Kommunikációs módA készülék csak az IPSec-kommunikáció szállítási módját támogatja. Ebből következően a hitelesítés és titkosítás csak az IP-csomagok adatrészére érvényesül. Kulcscsere-protokollA készülék a kulcsok internetes biztonsági kapcsolat- és kulcskezelő protokollon (Internet Security Association and Key Management Protocol, ISAKMP) alapuló cseréjéhez az internetes kulcscsere (Internet Key Exchange) 1-es verzióját (IKEv1) támogatja. Hitelesítési módként az előmegosztott kulcs módot vagy a digitális aláírás módot választhatja. Az előmegosztott kulcs mód beállítása esetében előzetesen meg kell határoznia a készülék és az IPSec-kommunikációs partner között használandó jelszót (előmegosztott kulcs). A digitális aláírás mód beállítása esetében a készülék és az IPSec-kommunikációs partner közötti kölcsönös hitelesítést CA tanúsítvánnyal, valamint PKCS#12 formátumú kulccsal és tanúsítvánnyal tudja lebonyolítani. Az új CA tanúsítványok, illetve kulcsok/tanúsítványok bejegyzésével kapcsolatos információkat lásd: Kulcs és tanúsítvány bejegyzése hálózati kommunikációhoz. Ügyeljen rá, hogy az SNTP protokollt be kell állítani a készüléken ahhoz, hogy ezt a módot használni tudja. SNTP beállítások elvégzése |
A készülék a <FIPS 140-2 titkosítási módszer kialakítása> lehetőség IPSec-kommunikációra vonatkozó beállításától függetlenül FIPS140-2 tanúsítvánnyal már rendelkező titkosítási modult fog használni. Ahhoz, hogy az IPSec-kommunikáció megfeleljen az FIPS 140-2 szabványnak, az IPSec-kommunikációra vonatkozóan a DH és az RSA kulcshosszát is legalább 2048 bitesre kell állítania abban a hálózati környezetben, amelyhez a készülék tartozik. A készülékről csak a DH kulcshosszát lehet megadni. Jegyezze fel az adatokat a környezet beállításakor, mivel a készülékben az RSA rendszerre vonatkozóan nincsenek beállítások. Legfeljebb 10 biztonsági házirendet jegyezhet be. |
1 | Nyomja meg a <Választó beállítások> gombot. | ||||||||||||||
2 | Adja meg, milyen IP-címre kívánja alkalmazni az IPSec-házirendet. A <Helyi cím> mezőben adja meg a készülék IP-címét, a <Távoli cím> mezőben pedig a kommunikációs partner IP-címét.
| ||||||||||||||
3 | Adja meg, melyik portra kívánja alkalmazni az IPSec-házirendet. Ha azokat a portokat, amelyekre az IPSec-házirendet alkalmazni kívánja, portszámmal szeretné megadni, nyomja meg a <Megadás port számával> gombot. Ha az összes portszámra alkalmazni kívánja az IPSec-házirendet, válassza a <Minden port> lehetőséget. Ha az IPSec-házirendet egy bizonyos portszámra kívánja alkalmazni, nyomja meg az <Egyetlen port> gombot, és írja be a portszámot. A portok megadása után nyomja meg az <OK> gombot. A <Helyi port> mezőben adja meg a készülék portját, a <Távoli port> mezőben pedig a kommunikációs partner portját. Ha azokat a portokat, amelyekre az IPSec-házirendet alkalmazni kívánja, szolgáltatásnévvel szeretné megadni, nyomja meg a <Megadás szolgáltatásnévvel> gombot. A listából válassza ki a szolgáltatást, nyomja meg a <Szolgáltatás Be/Ki> gombot, hogy a <Be> értéket vegye fel, és nyomja meg az <OK> gombot. | ||||||||||||||
4 | Nyomja meg az <OK> gombot. |
1 | Nyomja meg az <IKE beállítás> gombot. | ||||||||||
2 | Adja meg a szükséges beállításokat. <IKE mód> A kulcscsere-protokoll működési módját választhatja ki. A <Fő> lehetőség kiválasztása növeli a biztonságot, mivel maga az IKE-munkamenet van titkosítva, a munkamenet sebessége azonban kisebb, mint az <Agresszív> lehetőség esetében, mely esetben nincs titkosítva a teljes munkamenet. <Hitelesítési mód> Az alábbiakban bemutatott hitelesítési módok valamelyikét választhatja ki.
<Hitelesítési/Titkosítási algoritmus> Az <Autom.> vagy <Kézi beállítás> lehetőségek valamelyikét kiválasztva beállíthatja, hogyan kívánja megadni a hitelesítési és titkosítási algoritmust az IKE 1. fázisához. Az <Autom.> kiválasztása esetében a rendszer automatikusan beállít egy olyan algoritmust, amelyet a készülék és a kommunikációs partner is tud használni. Ha egy bizonyos konkrét algoritmust akar megadni, válassza a <Kézi beállítás> lehetőséget, és adja meg az alábbi beállításokat.
| ||||||||||
3 | Nyomja meg az <OK> gombot. |
Ha az <IKE mód> beállítása <Fő> az <IKE beállítás> képernyőn, a <Hitelesítési mód> beállítása pedig <Előmegsztott kulcs mód>, akkor több biztonsági házirend bejegyzése esetében az alábbi korlátozások lesznek érvényesek. Előmegosztott kulcs mód kulcsa: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az ahhoz a biztonsági házirendhez tartozó összes megosztott kulcs azonos lesz (ez nem vonatkozik arra az esetre, ha csak egy cím van megadva). Elsőbbség: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az a biztonsági házirend alacsonyabb elsőbbségű azoknál, amelyekhez csak egy cím van megadva. |
1 | Nyomja meg az <IPSec hálózati beállítás> gombot. | ||||||
2 | Adja meg a szükséges beállításokat. <Érvényesség> Az előállított IKE SA és IPSec SA érvényességi időtartamát adhatja meg. Vagy az <Idő>, vagy a <Méret> lehetőséget be kell állítania. Ha mindkettőt beállítja, az érvényesség időtartama akkor jár le, amikor a rendszer valamelyik értéket eléri. <PFS> Ha a sérülés utáni titkosságvédelem (Perfect Forward Secrecy, PFS) funkciót <Be> értékűre állítja, a titkosítási kulcs titkossága nő, a kommunikáció sebessége azonban kisebb lesz. Emellett a PFS funkciót a kommunikációs partnereszközön is engedélyezni kell. <Hitelesítési/Titkosítási algoritmus> Az <Autom.> vagy <Kézi beállítás> lehetőségek valamelyikét kiválasztva beállíthatja, hogyan kívánja megadni a hitelesítési és titkosítási algoritmust az IKE 2. fázisához. Az <Autom.> kiválasztása esetében a rendszer automatikusan beállítja az ESP hitelesítési és titkosítási algoritmust. Ha egy bizonyos konkrét hitelesítési módot akar megadni, nyomja meg a <Kézi beállítás> lehetőséget, és válassza ki az alábbi hitelesítési módok valamelyikét.
| ||||||
3 | Nyomja meg az <OK> <OK> gombot. |
IPSec-házirendek kezeléseA házirendeket a 3. lépésben megjelenő képernyőn tudja szerkeszteni. Házirend részleteinek szerkesztéséhez válassza ki a szerkesztendő házirendet a listából, és nyomja meg a <Szerkeszt> gombot. Házirend letiltásához válassza ki a letiltandó házirendet a listából, és nyomja meg a <Házirend Be/Ki> gombot. Házirend törléséhez válassza ki a törlendő házirendet a listából, és nyomja meg a <Töröl> <Igen> gombot. |