Конфигуриране на IPSec настройки
Internet Protocol Security (IPSec или IPsec) е протокол за шифроване на данни, прехвърляни чрез мрежа, включително чрез интернет мрежи. Докато TLS шифрова само данните, които се използват от специфично приложение, като например уеб браузър или имейл приложение, IPSec шифрова целите IP пакети (или тяхното полезно съдържание), като предлага по-гъвкава система за сигурност. IPSec на устройството работи в транспортен режим, който шифрова полезното съдържание на IP пакетите. С тази функция устройството може да се свърже директно към компютър, който е в същата виртуална частна мрежа (VPN). Проверете изискванията към системата (Функции за управление) и задайте необходимите настройки на компютъра, преди да конфигурирате устройството.
|
Използване на IPSec с филтър за IP адресиНастройките за филтриране на IP адреси се прилагат преди IPSec политиките. Задаване на IP адреси за настройка на защитната стена |
Конфигуриране на IPSec настройки
Преди да се използва IPSec за шифрована комуникация, трябва да запаметите политики за сигурност (SP). Политиката за сигурност се състои от групите с настройки, описани по-долу. След като запаметите политиките, задайте реда, в който да се прилагат.
Селектор
Селекторът определя условия за IP пакетите, за да се приложи IPSec комуникация. Условията, които могат да се избират, включват IP адреси и номера на портове на това устройство и устройствата, с които се осъществява комуникация.
IKE
IKE конфигурира IKEv1, който се използва за протокол за обмен на ключове. Имайте предвид, че инструкциите се различават в зависимост от избрания метод за удостоверяване.
[Pre-Shared Key Method]
Този метод на удостоверяване използва обща ключова дума, наречена "споделен ключ", за комуникация между това устройство и други устройства. Разрешете TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да зададете този метод за удостоверяване (Конфигуриране на ключ и сертификат за TLS).
Този метод на удостоверяване използва обща ключова дума, наречена "споделен ключ", за комуникация между това устройство и други устройства. Разрешете TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да зададете този метод за удостоверяване (Конфигуриране на ключ и сертификат за TLS).
[Digital Signature Method]
Това устройство и другите устройства се удостоверяват помежду си чрез взаимна проверка на цифровите си подписи. Предварително генерирайте или инсталирайте ключа и сертификата (Регистриране на ключ и сертификат за мрежова комуникация).
Това устройство и другите устройства се удостоверяват помежду си чрез взаимна проверка на цифровите си подписи. Предварително генерирайте или инсталирайте ключа и сертификата (Регистриране на ключ и сертификат за мрежова комуникация).
AH/ESP
Посочете настройките за AH/ESP, които се добавят към пакетите по време на IPSec комуникация. AH и ESP могат да се използват едновременно. Можете също така да изберете дали да разрешите PFS за по-стриктни мерки за сигурност.
|
За повече информация относно основните операции, които трябва да се извършат за настройване на устройството от Remote UI (Потребителски интерфейс за отдалечено управление), вижте Настройване на опции от менюто чрез Remote UI (Потребителски интерфейс за отдалечено управление). |
1
Стартирайте Remote UI (Потребителски интерфейс за отдалечено управление) и влезте в режим на системен оператор. Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration] в страницата на портала. Екран на Remote UI (Потребителски интерфейс за отдалечено управление)
3
Изберете [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Щракнете върху [Edit].
5
Поставете отметка в квадратчето [Use IPSec] и щракнете върху [OK].
Ако желаете устройството да получава само пакети, които съответстват на една от политиките за сигурност, които сте определили в стъпките по-долу, махнете отметката от [Receive Non-Policy Packets].
6
Щракнете върху [Register New Policy].
7
Задайте настройки за политики.
1 | В текстовото поле [Policy Name] въведете с буквено-цифрени знаци името, идентифициращо политиката. |
2 | Поставете отметка в квадратчето [Enable Policy]. |
8
Задайте настройки за селектор.
[Local Address]
Щракнете върху радио бутона за типа IP адреси на устройството, за които да приложите политиката.
Щракнете върху радио бутона за типа IP адреси на устройството, за които да приложите политиката.
[All IP Addresses] | Изберете, за да използвате IPSec за всички IP пакети. |
[IPv4 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреса на устройството. |
[IPv6 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреса на устройството. |
[Remote Address]
Щракнете върху радио бутона за типа на IP адресите на другите устройства, за да приложите политиката.
Щракнете върху радио бутона за типа на IP адресите на другите устройства, за да приложите политиката.
[All IP Addresses] | Изберете, за да използвате IPSec за всички IP пакети. |
[All IPv4 Addresses] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреси на другите устройства. |
[All IPv6 Addresses] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреси на другите устройства. |
[IPv4 Manual Settings] | Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[Addresses to Set Manually]
Ако сте избрали опцията [IPv4 Manual Settings] или [IPv6 Manual Settings] за настройката [Remote Address], въведете IP адреса, за да приложите политиката. Можете също така да въведете диапазон от адреси чрез вмъкване на тире между адресите.
Ако сте избрали опцията [IPv4 Manual Settings] или [IPv6 Manual Settings] за настройката [Remote Address], въведете IP адреса, за да приложите политиката. Можете също така да въведете диапазон от адреси чрез вмъкване на тире между адресите.
Въвеждане на IP адреси
Описание | Пример | |
Въвеждане на един адрес | IPv4: Числа, разделени с точки. | 192.168.0.10 |
IPv6: Цифри и букви, разделени с двоеточие. | fe80::10 | |
Задаване на диапазон от адреси | Поставете тире между адресите. | 192.168.0.10-192.168.0.20 |
[Subnet Settings]
Когато задавате ръчно IPv4 адрес, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
Когато задавате ръчно IPv4 адрес, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
[Prefix Length]
Ако задавате ръчно диапазона на IPv6 адреси, ще можете да определите диапазона чрез префикси. Въведете диапазон между 0 и 128 като дължина на префикс.
Ако задавате ръчно диапазона на IPv6 адреси, ще можете да определите диапазона чрез префикси. Въведете диапазон между 0 и 128 като дължина на префикс.
[Local Port]/[Remote Port]
Ако искате да създадете отделни правила за всеки протокол, като напр. HTTP или WSD, щракнете върху радио бутона [Single Port] и въведете съответния номер на порт, за да определи дали протокола да използва IPSec.
Ако искате да създадете отделни правила за всеки протокол, като напр. HTTP или WSD, щракнете върху радио бутона [Single Port] и въведете съответния номер на порт, за да определи дали протокола да използва IPSec.
IPSec не се прилага към изложените по-долу пакети
Луупбек, мултикаст и броудкаст пакети
IKE пакети (с използване на UDP на порт 500)
ICMPv6 пакети за запитване за достъпни съседи и отговор на съседа
9
Задайте настройки за IKE.
[IKE Mode]
Показва се режимът, който се използва за протокол за обмен на ключове. Устройството поддържа основния режим, а не агресивен режим.
Показва се режимът, който се използва за протокол за обмен на ключове. Устройството поддържа основния режим, а не агресивен режим.
[Authentication Method]
Изберете [Pre-Shared Key Method] или [Digital Signature Method] за метода, който да се използва при удостоверяването на устройството. Трябва да разрешите TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да изберете [Pre-Shared Key Method]. Трябва да генерирате или инсталирате ключа и сертификата, преди да изберете [Digital Signature Method]. Конфигуриране на ключ и сертификат за TLS
Изберете [Pre-Shared Key Method] или [Digital Signature Method] за метода, който да се използва при удостоверяването на устройството. Трябва да разрешите TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да изберете [Pre-Shared Key Method]. Трябва да генерирате или инсталирате ключа и сертификата, преди да изберете [Digital Signature Method]. Конфигуриране на ключ и сертификат за TLS
[Valid for]
Укажете с каква продължителност е сесията за IKE SA (ISAKMP SA). Въведете времето в минути.
Укажете с каква продължителност е сесията за IKE SA (ISAKMP SA). Въведете времето в минути.
[Authentication]/[Encryption]/[DH Group]
Изберете алгоритъм от падащия списък. Всеки алгоритъм се използва за обмен на ключове.
Изберете алгоритъм от падащия списък. Всеки алгоритъм се използва за обмен на ключове.
[Authentication] | Изберете hash алгоритъм. |
[Encryption] | Изберете алгоритъм за шифроване. |
[DH Group] | Изберете групата Diffie-Hellman, която определя силата на ключа. |
Удостоверяване на устройството чрез предварително споделен ключ
1 | Щракнете върху радио бутона [Pre-Shared Key Method] за [Authentication Method], след което щракнете върху [Shared Key Settings]. |
2 | Въведете предварително споделения ключ с буквено-цифрени знаци и щракнете върху [OK]. |
3 | Укажете настройките [Valid for] и [Authentication]/[Encryption]/[DH Group]. |
Удостоверяване на устройството по метод с цифрови подписи
1 | Щракнете върху радио бутона [Digital Signature Method] за [Authentication Method], след което щракнете върху [Key and Certificate]. |
2 | Щракнете върху [Register Default Key] вдясно от ключа и сертификата, които искате да използвате. Преглед на подробности за сертификат Можете да проверите подробните данни за сертификата или да проверите сертификата, като щракнете върху съответната текстова връзка под [Key Name] или върху иконата на сертификата. |
3 | Укажете настройките [Valid for] и [Authentication]/[Encryption]/[DH Group]. |
10
Задаване на IPSec мрежови настройки.
[Use PFS]
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства.
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства.
[Specify by Time]/[Specify by Size]
Задайте условията за прекратяване на сесия за IPSec SA. IPSec SA се използва като комуникационен тунел. Поставете една или две отметки, ако е необходимо. Ако са поставени и двете отметки, сесията IPSec SA се прекратява, когато едно от условията е изпълнено.
Задайте условията за прекратяване на сесия за IPSec SA. IPSec SA се използва като комуникационен тунел. Поставете една или две отметки, ако е необходимо. Ако са поставени и двете отметки, сесията IPSec SA се прекратява, когато едно от условията е изпълнено.
[Specify by Time] | Въведете времето в минути, за да определите продължителността на една сесия. |
[Specify by Size] | Въведете размер в мегабайти, за да зададете количеството данни, които могат да бъдат прехвърлени в една сесия. |
[Select Algorithm]
Поставете отметка за [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимост от горния колонтитул на IPSec и използвания алгоритъм. AES-GCM е алгоритъм за удостоверяване и шифроване. Ако сте избрали [ESP], изберете също и алгоритми за удостоверяване и шифроване от падащите списъци [ESP Authentication] и [ESP Encryption].
Поставете отметка за [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимост от горния колонтитул на IPSec и използвания алгоритъм. AES-GCM е алгоритъм за удостоверяване и шифроване. Ако сте избрали [ESP], изберете също и алгоритми за удостоверяване и шифроване от падащите списъци [ESP Authentication] и [ESP Encryption].
[ESP Authentication] | За да разрешите ESP удостоверяване, изберете [SHA1] hash алгоритъм. Изберете [Do Not Use], ако искате да забраните ESP удостоверяването. |
[ESP Encryption] | Изберете алгоритъм за шифроване за ESP. Можете да изберете [NULL], ако не желаете да задавате алгоритъма, или да изберете [Do Not Use], ако желаете да забраните ESP шифроването. |
[Connection Mode]
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който шифрова полезното съдържание на IP пакетите. Тунелният режим, в който се капсулират цели IP пакети (горен колонтитул и полезно съдържание), не е достъпен.
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който шифрова полезното съдържание на IP пакетите. Тунелният режим, в който се капсулират цели IP пакети (горен колонтитул и полезно съдържание), не е достъпен.
11
Щракнете върху [OK].
Ако трябва да запаметите допълнителна политика за сигурност, се върнете към стъпка 6.
12
Задайте поредността на политиките, посочени в [Registered IPSec Policies].
Политиките се прилагат от най-високата позиция към най-ниската. Щракнете върху [Up] или [Down], за да преместите дадена политика нагоре или надолу.
Редактиране на политика
Щракнете върху съответната текстова връзка под [Policy Name] за екрана за редактиране.
Изтриване на политика
Щракнете върху [Delete] вдясно от политиката, която желаете да изтриете щракнете върху [OK].
щракнете върху [OK].13
Рестартирайте устройството. Рестартиране на устройството
|
Използване на работния панелМожете да разрешите или забраните шифрованата с IPSec комуникация също и от <Меню> в екрана Начало. <Използване на IPSec> |