„IPSec“ parametrų konfigūravimas
Interneto saugos protokolai („IPSec“ arba „IPsec“) – tai protokolų paketas per tinklą, įskaitant interneto tinklus, perduodamiems duomenims šifruoti. TLS šifruoja tiktai konkrečioje programoje, pvz., interneto naršyklėje ar el. pašto programoje, naudojamus duomenis, o „IPSec“ šifruoja visus IP paketus arba IP paketų mokomąją krovą ir teikia lankstesnę saugos sistemą. Aparato „IPSec“ veikia transportavimo režimu, kuriuo šifruojama IP paketų mokomoji apkrova. Naudojant šią funkciją, aparatas gali tiesiogiai jungtis prie kompiuterio, esančio tame pačiame virtualiajame privačiame tinkle (VPN). Prieš konfigūruodami aparatą patikrinkite sistemos reikalavimus ir nustatykite reikiamą kompiuterio konfigūraciją. Valdymo funkcijos
|
|
„IPSec“ naudojimas su IP adreso filtruPaketų gavimo metu „IPSec“ nustatymai taikomi prieš IP adreso filtravimo nuostatas, o paketų perdavimo metu IP adreso nuostatos taikomos prieš „IPSec“ nuostatas. Užkardos taisyklių IP adreso nurodymas
|
Saugos politikų registravimas
Norėdami šifruotam ryšiui naudoti „IPSec“, prieš įjungdami „IPSec“ nustatymus turite užregistruoti saugos politikas (SP) („IPSec“ ryšio įjungimas). Saugos politika susideda iš toliau aprašytų parametrų grupių. Galite užregistruoti keletą saugos politikų pagal IP adreso ir prievado numerio derinį. Užregistravę politikas, nurodykite eilės tvarką, kuria jos bus taikomos.
Išrinkiklis
Išrinkiklis apibrėžia IP paketų sąlygas taikyti „IPSec“ ryšį. Pasirenkamos sąlygos apima IP adresus ir aparato bei įrenginių, su kuriais užmezgamas ryšys, prievadų numerius.
IKE
IKE konfigūruoja „IKEv1“, kuris naudojamas raktų mainų protokolui. Įsidėmėkite, kad nurodymai skiriasi, atsižvelgiant į pasirinktą autentifikavimo metodą.
[Pre-Shared Key Method]
Su kitais įrenginiais galima bendrai naudoti raidinių ir skaitinių simbolių raktą. Iš anksto įgalinkite „Remote UI“ (Nuotolinė naudotojo sąsaja) TLS (TLS naudojimas šifruotam ryšiui).
Su kitais įrenginiais galima bendrai naudoti raidinių ir skaitinių simbolių raktą. Iš anksto įgalinkite „Remote UI“ (Nuotolinė naudotojo sąsaja) TLS (TLS naudojimas šifruotam ryšiui).
[Digital Signature Method]
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Pasiruoškite raktų porą, kuri bus naudojama (CA išduotų raktų porų ir skaitmeninių sertifikatų naudojimas).
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Pasiruoškite raktų porą, kuri bus naudojama (CA išduotų raktų porų ir skaitmeninių sertifikatų naudojimas).
Protokolų ir parinkčių nustatymas
Nurodykite ESP ir AH, kurie įtraukiami į paketus „IPSec“ ryšio metu, parametrus. ESP ir AH negalima naudoti tuo pačiu metu. Be to, galite pasirinkti, ar norite įjungti PFS, kad būtų užtikrinta didesnė sauga.
1
Paleiskite „Remote UI“ (Nuotolinė naudotojo sąsaja)ir prisijunkite valdymo režimu. Priemonės „Remote UI“ (Nuotolinė naudotojo sąsaja) paleidimas
2
Spustelėkite [Settings/Registration].
3
Spustelėkite [Security] 
[IPSec Settings].
[IPSec Settings].
4
Spustelėkite [IPSec Policy List].
5
Spustelėkite [Register IPSec Policy].
6
Lauke [Policy Name] įveskite politikos pavadinimą ir pažymėkite žymės langelį [Enable Policy].
[Policy Name]
Įveskite pavadinimo, naudojamo politikai identifikuoti, raidinius ir skaitinius simbolius.
Įveskite pavadinimo, naudojamo politikai identifikuoti, raidinius ir skaitinius simbolius.
[Enable Policy]
Pažymėkite žymės langelį, kad įjungtumėte politiką. Kai nenaudojate politikos, šį žymės langelį išvalykite.
Pažymėkite žymės langelį, kad įjungtumėte politiką. Kai nenaudojate politikos, šį žymės langelį išvalykite.
7
Nurodykite išrinkiklio parametrus.
[Local Address]
Pasirinkite aparato IP adreso tipą, kad pritaikytumėte politiką iš toliau pateikto sąrašo.
Pasirinkite aparato IP adreso tipą, kad pritaikytumėte politiką iš toliau pateikto sąrašo.
|
[All IP Addresses]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[IPv4 Address]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv4 adresą arba iš jo.
|
|
[IPv6 Address]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv6 adresą arba iš jo.
|
|
[IPv4 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv4 adresą arba IPv4 adresų diapazoną „IPSec“ taikyti. Įveskite IPv4 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv6 adresą arba IPv6 adresų diapazoną „IPSec“ taikyti. Įveskite IPv6 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
[Addresses to Set Manually]
Jei dalyje [IPv4 Manual Settings] pasirinkta [IPv6 Manual Settings] arba [Local Address], įveskite IP adresą politikai taikyti.
Jei dalyje [IPv4 Manual Settings] pasirinkta [IPv6 Manual Settings] arba [Local Address], įveskite IP adresą politikai taikyti.
[Subnet Settings]
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
[Remote Address]
Pasirinkite kitų įrenginių IP adreso tipą, kad pritaikytumėte politiką iš toliau pateikto sąrašo.
Pasirinkite kitų įrenginių IP adreso tipą, kad pritaikytumėte politiką iš toliau pateikto sąrašo.
|
[All IP Addresses]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[All IPv4 Address]
|
Pasirinkite, norėdami naudoti „IPSec“ visiems IP paketams, kurie siunčiami į IPv4 adresą iš jo.
|
|
[All IPv6 Address]
|
Pasirinkite, norėdami naudoti „IPSec“ visiems IP paketams, kurie siunčiami į IPv6 adresą iš jo.
|
|
[IPv4 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv4 adresą arba IPv4 adresų diapazoną „IPSec“ taikyti. Įveskite IPv4 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv6 adresą arba IPv6 adresų diapazoną „IPSec“ taikyti. Įveskite IPv6 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
[Addresses to Set Manually]
Jei dalyje [IPv4 Manual Settings] pasirinkta [IPv6 Manual Settings] arba [Remote Address], įveskite IP adresą politikai taikyti.
Jei dalyje [IPv4 Manual Settings] pasirinkta [IPv6 Manual Settings] arba [Remote Address], įveskite IP adresą politikai taikyti.
[Subnet Settings]
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
[Local Port]/[Remote Port]
Jei kiekvienam protokolui, pvz., HTTP arba SMTP, norite sukurti skirtingą politiką, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
Jei kiekvienam protokolui, pvz., HTTP arba SMTP, norite sukurti skirtingą politiką, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
„IPSec“ netaikomas paketams, kurie turi nurodytą sudėtinį arba platinimo adresą.
8
Nurodykite IKE parametrus.
[IKE Mode]
Rodomas raktų mainų protokolui naudojamas režimas. Paprastai rinkitės pagrindinį režimą.
Agresyvųjį režimą rinkitės, kai IP adresas nėra fiksuotas. Atkreipkite dėmesį, kad agresyviuoju režimu sauga yra mažesnė, nei pagrindiniu režimu.
[AUTH Method]
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Pre-Shared Key Method] arba [Digital Signature Method].
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Pre-Shared Key Method] arba [Digital Signature Method].
Kai srityje [IKE Mode] pasirinktas agresyvusis režimas, nustatymas [Pre-Shared Key Method] neužšifruoja bendrinamo rakto.
[Authentication/Encryption Algorithm]
Norėdami automatiškai nustatyti raktų mainams naudojamą algoritmą, pažymėkite žymės langelį [Auto]. Jei pažymėsite žymės langelį, algoritmas bus nustatomas kaip parodyta toliau.
Norėdami automatiškai nustatyti raktų mainams naudojamą algoritmą, pažymėkite žymės langelį [Auto]. Jei pažymėsite žymės langelį, algoritmas bus nustatomas kaip parodyta toliau.
|
[Authentication]
|
[SHA1 and MD5]
|
|
[Encryption]
|
[3DES-CBC and AES-CBC]
|
|
[DH Group]
|
[Group 2 (1024)]
|
Norėdami nustatyti algoritmą rankiniu būdu, išvalykite žymės langelį ir pasirinkite algoritmą.
|
[Authentication]
|
Pasirinkite maišos algoritmą.
|
|
[Encryption]
|
Pasirinkite šifravimo algoritmą.
|
|
[DH Group]
|
Pasirinkite „Diffie-Hellman“ grupę, kuri lemia rakto sudėtingumą.
|
[Pre-Shared Key Method] naudojimas autentifikavimui
|
1
|
Pasirinkite [Pre-Shared Key Method] srityje [AUTH Method] ir spustelėkite [Shared Key Settings].
|
|
2
|
Įveskite iš anksto bendrinamo rakto raidinių ir skaitinių simbolių ir spustelėkite [OK].
|
[Digital Signature Method] naudojimas autentifikavimui
|
1
|
Pasirinkite [Digital Signature Method] srityje [AUTH Method] ir spustelėkite [Key and Certificate].
|
|
2
|
Pasirinkite raktų porą, kurią norite naudoti, ir spustelėkite [Default Key Settings].
Raktų poros ar sertifikato informacijos peržiūra
Galite peržiūrėti sertifikato informaciją arba patikrinti sertifikatą spustelėdami atitinkamą teksto nuorodą [Key Name] arba sertifikato piktogramą. Raktų porų ir skaitmeninių sertifikatų tikrinimas
|
9
Nurodykite „IPSec“ tinklo parametrus.
[Use PFS]
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose. Kai PFS nenaudojate, išvalykite šį žymės langelį.
[Validity]
Nurodykite, kaip ilgai SA bus naudojamas kaip ryšių tunelis. Esant reikalui, pasirinkite žymės langelį [Specify by Time] arba [Specify by Size] ar abu žymės langelius. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
Nurodykite, kaip ilgai SA bus naudojamas kaip ryšių tunelis. Esant reikalui, pasirinkite žymės langelį [Specify by Time] arba [Specify by Size] ar abu žymės langelius. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
|
[Specify by Time]
|
Įveskite laiką minutėmis, kad nurodytumėte, kiek trunka seansas. Įvestas laikas taikomas ir „IPSec“ SA, ir IKE SA.
|
|
[Specify by Size]
|
Įveskite dydį megabaitais, kad nurodytumėte, kiek duomenų galima transportuoti seanse. Įvestas dydis taikomas tik „IPSec SA“.
|
Jei pasirinkote tik [Specify by Size] žymės langelį
IKE SA galiojimo negalima nurodyti dydžiu, kad būtų taikoma pradinė [Specify by Time] reikšmė (480 min.).
[Authentication/Encryption Algorithm]
Pasirinkite „IPSec“ ryšio protokolą ir algoritmą.
Pasirinkite „IPSec“ ryšio protokolą ir algoritmą.
Ryšio nustatymas automatiniu būdu
Pasirinkite [Auto].
|
[ESP Authentication]
|
ESP įjungtas ir autentifikavimo algoritmas nustatytas kaip [SHA1 and MD5].
|
|
[ESP Encryption]
|
ESP įjungtas ir šifravimo algoritmas nustatytas kaip [3DES-CBC and AES-CBC].
|
ESP naudojimas
Pasirinkite [ESP] ir tuomet pasirinkite autentifikavimo ir šifravimo algoritmą.
|
[ESP Authentication]
|
Pasirinkite maišos algoritmą, kuris bus naudojamas ESP autentifikavimui.
|
|
[ESP Encryption]
|
Pasirinkite ESP šifravimo algoritmą.
|
AH naudojimas
Pasirinkite [AH] ir tuomet pasirinkite maišos algoritmą, kuris bus naudojamas AH autentifikavimui iš [AH Authentication].
[Connection Mode]
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
10
Spustelėkite [OK].
Jei norite užregistruoti papildomą saugos strategiją, grįžkite į 5 veiksmą.
11
Išdėstykite dalyje [IPSec Policy List] pateiktos strategijos eilės tvarką.
Politika taikoma nuo esančios aukščiausioje padėtyje iki žemiausioje. Spustelėkite [Raise Priority] arba [Lower Priority], kad perkeltumėte strategiją aukštyn arba žemyn.
Strategijos redagavimas
Galite spustelėti tekstinę nuorodą po [Policy Name], kad redaguotumėte nustatymus.
Politikos naikinimas
Spustelėkite [Delete] į dešinę nuo norimos panaikinti politikos.
12
Atlikite aparatūros paleidimą iš naujo.
Spustelėkite [Device Control], pasirinkite [Hard Reset] ir tuomet spustelėkite [Execute].
Parametrai įjungiami aparatūrą paleidus iš naujo.
„IPSec“ ryšio įjungimas
Užbaigę saugos politikų registravimą, įjunkite „IPSec“ ryšį.
1
Paleiskite „Remote UI“ (Nuotolinė naudotojo sąsaja)ir prisijunkite valdymo režimu. Priemonės „Remote UI“ (Nuotolinė naudotojo sąsaja) paleidimas
2
Spustelėkite [Settings/Registration].
3
Spustelėkite [Security] [IPSec Settings].
[IPSec Settings].
4
Spustelėkite [Edit].
5
Pažymėkite žymės langelį [Use IPSec], tada spustelėkite [OK].
[Use IPSec]
Kai aparate naudojate „IPPSec“, pažymėkite žymės langelį. Kai nenaudojate, žymės langelį išvalykite.
[Allow Receive Non-Policy Packets]
Jei naudodami „IPSec“ pažymėsite žymės langelį, užregistruotoms politikoms neprieinami paketai taip pat bus siunčiami / priimami. Norėdami išjungti politikoms neprieinamų paketų siuntimą / priėmimą, išvalykite žymės langelį.
Jei naudodami „IPSec“ pažymėsite žymės langelį, užregistruotoms politikoms neprieinami paketai taip pat bus siunčiami / priimami. Norėdami išjungti politikoms neprieinamų paketų siuntimą / priėmimą, išvalykite žymės langelį.
6
Atlikite aparatūros paleidimą iš naujo.
Spustelėkite [Device Control], pasirinkite [Hard Reset] ir tuomet spustelėkite [Execute].
Parametrai įjungiami aparatūrą paleidus iš naujo.
|
|
Valdymo pulto naudojimasBe to, „IPSec“ ryšį įjungti arba išjungti galite valdymo pulto nustatymų meniu. IPSec
|