配置 IPSec 设置
互联网协议安全(IPSec 或 IPsec)是用于加密通过网络(包括互联网)传输的数据的协议组。TLS 仅加密用于网页浏览器或电子邮件应用程序等特定应用程序的数据,而 IPSec 则加密整个 IP 数据包或 IP 数据包的有效载荷,从而提供更加多功能的安全系统。本机的 IPSec 以传输模式工作,可加密 IP 数据包的有效载荷。使用此功能,本机可以直接连接至相同虚拟专用网络 (VPN) 中的计算机。配置本机前,请在计算机上检查系统要求并设置所需配置。(管理功能)
|
将 IPSec 与 IP 地址筛选器配合使用在数据包接收期间的 IP 地址过滤设置之前应用 IPSec 设置,而在数据包传输期间的 IPSec 设置之前应用 IP 地址设置。指定用于防火墙规则的 IP 地址 |
注册安全策略
要对加密通信使用 IPSec,需要在启用 IPSec 设置(启用 IPSec 通信)之前注册安全策略 (SP)。全策略包含下述设置组。可以根据 IP 地址和端口号的组合注册多个策略。注册策略后,请指定应用顺序。
选择器
选择器定义 IP 数据包应用 IPSec 通信的条件。可选条件包括本机和要通信设备的 IP 地址和端口号。
IKE
IKE 配置用于密钥交换协议的 IKEv1。请注意,操作说明因所选认证方法而异。
[预共享密钥方法]
字母数字字符的密钥可与其他设备共享。请事先启用远程用户界面的 TLS(为加密通信使用 TLS)。
字母数字字符的密钥可与其他设备共享。请事先启用远程用户界面的 TLS(为加密通信使用 TLS)。
[数字签名方法]
本机和其他设备通过相互验证数字签名而相互认证。准备好要使用的密钥对 (使用 CA 发布的密钥对和数字证书)。
本机和其他设备通过相互验证数字签名而相互认证。准备好要使用的密钥对 (使用 CA 发布的密钥对和数字证书)。
设置协议和选项
指定在 IPSec 通信期间添加到数据包的 ESP 和 AH 的设置。ESP 和 AH 不得同时使用。也可以选择是否启用 PFS 加强安全性。
1
启动远程用户界面并以管理模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全] 
[IPSec设置]。
[IPSec设置]。
4
单击 [IPSec策略列表]。
5
单击 [注册IPSec策略]。
6
在 [策略名称] 中输入策略名称并选择 [启用策略] 复选框。
[策略名称]
输入用于识别策略的字母数字字符名称。
输入用于识别策略的字母数字字符名称。
[启用策略]
选择此复选框以启用该策略。不使用该策略时,请取消选择此复选框。
选择此复选框以启用该策略。不使用该策略时,请取消选择此复选框。
7
指定选择器设置。
[本地地址]
从以下列表选择要应用到策略的本机 IP 地址类型。
从以下列表选择要应用到策略的本机 IP 地址类型。
[全部IP地址] | 选择此项对所有 IP 数据包使用 IPSec。 |
[IPv4地址] | 选择此项可对发送到本机的 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[IPv6地址] | 选择此项可对发送到本机的 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[IPv4手动设置] | 选择此项可指定单个 IPv4 地址或 IPv4 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv4 地址(或范围)。 |
[IPv6手动设置] | 选择此项可指定单个 IPv6 地址或 IPv6 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv6 地址(或范围)。 |
[手动设置的地址]
如果为 [本地地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
如果为 [本地地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
[子网设置]
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
[远程地址]
从以下所示列表选择要应用到策略的其他设备的 IP 地址类型。
从以下所示列表选择要应用到策略的其他设备的 IP 地址类型。
[全部IP地址] | 选择此项对所有 IP 数据包使用 IPSec。 |
[全部IPv4地址] | 选择此项可对发送到 IPv4 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[全部IPv6地址] | 选择此项可对发送到 IPv6 地址或从其发出的所有 IP 数据包使用 IPSec。 |
[IPv4手动设置] | 选择此项可指定单个 IPv4 地址或 IPv4 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv4 地址(或范围)。 |
[IPv6手动设置] | 选择此项可指定单个 IPv6 地址或 IPv6 地址范围以应用 IPSec。在 [手动设置的地址] 文本框中输入 IPv6 地址(或范围)。 |
[手动设置的地址]
如果为 [远程地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
如果为 [远程地址] 选择了 [IPv4手动设置] 或 [IPv6手动设置],输入要应用策略的 IP 地址。
[子网设置]
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
手动指定 IPv4 地址时,可以使用子网掩码表示范围。输入子网掩码,使用点分隔数字(例如:“255.255.255.240”)。
[本地端口]/[远程端口]
如果想要为各个协议(如 HTTP 或 SMTP)创建单独的策略,请输入该协议相应的端口号以确定是否使用 IPSec。
如果想要为各个协议(如 HTTP 或 SMTP)创建单独的策略,请输入该协议相应的端口号以确定是否使用 IPSec。
IPSec 不适用于指定多路传送或广播地址的数据包。
8
指定 IKE 设置。
[IKE模式]
将显示用于密钥交换的模式。通常选择主要模式。
当 IP 地址未固定时,选择积极模式。请注意,积极模式的安全性比主要模式更低。
[认证方法]
为认证本机时使用的方法选择 [预共享密钥方法] 或 [数字签名方法]。
为认证本机时使用的方法选择 [预共享密钥方法] 或 [数字签名方法]。
当在 [IKE模式] 中选择积极模式时,[预共享密钥方法] 设置不加密共享密钥。
[认证/加密算法]
要自动设置用于密钥交换的算法,选择 [自动] 复选框。如果选择该复选框,算法设置为如下。
要自动设置用于密钥交换的算法,选择 [自动] 复选框。如果选择该复选框,算法设置为如下。
[认证] | [SHA1和MD5] |
[加密] | [3DES-CBC和AES-CBC] |
[DH群组] | [群组2(1024)] |
要手动设置算法,取消选择该复选框并选择算法。
[认证] | 选择哈希算法。 |
[加密] | 选择加密算法。 |
[DH群组] | 选择决定密钥强度的 Diffie-Hellman 组。 |
为认证使用 [预共享密钥方法]
1 | 选择 [预共享密钥方法] 作为 [认证方法],然后单击 [共享密钥设置]。 |
2 | 输入字母数字字符的预共享密钥,然后单击 [确定]。  |
为认证使用 [数字签名方法]
1 | 为 [认证方法] 选择 [数字签名方法] 并单击 [密钥和证书]。 |
2 | 选择要使用的密钥对并单击 [默认密钥设置]。  查看密钥对或证书的详细信息 您可以检查证书的详细内容,或单击 [密钥名称] 下相应的文本链接或证书图标核实证书。 验证密钥对和数字证书 |
9
指定 IPSec 网络设置。
[使用PFS]
选择此复选框可对 IPSec 会话密钥启用完全正向保密(PFS)。启用 PFS 将提高安全性,同时增加通信的载荷。请确保对其他设备也启用了 PFS。不使用 PFS 时,取消选择该复选框。
[有效期]
指定将 SA 用作通信通道的时间长度。必要时选择 [通过时间指定] 或 [通过尺寸指定] 复选框。如果选择了这两个复选框,IPSec SA 会话将在满足任一条件时终止。
指定将 SA 用作通信通道的时间长度。必要时选择 [通过时间指定] 或 [通过尺寸指定] 复选框。如果选择了这两个复选框,IPSec SA 会话将在满足任一条件时终止。
[通过时间指定] | 以分钟为单位输入时间来指定会话持续的时间。输入的时间同时适用于 IPSec SA 和 IKE SA。 |
[通过尺寸指定] | 以兆字节为单位输入大小来指定在会话中可传输多少数据。输入的大小仅适用于 IPSec SA。 |
如果仅选择 [通过尺寸指定] 复选框
无法按大小指定 IKE SA 有效性,因此应用 [通过时间指定] 的初始值(480 分钟)。
[认证/加密算法]
选择用于 IPSec 通信的协议和算法。
选择用于 IPSec 通信的协议和算法。
自动设置连接选择 [自动]。
[ESP认证] | 将启用 ESP,同时认证算法设置为 [SHA1和MD5]。 |
[ESP加密] | 将启用 ESP,同时加密算法设置为 [3DES-CBC和AES-CBC]。 |
使用 ESP选择 [ESP],并选择认证算法及加密算法。
[ESP认证] | 为 ESP 认证选择使用哈希算法。 |
[ESP加密] | 为 ESP 选择加密算法。 |
使用 AH选择 [AH],并从 [AH认证] 选择用于 AH 认证的哈希算法。
[连接模式]
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
显示 IPSec 的连接模式。本机支持传输模式,在此模式中将加密 IP 数据包的有效载荷。封装整个 IP 数据包(标头和有效载荷)的通道模式不可用。
10
单击 [确定]。
如果需要注册其他安全策略,请返回步骤 5。
11
对 [IPSec策略列表] 下列出的策略排序。
从最高位置到最低位置应用策略。单击 [提高优先级] 或 [降低优先级] 可升序或降序移动策略。
编辑策略
可以单击 [策略名称] 下的文本链接编辑设置。
删除策略
单击希望删除策略右侧的 [删除]。
12
执行硬重置。
单击 [设备控制],选择 [硬复位],然后单击 [执行]。
设置会在执行硬重置后启用。
启用 IPSec 通信
完成注册安全策略后,启用 IPSec 通信。
1
启动远程用户界面并以管理模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全] [IPSec设置]。
[IPSec设置]。4
单击 [编辑]。
5
选择 [使用IPSec] 复选框,然后单击 [确定]。
[使用IPSec]
当在本机中使用 IPSec 时,选择该复选框。当不使用时,取消选择此复选框。
[允许接收非策略数据包]
如果当使用 IPSec 时选择该复选框,还会发送/接收对注册的策略不可用的数据包。要禁用发送/接收对该策略不可用的数据包,取消选择该复选框。
如果当使用 IPSec 时选择该复选框,还会发送/接收对注册的策略不可用的数据包。要禁用发送/接收对该策略不可用的数据包,取消选择该复选框。
6
执行硬重置。
单击 [设备控制],选择 [硬复位],然后单击 [执行]。
设置会在执行硬重置后启用。
|
使用操作面板还可以从操作面板设置菜单启用或禁用 IPSec 通信。IPSec |