Cấu Hình Cho Cài Đặt IPSec
Bảo Mật Giao Thức Internet (IPSec hoặc IPsec) là một bộ giao thức để mã hóa dữ liệu vận chuyển qua một mạng, bao gồm mạng Internet. Trong khi TLS chỉ mã hóa dữ liệu được sử dụng trên một ứng dụng cụ thể, chẳng hạn như một trình duyệt Web hoặc ứng dụng e-mail, IPSec mã hóa toàn bộ gói IP hoặc phần tải dữ liệu của gói IP, cung cấp một hệ thống bảo mật linh hoạt hơn. IPSec của máy hoạt động ở chế độ vận chuyển, trong đó phần tải dữ liệu của gói IP được mã hóa. Với tính năng này, máy có thể kết nối trực tiếp tới máy tính ở trong cùng một mạng riêng ảo (VPN). Hãy kiểm tra (
Các Chức Năng Quản Lý) yêu cầu hệ thống và cài đặt cấu hình cần thiết trên máy tính trước khi bạn cấu hình cho máy.
|
Sử dụng IPSec với bộ lọc địa chỉ IP |
Cấu Hình Cho Cài Đặt IPSec
Trước khi sử dụng IPSec cho truyền thông được mã hóa, bạn cần phải đăng ký chính sách bảo mật (SP). Chính sách bảo mật bao gồm các nhóm cài đặt được mô tả dưới đây. Sau khi đăng ký chính sách, hãy chỉ định thứ tự mà chúng sẽ được áp dụng.
Bộ chọn
Bộ chọn xác định các điều kiện cho các gói IP để áp dụng truyền thông IPSec. Các điều kiện có thể chọn bao gồm địa chỉ IP và số cổng của máy và các thiết bị tương tác truyền thông với máy.
IKE
IKE cấu hình IKEv1 được sử dụng cho giao thức trao đổi khóa. Lưu ý rằng các hướng dẫn có thể khác nhau tùy thuộc vào phương pháp xác thực được chọn.
[Pre-Shared Key Method]
Phương pháp xác thực này sử dụng một từ khóa phổ biến, được gọi là Khóa Chia Sẻ, cho tương tác truyền thông giữa máy và các thiết bị khác. Kích hoạt TLS cho UI Từ Xa trước khi chỉ định phương pháp xác thực này (
Cấu hình Khóa và Chứng chỉ cho TLS).
[Digital Signature Method]
Máy và các thiết bị khác xác thực lẫn nhau bằng cách xác minh chữ ký số của nhau. Hãy tạo hoặc cài đặt khóa và chứng chỉ từ trước (
Đăng ký Khóa và Chứng chỉ cho Truyền Thông Mạng).
AH/ESP
Chỉ định cài đặt cho AH/ESP, được thêm vào các gói trong quá trình truyền thông IPSec. AH và ESP có thể được sử dụng cùng một lúc. Bạn cũng có thể chọn có kích hoạt PFS để bảo mật chặt chẽ hơn hay không.
1
Khởi động UI Từ Xa và đăng nhập vào Chế Độ Người Quản Lý Hệ Thống.
Khởi động UI Từ Xa2
Nhấp vào [Settings/Registration] trên trang Cổng thông tin.
Màn Hình UI Từ Xa3
Chọn [Network Settings]
[IPSec Settings].
4
Nhấp vào [Edit].
5
Chọn hộp kiểm tra [Use IPSec] và bấm [OK].
Nếu bạn muốn máy chỉ nhận các gói khớp với một trong các chính sách bảo mật mà bạn xác định rõ trong các bước dưới đây, hãy bỏ chọn ô đánh dấu [Receive Non-Policy Packets].
6
Nhấp vào [Register New Policy].
7
Chỉ định Cài Đặt Chính Sách.
1 | Trông hộp văn bản [Policy Name], hãy nhập ký tự chữ cái và chữ số cho tên được sử dụng để nhận dạng chính sách. |
2 | Chọn vào ô đánh dấu [Enable Policy]. |
8
Chỉ định Cài Đặt Bộ chọn
[Local Address]
Nhấp vào nút radio cho loại địa chỉ IP của máy để áp dụng các chính sách.
[All IP Addresses] | Chọn sử dụng IPSec cho tất cả các gói IP. |
[IPv4 Address] | Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ các địa chỉ IPv4 của máy. |
[IPv6 Address] | Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ một địa chỉ IPv6 của máy. |
[Remote Address]
Nhấp vào nút radio cho loại địa chỉ IP của các thiết bị khác để áp dụng các chính sách.
[All IP Addresses] | Chọn sử dụng IPSec cho tất cả các gói IP. |
[All IPv4 Addresses] | Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ các địa chỉ IPv4 của các thiết bị khác. |
[All IPv6 Addresses] | Chọn sử dụng IPSec cho tất cả các gói IP được gửi đến hoặc từ các địa chỉ IPv6 của các thiết bị khác. |
[IPv4 Manual Settings] | Chọn để chỉ định một địa chỉ IPv4 đơn hoặc một chuỗi địa chỉ IPv4 để áp dụng IPSec. Nhập địa chỉ IPv4 (hoặc dãy) trong hộp văn bản [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Chọn để chỉ định một địa chỉ IPv6 đơn hoặc một chuỗi địa chỉ IPv6 để áp dụng IPSec. Nhập địa chỉ IPv6 (hoặc dãy) trong hộp văn bản [Addresses to Set Manually]. |
[Addresses to Set Manually]
Nếu [IPv4 Manual Settings] hoặc [IPv6 Manual Settings] được chọn cho [Remote Address], hãy nhập địa chỉ IP để áp dụng chính sách. Bạn có thể nhập một dãy các địa chỉ bằng cách chèn dấu gạch ngang giữa các địa chỉ.
Nhập địa chỉ IP
| Mô tả | Ví dụ |
Nhập một địa chỉ đơn | IPv4: Phân cách các số bằng dấu chấm. | 192.168.0.10 |
IPv6: Phân cách các ký tự bằng dấu hai chấm. | fe80::10 |
Chỉ định dãy địa chỉ | Chèn một dấu gạch ngang giữa các địa chỉ. | 192.168.0.10-192.168.0.20 |
[Subnet Settings]
Khi xác định địa chỉ IPv4 theo cách thủ công, bạn có thể biểu thị dãy bằng cách sử dụng mặt nạ mạng con. Nhập mặt nạ mạng con, sử dụng các dấu chấm để phân cách các số (ví dụ: "255.255.255.240").
[Prefix Length]
Chỉ định dãy địa chỉ IPv6 theo cách thủ công cũng cho phép bạn chỉ định dãy sử dụng tiền tố. Nhập dãy từ 0 đến 128 làm độ dài tiền tố.
[Local Port]/[Remote Port]
Nếu bạn muốn tạo ra các chính sách riêng biệt cho từng giao thức, chẳng hạn như HTTP hoặc WSD, hãy nhấp vào nút radio [Single Port] và nhập số cổng phù hợp cho giao thức để xác định có sử dụng IPSec hay không.
IPSec không áp dụng cho các gói sau
Gói lặp lại, truyền thông đa hướng, và thông tin phát đi
Các gói IKE (sử dụng UDP trên cổng 500)
Các gói chào mời lân cận (neighbor solicitation) và quảng cáo lân cận (neighbor advertisement) ICMPv6
9
Chỉ định Cài Đặt IKE.
[IKE Mode]
Chế độ được sử dụng cho các giao thức trao đổi khóa sẽ được hiển thị. Máy hỗ trợ chế độ chính, không hỗ trợ chế độ linh hoạt.
[Authentication Method]
Chọn [Pre-Shared Key Method] hoặc [Digital Signature Method] cho phương pháp được sử dụng khi xác thực máy. Bạn cần phải kích hoạt TLS cho UI Từ Xa trước khi chọn [Pre-Shared Key Method]. Bạn cần phải tạo hoặc cài đặt khóa và chứng chỉ trước khi chọn [Digital Signature Method].
Cấu hình Khóa và Chứng chỉ cho TLS [Valid for]
Chỉ định thời gian một phiên kéo dài cho IKE SA (ISAKMP SA). Nhập thời gian tính bằng phút.
[Authentication]/[Encryption]/[DH Group]
Chọn một thuật toán từ danh sách thả xuống. Mỗi thuật toán được sử dụng trong trao đổi khóa.
[Authentication] | Chọn thuật toán băm. |
[Encryption] | Chọn thuật toán mã hóa. |
[DH Group] | Chọn nhóm Diffie-Hellman xác định độ mạnh của khóa. |
Xác thực máy bằng mã khóa cần chia sẻ trước
1 | Nhấp vào nút radio [Pre-Shared Key Method] cho [Authentication Method] và sau đó nhấp vào [Shared Key Settings]. |
2 | Nhập ký tự chữ cái và chữ số cho mã khóa cần chia sẻ trước và nhấp vào [OK]. |
3 | Chỉ định các cài đặt [Valid for] và [Authentication]/[Encryption]/[DH Group]. |
Xác thực máy bằng phương pháp chữ ký số
1 | Nhấp vào nút radio [Digital Signature Method] cho [Authentication Method] và sau đó nhấp vào [Key and Certificate]. |
2 | Nhấp vào [Register Default Key] phía bên phải của khóa và chứng chỉ bạn muốn sử dụng. Xem chi tiết của một chứng chỉ Bạn có thể kiểm tra chi tiết của chứng chỉ hoặc xác nhận chứng chỉ bằng cách bấm vào liên kết văn bản tương ứng dưới [Key Name] hoặc biểu tượng chứng chỉ. |
3 | Chỉ định các cài đặt [Valid for] và [Authentication]/[Encryption]/[DH Group]. |
10
Chỉ định Cài Đặt Mạng IPSec.
[Use PFS]
Chọn vào ô đánh dấu để kích hoạt Perfect Forward Secrecy (PFS) cho các khóa phiên IPSec. Việc kích hoạt PFS sẽ tăng cường bảo mật trong khi tăng tải về trong tương tác truyền thông. Hãy đảm bảo rằng PFS cũng được kích hoạt trên các thiết bị khác.
[Specify by Time]/[Specify by Size]
Cài đặt các điều kiện chấm dứt một phiên cho IPSec SA. IPSec SA được sử dụng làm một đường hầm truyền thông. Chọn vào một trong hai hoặc cả hai ô đánh dấu khi cần thiết. Nếu cả hai ô đánh dấu đã được chọn, phiên IPSec SA sẽ chấm dứt khi một trong các điều kiện được đáp ứng.
[Specify by Time] | Nhập thời gian tính bằng phút để chỉ định thời gian một phiên kéo dài. |
[Specify by Size] | Nhập dung lượng tính bằng megabyte để chỉ định bao nhiêu dữ liệu có thể vận chuyển trong một phiên. |
[Select Algorithm]
Chọn vào (các) ô đánh dấu [ESP], [ESP (AES-GCM)] hoặc [AH (SHA1)] tùy thuộc vào tiêu đề IPSec và các thuật toán được sử dụng. AES-GCM là một thuật toán cho cả mã hóa và xác thực. Nếu [ESP] được chọn, cũng chọn cả thuật toán cho xác thực và mã hóa từ danh sách thả xuống [ESP Authentication] và [ESP Encryption].
[ESP Authentication] | Để kích hoạt xác nhận ESP, chọn [SHA1] cho các thuật toán băm. Chọn [Do Not Use] nếu bạn muốn tắt xác thực ESP. |
[ESP Encryption] | Chọn thuật toán mật mã cho ESP. Bạn có thể chọn [NULL] nếu bạn không muốn chỉ định thuật toán, hoặc chọn [Do Not Use] nếu bạn muốn tắt mã hóa ESP. |
[Connection Mode]
Chế độ kết nối của IPSec sẽ được hiển thị. Máy hỗ trợ chế độ vận chuyển, trong đó phần tải dữ liệu của gói IP được mã hóa. Chế độ đường hầm , trong đó toàn bộ các gói IP (tiêu đề và phần tải dữ liệu) được đóng gói không khả dụng.
11
Nhấp vào [OK].
Nếu bạn cần đăng ký một chính sách bảo mật bổ sung, quay lại bước 6.
12
Sắp xếp thứ tự của các chính sách được liệt kê dưới [Registered IPSec Policies].
Chính sách được áp dụng từ vị trí cao nhất đến thấp nhất. Nhấp vào [Up] hoặc [Down] để di chuyển thứ tự lên hoặc xuống một chính sách.
Chỉnh sửa một chính sách
Nhấp vào liên kết văn bản tương ứng dưới [Policy Name] cho màn hình chỉnh sửa.
Xóa một chính sách
Nhấp vào [Delete] ở phía bên phải tên chính sách bạn muốn xóa
nhấp vào [OK].
13
Khởi động lại máy.
Khởi động lại máy |
Sử dụng bảng thao tácBạn cũng có thể bật hoặc tắt truyền thông IPSec từ <Menu> trong màn hình Home. <Dùng IPSec> |
LIÊN KẾT