Конфигуриране на IPSec настройки
Защита на интернет протокол (IPSec или IPsec) е протокол за шифроване на данни, прехвърляни чрез мрежа, включително чрез интернет мрежи. Докато TLS шифрова само данните, които се използват от специфично приложение, като например уеб браузър или имейл приложение, IPSec шифрова целите IP пакети или тяхното полезно съдържание, като предлага по-гъвкава система за сигурност. IPSec на устройството работи в транспортен режим, който шифрова полезното съдържание на IP пакетите. С тази функция устройството може да се свърже директно към компютър, който е в същата виртуална частна мрежа (VPN). Проверете изискванията към системата и задайте необходимите настройки на компютъра, преди да конфигурирате устройството. Функции за управление
|
Използване на IPSec с филтър за IP адресиIPSec настройките се прилагат преди настройките за филтриране на IP адреси по време на получаване на пакета, докато настройките на IP адреси се прилагат преди IPSec настройките при прехвърляне на пакета. Задаване на IP адреси за правила за защитни стени |
Регистриране на правила за защита
За да използвате IPSec за шифрована комуникация, трябва да регистрирате правила за защита (SP), преди да активирате IPsec настройките (Активиране на IPSec комуникация). Правилото за защита се състои от групите с настройки, описани по-долу. Можете да регистрирате няколко правила за защита според комбинацията от IP адрес и номер на порт. След като регистрирате правилата, задайте реда, в който да се прилагат.
Селектор
Селекторът определя условия за IP пакетите, за да се приложи IPSec комуникация. Условията, които могат да се избират, включват IP адреси и номера на портове на това устройство и устройствата, с които се осъществява комуникация.
IKE
IKE конфигурира IKEv1, който се използва за протокол за обмен на ключове. Имайте предвид, че инструкциите се различават в зависимост от избрания метод за удостоверяване.
[Pre-Shared Key Method]
Ключ с буквено-цифрени знаци може да се сподели с други устройства. Активирайте TLS за потребителския интерфейс за отдалечено управление предварително (Използване на TLS за шифровани комуникации).
Ключ с буквено-цифрени знаци може да се сподели с други устройства. Активирайте TLS за потребителския интерфейс за отдалечено управление предварително (Използване на TLS за шифровани комуникации).
[Digital Signature Method]
Това устройство и другите устройства се удостоверяват помежду си чрез взаимна проверка на цифровите си подписи. Подгответе двойката ключове, които да използвате (Използване на издадени от CA ключове двойки и цифрови сертификати).
Това устройство и другите устройства се удостоверяват помежду си чрез взаимна проверка на цифровите си подписи. Подгответе двойката ключове, които да използвате (Използване на издадени от CA ключове двойки и цифрови сертификати).
Задаване на протоколи и опции
Посочете настройките за ESP и AH, които се добавят към пакетите по време на IPSec комуникация. ESP и AH не могат да се използват едновременно. Можете също така да изберете дали да разрешите PFS за по-стриктна защита.
1
Стартирайте потребителския интерфейс за отдалечено управление и влезте в режим на управление. Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration].
3
Щракнете върху [Security] 
[IPSec Settings].
[IPSec Settings].
4
Щракнете върху [IPSec Policy List].
5
Щракнете върху [Register IPSec Policy].
6
Въведете име на правило в [Policy Name] и поставете отметка в квадратчето [Enable Policy].
[Policy Name]
Въведете буквено-цифрени знаци за името, което се използва за идентифициране на правилото.
Въведете буквено-цифрени знаци за името, което се използва за идентифициране на правилото.
[Enable Policy]
Поставете отметка в квадратчето, за да активирате правилото. Когато не използвате правилото, премахнете отметката от квадратчето.
Поставете отметка в квадратчето, за да активирате правилото. Когато не използвате правилото, премахнете отметката от квадратчето.
7
Задайте настройки за свързан елемент за избор.
[Local Address]
Изберете типа на IP адреса на устройството, за да приложите правилото от следния списък.
Изберете типа на IP адреса на устройството, за да приложите правилото от следния списък.
[All IP Addresses] | Изберете, за да използвате IPSec за всички IP пакети. |
[IPv4 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреса на устройството. |
[IPv6 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреса на устройството. |
[IPv4 Manual Settings] | Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[Addresses to Set Manually]
Ако сте избрали [IPv4 Manual Settings] или [IPv6 Manual Settings] за [Local Address], въведете IP адреса, за да приложите правилото.
Ако сте избрали [IPv4 Manual Settings] или [IPv6 Manual Settings] за [Local Address], въведете IP адреса, за да приложите правилото.
[Subnet Settings]
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: „255.255.255.240“).
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: „255.255.255.240“).
[Remote Address]
Изберете типа на IP адреса на другите устройства, за да приложите правилата от показания по-долу списък.
Изберете типа на IP адреса на другите устройства, за да приложите правилата от показания по-долу списък.
[All IP Addresses] | Изберете, за да използвате IPSec за всички IP пакети. |
[All IPv4 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адрес. |
[All IPv6 Address] | Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адрес. |
[IPv4 Manual Settings] | Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually]. |
[Addresses to Set Manually]
Ако сте избрали [IPv4 Manual Settings] или [IPv6 Manual Settings] за [Remote Address], въведете IP адреса, за да приложите правилото.
Ако сте избрали [IPv4 Manual Settings] или [IPv6 Manual Settings] за [Remote Address], въведете IP адреса, за да приложите правилото.
[Subnet Settings]
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: „255.255.255.240“).
Когато задавате ръчно IPv4 адреси, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: „255.255.255.240“).
[Local Port]/[Remote Port]
Ако желаете да създадете отделни правила за всеки протокол, например HTTP или SMTP, въведете съответния номер на порт за протокола, за да определите дали да се използва IPSec.
Ако желаете да създадете отделни правила за всеки протокол, например HTTP или SMTP, въведете съответния номер на порт за протокола, за да определите дали да се използва IPSec.
IPSec не се прилага за пакети, които имат посочен мултикаст или адрес за излъчване.
8
Задайте настройки за IKE.
[IKE Mode]
Показва се режимът, който се използва за протокол за обмен на ключове. В общия случай изберете основния режим.
Изберете агресивния режим, когато IP адресът не е фиксиран. Имайте предвид, че защитата е по-слаба в агресивен, отколкото в основен режим.
[AUTH Method]
Изберете [Pre-Shared Key Method] или [Digital Signature Method] за метода, използван при удостоверяване на устройството.
Изберете [Pre-Shared Key Method] или [Digital Signature Method] за метода, използван при удостоверяване на устройството.
Когато в [IKE Mode] е избран агресивен режим, настройката [Pre-Shared Key Method] не шифрова споделения ключ.
[Authentication/Encryption Algorithm]
За да зададете автоматично алгоритъм, който се използва за обмен на ключове, поставете отметка в квадратчето [Auto]. Ако поставите отметка, алгоритъмът се задава, както е показано по-долу.
За да зададете автоматично алгоритъм, който се използва за обмен на ключове, поставете отметка в квадратчето [Auto]. Ако поставите отметка, алгоритъмът се задава, както е показано по-долу.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
За да зададете алгоритъма ръчно, премахнете отметката от квадратчето и изберете алгоритъма.
[Authentication] | Изберете hash алгоритъм. |
[Encryption] | Изберете алгоритъм за шифроване. |
[DH Group] | Изберете групата Diffie-Hellman, която определя силата на ключа. |
Използване на [Pre-Shared Key Method] за удостоверяване
1 | Изберете [Pre-Shared Key Method] за [AUTH Method] и щракнете върху [Shared Key Settings]. |
2 | Въведете буквено-цифрени знаци за предварително споделения ключ и щракнете върху [OK].  |
Използване на [Digital Signature Method] за удостоверяване
1 | Изберете [Digital Signature Method] за [AUTH Method] и щракнете върху [Key and Certificate]. |
2 | Изберете двойката ключове, които искате да използвате, и щракнете върху [Default Key Settings].  Преглед на подробности за двойка ключове или сертификат Можете да проверите подробните данни за сертификата или да проверите сертификата, като щракнете върху съответната текстова връзка под [Key Name] или върху иконата на сертификата. Проверка на двойки ключове и цифрови сертификати |
9
Задаване на IPSec мрежови настройки.
[Use PFS]
Поставете отметка, за да разрешите Пълна безопасност на изпращането (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства. Когато не използвате PFS, премахнете отметката.
[Validity]
Посочете колко дълго да се използва SA за комуникационен канал. Поставете отметка в квадратчето [Specify by Time] или [Specify by Size] или и в двете, ако е необходимо. Ако е поставена отметка и в двете квадратчета, SA сесията на IPSec се прекратява при удовлетворяване на което и да е от условията.
Посочете колко дълго да се използва SA за комуникационен канал. Поставете отметка в квадратчето [Specify by Time] или [Specify by Size] или и в двете, ако е необходимо. Ако е поставена отметка и в двете квадратчета, SA сесията на IPSec се прекратява при удовлетворяване на което и да е от условията.
[Specify by Time] | Въведете времето в минути, за да определите продължителността на една сесия. Въведеното време се прилага за SA за IPSec и SA за IKE. |
[Specify by Size] | Въведете размер в мегабайти, за да зададете количеството данни, които могат да бъдат прехвърлени в една сесия. Въведеният размер се прилага само за SA за IPSec. |
Ако сте поставили отметка само в квадратчето [Specify by Size]
Валидността на SA за IKE не може да се зададе по размер, затова се прилага първоначалната стойност (480 минути) от [Specify by Time].
[Authentication/Encryption Algorithm]
Изберете протокола и алгоритъма, който да използвате за IPSec комуникация.
Изберете протокола и алгоритъма, който да използвате за IPSec комуникация.
Автоматично настройване на връзкаИзберете [Auto].
[ESP Authentication] | ESP се активира и алгоритъмът за удостоверяване се задава като [SHA1 and MD5]. |
[ESP Encryption] | ESP се активира и алгоритъмът за шифроване се задава като [3DES-CBC and AES-CBC]. |
Използване на ESPИзберете [ESP] и изберете алгоритъма за удостоверяване и алгоритъма за шифроване.
[ESP Authentication] | Изберете хеширащия алгоритъм, който да използвате за ESP удостоверяване. |
[ESP Encryption] | Изберете алгоритъм за шифроване за ESP. |
Използване на AHИзберете [AH] и изберете хеширащия алгоритъм, който да използвате за AH удостоверяване от [AH Authentication].
[Connection Mode]
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който шифрова полезния обем на IP пакетите. Тунелният режим, в който се капсулират цели IP пакети (горен колонтитул и полезно съдържание), не е достъпен.
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който шифрова полезния обем на IP пакетите. Тунелният режим, в който се капсулират цели IP пакети (горен колонтитул и полезно съдържание), не е достъпен.
10
Щракнете върху [OK].
Ако трябва да регистрирате допълнително правило за защита, се върнете към стъпка 5.
11
Задайте поредността на правилата, посочени в [IPSec Policy List].
Правилата се прилагат от най-високата позиция към най-ниската. Щракнете върху [Raise Priority] или [Lower Priority], за да преместите дадено правило нагоре или надолу.
Редактиране на правило
Можете да щракнете върху текстовата връзка под [Policy Name], за да редактирате настройките.
Изтриване на правило
Щракнете върху [Delete] вдясно от името на правилото, което желаете да изтриете.
12
Извършете пълно нулиране.
Щракнете върху [Device Control], изберете [Hard Reset] и щракнете върху [Execute].
Настройките се активират след извършване на пълно нулиране.
Активиране на IPSec комуникация
След като завършите регистрирането на правила за защита, активирайте IPSec комуникацията.
1
Стартирайте потребителския интерфейс за отдалечено управление и влезте в режим на управление. Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration].
3
Щракнете върху [Security] [IPSec Settings].
[IPSec Settings].4
Щракнете върху [Edit].
5
Поставете отметка в квадратчето [Use IPSec] и щракнете върху [OK].
[Use IPSec]
Когато използвате IPSec в устройството, поставете отметка в квадратчето. Когато не до използвате, премахнете отметката.
[Allow Receive Non-Policy Packets]
Ако поставите отметка в квадратчето, когато използвате IPSec, пакетите, които не са достъпни за регистрираните правила, също се изпращат/получават. За да деактивирате изпращането/получаването на пакети, които не са достъпни за правилата, премахнете отметката.
Ако поставите отметка в квадратчето, когато използвате IPSec, пакетите, които не са достъпни за регистрираните правила, също се изпращат/получават. За да деактивирате изпращането/получаването на пакети, които не са достъпни за правилата, премахнете отметката.
6
Извършете пълно нулиране.
Щракнете върху [Device Control], изберете [Hard Reset] и щракнете върху [Execute].
Настройките се активират след извършване на пълно нулиране.
|
Използване на работния панелМожете също да активирате или деактивирате IPSec комуникация от менюто с настройки на работния панел. IPSec |