IPSec-inställningar
IPSec är ett protokoll som används för att säkerställa säkerheten för IP-paket som skickas och tas emot över ett IP-nätverk genom att skydda data från hot såsom stöld, modifiering och identitetsstöld. IPSec används för TCP-principer, UDP-priniper (User Datagram Protocol) och ICMP-paket (Internet Control Message Protocol). IPSec är överlägsen andra säkerhetsprotokollen eftersom det lägger till säkerhetsfunktioner till IP, det grundläggande protokollet på Internet, vilket gör att det inte är beroende av programvara och nätverkskonfiguration.
I det här avsnittet beskrivs hur du skapar en säkerhetspolicy för IPSec-kommunikation med maskinens kontrollpanel. En säkerhetspolicy registrerar inställningarna för IPSec, som paket att bearbeta med IPSec, och den algoritm som ska användas för autentisering och kryptering. Ett logisk anslutning upprättas för trafiken genom förhandlingar enligt en IPSec-säkerhetspolicy som kallas IPSec SA (Security Association).
Se nedan för vilka funktioner i IPSec som används av maskinen.
Kommunikationsläge
Eftersom IPSec för maskinen bara stöder transportläget, används bara autentisering och kryptering till datadelen av IP-paketet.
Autentiserings- och krypteringsmetod
Minst en av följande metoder måste aktiveras på maskinen. Du kan inte ange båda metoder samtidigt.
AH (Authentication Header)
Ett protokoll för certifiering av autentisering genom att identifiera ändringar av kommunicerade data, inklusive IP-rubriken. Kommunicerade data krypteras inte.
ESP (Encapsulating Security Payload)
Ett protokoll som tillhandahåller sekretess via kryptering genom certifiering av integritet och autentisering av bara nyttolasten av kommunicerade data.
Nyckelutbytesprotokoll
Stöder IKEv1 (Internet Key Exchange version 1) för utbyte av nycklar baserat på ISAKMP (Internet Security Association and Key Management Protocol). IKE består av två faser: i fas 1 skapas den SA som används för IKE (IKE SA) och i fas 2 skapas den SA som används för IPSec (IPSec SA).
För att ange autentisering med i förväg delad nyckel, måste du i förväg välja en i förhand delad nyckel, som är ett nyckelord som används för båda maskinerna för att skicka och ta emot data. Använd kontrollpanelen på maskinen för att ange samma i förväg delade nyckel som mottagare för utföra IPSec-kommunikation och autentisering med den i förväg delad nyckelmetoden.
För att välja autentisering med en digital signatur, måste en CA-certifikat (X.509-certifikat) registreras för bilateral autentisering av IPSec-mottagare. För information om hur du installerar CA-certifikatfilen med hjälp av fjärrgränssnittet, se
"Installera en CA-certifikatfil" För anvisningar om hur du registrerar en CA-certifikatfil, se
"Registrera/redigera en CA-certifikatsfil"De typer av nyckelpar och certifikat som kan användas för autentisering med digital signaturmetod anges nedan.
RSA-algoritm (Rivest Shamir Adleman)
Nyckelpar i PKCS#12-format
För mer information om hur du registrerar eller redigerar en säkerhetspolicy, se handboken för imagePRESS Server.
VIKTIGT! |
Om du vill registrera flera säkerhetspolicys vid inställningen för huvudläge och autentiseringsmetod med i förväg delad nyckel i skärmen för IKE-inställningar, gäller följande restriktioner. Metod med i förväg delad nyckel: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är alla delade nycklar för säkerhetspolicyn identiska (detta gäller inte om enstaka adresser har angetts). Prioritet: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, har den säkerhetspolicy lägre prioritet än säkerhetspolicys för vilka specifika dresser har angetts. |