配置 IPSec 设置
互联网协议安全(IPSec 或 IPsec)是用于加密通过网络(包括互联网)传输的数据的协议组。TLS 仅加密用于网页浏览器或电子邮件应用程序等特定应用程序的数据,而 IPSec 则加密整个 IP 数据包或 IP 数据包的有效载荷,从而提供更加多功能的安全系统。本机的 IPSec 以传输模式工作,可加密 IP 数据包的有效载荷。使用此功能,本机可以直接连接至相同虚拟专用网络(VPN)中的计算机。配置本机前,请在计算机上检查系统要求(
管理功能)并设置所需配置。
配置 IPSec 设置
对加密通信使用 IPSec 之前,需要注册安全策略(SP)。安全策略包含下述设置组。注册策略后,请指定应用顺序。
选择器
选择器定义 IP 数据包应用 IPSec 通信的条件。可选条件包括本机和要通信设备的 IP 地址和端口号。
IKE
IKE 配置用于密钥交换协议的 IKEv1。请注意,操作说明因所选认证方法而异。
[预共享密钥方法]
该认证方法对本机与其他设备之间的通信采用普通的密钥字,称为“共享密钥”。指定该认证方法之前,请启用远程用户界面的 TLS(
配置 TLS 的密钥和证书)。
[数字签名方法]
本机和其他设备通过相互验证数字签名而互相认证。预先生成或安装密钥和证书(
为网络通信注册密钥和证书)。
AH/ESP
指定在 IPSec 通信期间添加到数据包的 AH/ESP 的设置。AH 和 ESP 可同时使用。您也可以选择是否启用 PFS 加强安全性。
1
启动远程用户界面并以系统管理员模式登录。
启动远程用户界面2
单击门户页上的 [设置/注册]。
远程用户界面画面3
选择 [网络设置]
[IPSec设置]。
4
单击 [编辑]。
5
选择 [使用IPSec] 复选框,然后单击 [确定]。
如果您想要本机仅接收符合您在以下步骤中定义的安全策略之一的数据包,请取消选中 [接收非策略数据包] 复选框。
6
单击 [注册新策略]。
7
指定策略设置。
1 | 在 [策略名称] 文本框中,为用于识别策略的名称输入字母数字字符。 |
2 | 选择 [启用策略] 复选框。 |
8
指定选择器设置。
[本地地址]
单击用于本机 IP 地址类型的单选按钮应用策略。
[全部IP地址] | 选择此项对所有 IP 数据包使用 IPSec。 |
[IPv4地址] | 选择此项可对发送到本机的 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[IPv6地址] | 选择此项可对发送到本机的 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[远程地址]
单击用于其他设备 IP 地址类型的单选按钮应用策略。
[全部IP地址] | 选择此项对所有 IP 数据包使用 IPSec。 |
[全部IPv4地址] | 选择此项可对发送到其他设备的 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[全部IPv6地址] | 选择此项可对发送到其他设备的 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[IPv4手动设置] | 选择此项可指定单个 IPv4 地址或 IPv4 地址范围以应用 IPSec。在 [要手动设置的地址] 文本框中输入 IPv4 地址(或范围)。 |
[IPv6手动设置] | 选择此项可指定单个 IPv6 地址或 IPv6 地址范围以应用 IPSec。在 [要手动设置的地址] 文本框中输入 IPv6 地址(或范围)。 |
[要手动设置的地址]
如果 [远程地址] 选择 [IPv4手动设置] 或 [IPv6手动设置],请输入要应用策略的 IP 地址。您也可以通过在地址之间插入连字符输入地址范围。
输入 IP 地址
| 说明 | 示例 |
输入单个地址 | IPv4: 用点分隔数字。 | 192.168.0.10 |
IPv6: 用冒号分隔字母数字字符。 | fe80::10 |
指定地址范围 | 在地址之间插入连字符。 | 192.168.0.10-192.168.0.20 |
[子网设置]
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
[前缀长度]
手动指定 IPv6 地址的范围还能让您指定使用前缀的范围。输入 0 到 128 的范围作为前缀长度。
[本地端口]/[远程端口]
如果想要为各个协议(如 HTTP 或 WSD)创建单独的策略,请单击 [单端口] 单选按钮并输入该协议相应的端口号以确定是否使用 IPSec。
IPSec 不适用于以下数据包
环回、多路传送和广播包
IKE 数据包(在端口 500 上使用 UDP)
ICMPv6 邻居请求和邻居通告包
9
指定 IKE 设置。
[IKE模式]
显示用于密钥交换协议的模式。本机支持主模式,而不支持积极模式。
[认证方法]
选择 [预共享密钥方法] 或 [数字签名方法] 作为认证本机时使用的方法。需要先启用远程用户界面的 TLS,然后再选择 [预共享密钥方法]。需要先先生成或安装密钥和证书,然后再选择 [数字签名方法]。
配置 TLS 的密钥和证书 [有效时长]
指定 IKE SA(ISAKMP SA)持续的期间长度。以分钟为单位输入时间。
[认证]/[加密]/[DH组]
从下拉列表中选择算法。各算法用于密钥交换。
[认证] | 选择哈希算法。 |
[加密] | 选择加密算法。 |
[DH组] | 选择决定密钥强度的 Diffie-Hellman 组。 |
使用预共享密钥认证本机
1 | 单击 [认证方法] 的 [预共享密钥方法] 单选按钮,然后单击 [共享密钥设置]。 |
2 | 输入字母数字字符的预共享密钥,然后单击 [确定]。 |
3 | 指定 [有效时长] 和 [认证]/[加密]/[DH组] 设置。 |
使用数字签名方法认证本机
1 | 单击 [认证方法] 的 [数字签名方法] 单选按钮,然后单击 [密钥和证书]。 |
2 | 单击想要使用的密钥和证书右侧的 [注册默认密钥]。 查看证书的详细内容 您可以检查证书的详细内容,或单击 [密钥名称] 下相应的文本链接或证书图标来核实证书。 |
3 | 指定 [有效时长] 和 [认证]/[加密]/[DH组] 设置。 |
10
指定 IPSec 网络设置。
[使用PFS]
选择此复选框可对 IPSec 会话密钥启用完全正向保密(PFS)。启用 PFS 将提高安全性,同时增加通信的载荷。请确保对其他设备也启用了 PFS。
[按时间指定]/[按大小指定]
设置终止 IPSec SA 会话的条件。IPSec SA 用作通信通道。根据需要选择两个复选框之一或全选。如果两个复选框全选,当满足任一条件时,将终止 IPSec SA 会话。
[按时间指定] | 以分钟为单位输入时间来指定会话持续的时间。 |
[按大小指定] | 以兆字节为单位输入大小来指定在会话中可传输多少数据。 |
[选择算法]
根据 IPSec 标头和使用的算法选择 [ESP]、[ESP(AES-GCM)] 或 [AH(SHA1)] 复选框。AES-GCM 是用于认证和加密的算法。如果选择 [ESP],也请从 [ESP认证] 和 [ESP加密] 下拉列表中选择用于认证和加密的算法。
[ESP认证] | 若要启用 ESP 认证,请对哈希算法选择 [SHA1]。如果想要禁用 ESP 认证,请选择 [不使用]。 |
[ESP加密] | 选择 ESP 的加密算法。如果不想指定算法,则可以选择 [空],如果想要禁用 ESP 加密,则选择 [不使用]。 |
[连接模式]
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
11
单击 [确定]。
如果需要注册其他安全策略,请返回步骤 6。
12
对 [已注册IPSec策略] 下列出的策略排序。
从最高位置到最低位置应用策略。单击 [上] 或 [下] 可升序或降序移动策略。
编辑策略
单击编辑画面的 [策略名称] 下的相应文本链接。
删除策略
单击想要删除的策略名称右侧的 [删除]
单击 [确定]。
13
链接