Настроювання параметрів протоколу IPSec
Інтернет-протокол безпеки (IPSec або IPsec) — це пакет протоколів для шифрування даних, які передаються через мережу, зокрема через інтернет-мережі. Тимчасом як TLS шифрує лише дані, які використовуються для певної програми, як-от веб-браузер або прикладна програма електронної пошти, IPSec шифрує всі IP-пакети або корисну інформацію IP-пакетів, забезпечуючи гнучкішу систему безпеки. Протокол IPSec апарата працює в режимі передавання, у якому шифрується корисна інформація IP-пакетів. З цією функцією апарат може підключатися безпосередньо до комп’ютера, який перебуває в тій самій віртуальній приватній мережі (VPN). Установіть необхідні параметри на комп’ютері перед настроюванням апарата.
|
Використання протоколу IPSec із фільтром IP-адресНалаштування протоколу IPSec виконується перед налаштуванням фільтра IP-адреси під час прийому пакета, тоді як налаштування IP-адреси виконується перед налаштуванням протоколу IPSec під час передавання пакета. Зазначення IP-адрес для правил брандмауера |
Реєстрація політик безпеки
Для використання протоколу IPSec для зашифрованого зв’язку потрібно зареєструвати політики безпеки (SP), перш ніж увімкнути налаштування протоколу IPSec (Вмикає зв’язок за протоколом IPSec). Політика безпеки складається з груп параметрів, які описані нижче. Можна зареєструвати кілька політик відповідно до комбінації IP-адреси й номера порту. Після реєстрації вкажіть порядок їх використання.
Селектор
Селектор визначає умови для IP-пакетів із метою застосування зв’язку IPSec. Доступні умови включають IP-адреси та номери портів апарата та пристроїв для зв’язку.
Протокол IKE
Протокол IKE настроює IKEv1, який використовується для протоколу ключового обміну. Зверніть увагу, що інструкції відрізняються залежно від вибраного методу автентифікації.
[Pre-Shared Key Method]
Ключ із літер і цифр може одночасно використовуватися на кількох пристроях. Увімкніть порт TLS для Remote UI (Інтерфейс віддаленого користувача) заздалегідь (Використання протоколу TLS для зашифрованих зв’язків).
Ключ із літер і цифр може одночасно використовуватися на кількох пристроях. Увімкніть порт TLS для Remote UI (Інтерфейс віддаленого користувача) заздалегідь (Використання протоколу TLS для зашифрованих зв’язків).
[Digital Signature Method]
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Створіть пару ключів для використання заздалегідь (Використання пар ключів, наданих центром сертифікації, і цифрових сертифікатів).
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Створіть пару ключів для використання заздалегідь (Використання пар ключів, наданих центром сертифікації, і цифрових сертифікатів).
Налаштування протоколів і параметрів
Зазначте параметри для ESP і AH, які додаються до пакетів під час зв’язку IPSec. ESP і AH не можна використовувати одночасно. Можна також вибрати, чи активувати PFS для надійнішого захисту.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі керування. Початок роботи з Remote UI (Інтерфейс віддаленого користувача)
2
Натисніть [Settings/Registration].
3
Натисніть [Security] 
[IPSec Settings].
[IPSec Settings].
4
Натисніть [IPSec Policy List].
5
Натисніть [Register IPSec Policy].
6
Введіть назву політики в поле [Policy Name] і встановіть прапорець [Enable Policy].
[Policy Name]
Введіть назву (літери й цифри), яка використовується для ідентифікації політики.
Введіть назву (літери й цифри), яка використовується для ідентифікації політики.
[Enable Policy]
Установіть прапорець для активації політики. Зніміть прапорець, якщо політика не використовується.
Установіть прапорець для активації політики. Зніміть прапорець, якщо політика не використовується.
7
Укажіть параметри селектора.
[Local Address]
Для використання політики потрібно вибрати тип IP-адреси апарата з указаного далі списку.
Для використання політики потрібно вибрати тип IP-адреси апарата з указаного далі списку.
[All IP Addresses] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів. |
[IPv4 Address] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv4-адреси апарата. |
[IPv6 Address] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv6-адреси апарата. |
[IPv4 Manual Settings] | Виберіть, щоб указати єдину адресу IPv4 або діапазон адрес IPv4, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv4-адресу або діапазон таких адрес. |
[IPv6 Manual Settings] | Виберіть, щоб указати єдину адресу IPv6 або діапазон адрес IPv6, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv6-адресу або діапазон таких адрес. |
[Addresses to Set Manually]
Якщо [IPv4 Manual Settings] або [IPv6 Manual Settings] вибрано для [Local Address], для використання політики введіть IP-адресу.
Якщо [IPv4 Manual Settings] або [IPv6 Manual Settings] вибрано для [Local Address], для використання політики введіть IP-адресу.
[Subnet Settings]
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
[Remote Address]
Для використання політики виберіть тип IP-адреси інших пристроїв зі списку нижче.
Для використання політики виберіть тип IP-адреси інших пристроїв зі списку нижче.
[All IP Addresses] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів. |
[All IPv4 Address] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються на адресу IPv4 або з неї. |
[All IPv6 Address] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються на адресу IPv6 або з неї. |
[IPv4 Manual Settings] | Виберіть, щоб указати єдину адресу IPv4 або діапазон адрес IPv4, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv4-адресу або діапазон таких адрес. |
[IPv6 Manual Settings] | Виберіть, щоб указати єдину адресу IPv6 або діапазон адрес IPv6, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv6-адресу або діапазон таких адрес. |
[Addresses to Set Manually]
Якщо [IPv4 Manual Settings] або [IPv6 Manual Settings] вибрано для [Remote Address], для використання політики введіть IP-адресу.
Якщо [IPv4 Manual Settings] або [IPv6 Manual Settings] вибрано для [Remote Address], для використання політики введіть IP-адресу.
[Subnet Settings]
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
[Local Port]/[Remote Port]
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP або SMTP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP або SMTP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Протокол IPSec не використовується для пакетів із зазначеною груповою адресою або адресою розсилки.
8
Укажіть параметри протоколу IKE.
[IKE Mode]
Відображається режим, що використовується для протоколу ключового обміну. Зазвичай вибраний основний режим.
Якщо IP-адреса не фіксована, виберіть агресивний режим. Зверніть увагу, що рівень безпеки нижчий в агресивному режимі, ніж в основному.
[AUTH Method]
Виберіть [Pre-Shared Key Method] або [Digital Signature Method] для методу, що використовується під час автентифікації апарата.
Виберіть [Pre-Shared Key Method] або [Digital Signature Method] для методу, що використовується під час автентифікації апарата.
Якщо вибраний агресивний режим [IKE Mode], налаштування [Pre-Shared Key Method] не передбачає шифрування спільного ключа.
[Authentication/Encryption Algorithm]
Для автоматичного налаштування алгоритму, що використовується для обміну ключами, установіть прапорець [Auto]. Якщо встановлений прапорець, алгоритм налаштований як указано нижче.
Для автоматичного налаштування алгоритму, що використовується для обміну ключами, установіть прапорець [Auto]. Якщо встановлений прапорець, алгоритм налаштований як указано нижче.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
Для налаштування алгоритму вручну зніміть прапорець і виберіть алгоритм.
[Authentication] | Виберіть алгоритм гешування. |
[Encryption] | Виберіть алгоритм шифрування. |
[DH Group] | Виберіть групу Діффі – Геллмана, яка визначає стійкість ключа. |
Використання [Pre-Shared Key Method] для автентифікації
1 | Виберіть [Pre-Shared Key Method] для [AUTH Method] і натисніть [Shared Key Settings]. |
2 | Введіть буквено-цифрові символи для попередньо наданого ключа та натисніть кнопку [OK].  |
Використання [Digital Signature Method] для автентифікації
1 | Виберіть [Digital Signature Method] для [AUTH Method] і натисніть [Key and Certificate]. |
2 | Виберіть пару ключів, яку ви бажаєте використати, і натисніть [Default Key Settings].  Перегляд докладних відомостей про пари ключів або сертифікат Можна перевірити докладні відомості про сертифікат або перевірити сертифікат, вибравши відповідне текстове посилання в рядку [Key Name] або піктограму сертифіката. Перевірка пар ключів і цифрових сертифікатів |
9
Укажіть параметри мережі IPSec.
[Use PFS]
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Зніміть прапорець, якщо функція PFS не використовується.
[Validity]
Вкажіть тривалість використання SA як тунелю зв’язку. Установіть прапорець [Specify by Time], прапорець [Specify by Size] чи обидва, залежно від потреби. Якщо встановлено обидва прапорці, сесія IPSec SA припиняється в разі задоволення будь-якої з умов.
Вкажіть тривалість використання SA як тунелю зв’язку. Установіть прапорець [Specify by Time], прапорець [Specify by Size] чи обидва, залежно від потреби. Якщо встановлено обидва прапорці, сесія IPSec SA припиняється в разі задоволення будь-якої з умов.
[Specify by Time] | Введіть час у хвилинах, щоб указати тривалість сеансу. Зазначений час застосовується як до IPSec SA, так і до IKE SA. |
[Specify by Size] | Введіть розмір у мегабайтах, щоб указати, скільки даних можна передати за сеанс. Зазначений розмір застосовується тільки до IPSec SA. |
Якщо ви встановите лише прапорець [Specify by Size]
Неможливо вказати розмір дії IKE SA для використання початкового значення (480 хв) [Specify by Time].
[Authentication/Encryption Algorithm]
Виберіть протокол і алгоритм, що будуть використовуватися для зв’язку за протоколом IPSec.
Виберіть протокол і алгоритм, що будуть використовуватися для зв’язку за протоколом IPSec.
Автоматичне налаштування підключенняВиберіть [Auto].
[ESP Authentication] | ESP активовано, для алгоритму автентифікації встановлено значення [SHA1 and MD5]. |
[ESP Encryption] | ESP активовано, для алгоритму шифрування встановлено значення [3DES-CBC and AES-CBC]. |
Використання ESPВиберіть [ESP] і встановіть алгоритми автентифікації та шифрування.
[ESP Authentication] | Виберіть алгоритм гешування, щоб використовувати автентифікацію ESP. |
[ESP Encryption] | Виберіть алгоритм шифрування для протоколу ESP. |
Використання AHВиберіть [AH] і встановіть алгоритм гешування, щоб використовувати автентифікацію AH із [AH Authentication].
[Connection Mode]
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
10
Натисніть [OK].
Якщо потрібно зареєструвати додаткову політику безпеки, поверніться до кроку 5.
11
Упорядкуйте список політик під елементом [IPSec Policy List].
Політики застосовуються в порядку спадання (від найвищої до найнижчої). Натисніть елемент [Raise Priority] або [Lower Priority], щоб перемістити політику вгору або вниз у списку.
Змінення політики
Щоб редагувати налаштування, натисніть текстове посилання в стовпці [Policy Name].
Видалення політики
Праворуч від імені політики, яку потрібно видалити, натисніть кнопку [Delete].
12
Виконайте апаратне скидання.
Натисніть [Device Control], виберіть [Hard Reset] і натисніть [Execute].
Параметри активуються після виконання апаратного скидання.
Вмикає зв’язок за протоколом IPSec
Після реєстрації політик безпеки активуйте зв’язок за протоколом IPSec.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі керування. Початок роботи з Remote UI (Інтерфейс віддаленого користувача)
2
Натисніть [Settings/Registration].
3
Натисніть [Security] [IPSec Settings].
[IPSec Settings].4
Натисніть [Edit].
5
Установіть прапорець [Use IPSec] і натисніть кнопку [OK].
[Use IPSec]
Якщо на апараті використовується протокол IPSec, установіть прапорець. Якщо ні, зніміть прапорець.
[Allow Receive Non-Policy Packets]
Якщо під час використання IPSec встановлений прапорець, пакети, що недоступні для зареєстрованих політик, також надсилаються/отримуються. Зніміть прапорець, щоб вимкнути режим надсилання/отримання недоступних для політик пакетів.
Якщо під час використання IPSec встановлений прапорець, пакети, що недоступні для зареєстрованих політик, також надсилаються/отримуються. Зніміть прапорець, щоб вимкнути режим надсилання/отримання недоступних для політик пакетів.
6
Виконайте апаратне скидання.
Натисніть [Device Control], виберіть [Hard Reset] і натисніть [Execute].
Настройки встановлюються після апаратного скидання.
|
Використання панелі керуванняМожна також ввімкнути або вимкнути зв’язок за протоколом IPSec у меню настроювання панелі керування. IPSec |