използвате, след което щракнете върху [Default Key Settings].  Преглед на подробности за двойка ключове или сертификат Можете да проверите подробните данни за сертификата или да проверите сертификата, като щракнете върху съответната текстова връзка под [Key Name] или върху иконата на сертификата. Проверка на двойките ключове и цифровите сертификати |
9
Задаване на IPSec мрежови настройки.
[Use PFS]
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства. Когато не използвате PFS, отстранете отметката.
[Validity]
Задайте колко дълго SA да се използва като комуникационен тунел. Поставете отметка в квадратчето [Specify by Time] или [Specify by Size] или и в двете квадратчета, ако е необходимо. Ако са избрани и двете квадратчета, IPSec SA сесията приключва, когато някое от условията е изпълнено.
Задайте колко дълго SA да се използва като комуникационен тунел. Поставете отметка в квадратчето [Specify by Time] или [Specify by Size] или и в двете квадратчета, ако е необходимо. Ако са избрани и двете квадратчета, IPSec SA сесията приключва, когато някое от условията е изпълнено.
[Specify by Time] | Въведете времето в минути, за да определите продължителността на една сесия. Въведеното време се прилага както за IPSec SA, така и за IKE SA. |
[Specify by Size] | Въведете размер в мегабайти, за да зададете количеството данни, които могат да бъдат прехвърлени в една сесия. Въведеният размер се прилага само за IPSec SA. |
Ако сте поставили отметка само в квадратчето [Specify by Size]
Валидността на IKE SA не може да се зададе по размер, така че се прилага първоначалната стойност (480 минути) на [Specify by Time].
[Authentication/Encryption Algorithm]
Изберете протокола и алгоритъма, които да използвате за IPSec комуникация.
Изберете протокола и алгоритъма, които да използвате за IPSec комуникация.
Автоматично настройване на връзкаИзберете [Auto].
[ESP Authentication] | ESP е активирано, а алгоритъмът за удостоверяване е настроен на [SHA1 and MD5]. |
[ESP Encryption] | ESP е активирано, а алгоритъмът за шифроване е настроен на [3DES-CBC and AES-CBC]. |
Използване на ESPИзберете [ESP] и след това изберете алгоритъма за удостоверяване и алгоритъма за шифроване.
[ESP Authentication] | Изберете hash алгоритъма, за да използвате ESP удостоверяване. |
[ESP Encryption] | Изберете алгоритъм за шифроване за ESP. |
Използване на AHИзберете [AH] и hash алгоритъма, за да го използвате за AH удостоверяване от [AH Authentication].
[Connection Mode]
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който шифрова полезното съдържание на IP пакетите. Тунелният режим, в който се капсулират цели IP пакети (горен колонтитул и полезно съдържание), не е достъпен.
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който шифрова полезното съдържание на IP пакетите. Тунелният режим, в който се капсулират цели IP пакети (горен колонтитул и полезно съдържание), не е достъпен.
10
Щракнете върху [OK].
Ако трябва да запаметите допълнителна политика за сигурност, се върнете към стъпка 5.
11
Задайте поредността на политиките, посочени в [IPSec Policy List].
Политиките се прилагат от най-високата позиция към най-ниската. Щракнете върху [Raise Priority] или [Lower Priority], за да преместите дадена политика нагоре или надолу.
Редактиране на правила
Можете да щракнете върху текстовата връзка под [Policy Name], за да редактирате настройките.
Изтриване на правила
Щракнете върху [Delete] вдясно от правилото, което искате да изтриете.
12
Изпълнение на нулиране до фабричните настройки.
Щракнете върху [Device Control], изберете [Hard Reset], след което щракнете върху [Execute].
Настройките се активират, след като е изпълнено нулирането до фабричните настройки.
Активиране на IPSec комуникация
След приключване на регистрирането на правила за защита, активирайте IPSec комуникацията.
1
Стартирайте Remote UI (Потребителски интерфейс за отдалечено управление) и влезте в режим на управление. Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration].
3
Щракнете върху [Security] [IPSec Settings].
[IPSec Settings].4
Щракнете върху [Edit].
5
Поставете отметка в квадратчето [Use IPSec] и щракнете върху [OK].
[Use IPSec]
Когато използвате IPSec в устройството, поставете отметка в квадратчето. Когато не го използвате, отстранете отметката.
[Allow Receive Non-Policy Packets]
Ако поставите отметка в квадратчето, когато използвате IPSec, пакетите, които не са налични за регистрираните правила, също се изпращат/получават. За да дезактивирате изпращането/получаването на пакети, които не са налични за правилата, отстранете отметката от квадратчето.
Ако поставите отметка в квадратчето, когато използвате IPSec, пакетите, които не са налични за регистрираните правила, също се изпращат/получават. За да дезактивирате изпращането/получаването на пакети, които не са налични за правилата, отстранете отметката от квадратчето.
6
Изпълнение на нулиране до фабричните настройки.
Щракнете върху [Device Control], изберете [Hard Reset], след което щракнете върху [Execute].
Настройките се активират, след като се изпълни нулиране до фабричните настройки.
|
Използване на работния панелМожете да активирате или дезактивирате IPSec комуникацията от менюто с настройки на работния панел. IPSec |