|
حالت ارتباطاین دستگاه فقط از حالت انتقال برای ارتباط IPSec پشتیبانی می کند. در نتیجه، تأیید اعتبار و رمزگذاری فقط بر بخش های داده مربوط به بسته های IP اعمال می شود.
پروتکل تبادل کلیداین دستگاه از تبادل کلید اینترنت نسخه 1 (IKEv1) برای تبادل کلیدها براساس انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP) پشتیبانی می کند. برای روش تأیید اعتبار، روش کلید از قبل به اشتراک گذاشته شده یا روش امضای دیجیتال را تنظیم کنید.
هنگام تنظیم روش کلید از قبل به اشتراک گذاشته شده، باید از قبل عبارت عبوری (کلید از قبل به اشتراک گذاشته شده) در نظر بگیرید که بین جفت ارتباط دستگاه و IPSec استفاده می شود.
هنگام تنظیم روش امضای دیجیتال، از کلید و گواهی قالب گواهی CA و PKCS#12 استفاده کنید تا تأیید اعتبار دوجانبه ای بین جفت ارتباط دستگاه و IPSec انجام شود. برای اطلاعات بیشتر درباره ثبت گواهی های CA جدید یا کلیدها/گواهی ها، به ثبت یک کلید و گواهی برای ارتباط شبکه بروید. توجه داشته باشید که قبل از استفاده از این روش، باید SNTP برای دستگاه پیکربندی شود. انجام تنظیمات SNTP
|
|
صرف نظر از تنظیم <Format Encryption Method to FIPS 140-2> برای ارتباط IPSec، ماژول رمزگذاری که قبلاً گواهی FIPS140-2 کسب کرده است، استفاده خواهد شد.
برای اینکه ارتباط IPSec را به گونه ای تنظیم کنید که از FIPS 140-2 پیروی کند، باید طول کلید DH و RSA را برای ارتباط IPSec تا 2048 بیت یا بیشتر در محیط شبکه که دستگاه به آن تعلق دارد، تنظیم کنید.
فقط طول کلید برای DH را می توان از دستگاه مشخص کرد.
هنگام پیکربندی محیط مراقب باشید زیرا هیچ تنظیمی برای RSA در دستگاه وجود ندارد.
می توانید تا 10 خط مشی امنیتی ثبت کنید.
|
1
|
<Selector Settings> را فشار دهید.
|
||||||||||||||
2
|
آدرس IP را مشخص کنید تا خط مشی IPSec را روی آن اعمال کنید.
آدرس IP این دستگاه را در <Local Address> مشخص کنید و آدرس IP جفت ارتباط را در <Remote Address> مشخص کنید.
|
||||||||||||||
3
|
درگاه را مشخص کنید تا IPSec را روی آن اعمال کنید.
<Specify by Port Number> را فشار دهید تا هنگام مشخص کردن درگاه هایی که IPSec روی آنها اعمال می شود، از شماره درگاه استفاده کنید. برای اعمال IPSec روی همه شماره درگاه ها، <All Ports> را انتخاب کنید. برای اعمال IPSec روی شماره درگاهی خاص، <Single Port> را فشار دهید و شماره درگاه را وارد کنید. بعد از مشخص کردن درگاه ها، <OK> را فشار دهید. درگاه این دستگاه را در <Local Port> مشخص کنید و درگاه جفت ارتباط را در <Remote Port> مشخص کنید.
<Specify by Service Name> را فشار دهید تا هنگام مشخص کردن درگاه هایی که IPSec روی آنها اعمال می شود، از نام سرویس ها استفاده کنید. سرویس را در لیست انتخاب کنید و <Service On/Off> را فشار دهید تا آن را روی <On> تنظیم کنید و <OK> را فشار دهید.
|
||||||||||||||
4
|
<OK> را فشار دهید.
|
1
|
<IKE Settings> را فشار دهید.
|
||||||||||
2
|
تنظیمات لازم را پیکربندی کنید.
<IKE Mode>
حالت عملیات را برای پروتکل تبادل انتخاب کنید. وقتی حالت عملیات روی <Main> قرار داده شد، امنیت افزایش می یابد زیرا خود جلسه IKE رمزگذاری شده است، ولی فشار بیشتری بر ارتباطات در مقایسه با <Aggressive> که رمزگذاری انجام نمی دهد، وارد می آورد.
<Validity>
دوره انقضای IKE SA ایجادشده را وارد کنید.
<Authentication Method>
یکی از روش های تأیید اعتبار توضیح داده شده در زیر را انتخاب کنید.
<Authentication/Encryption Algorithm>
<Auto> یا <Manual Settings> را انتخاب کنید تا نحوه مشخص کردن الگوریتم تأیید اعتبار و رمزگذاری برای فاز 1 IKE را مشخص کنید. اگر <Auto> را انتخاب کنید، الگوریتمی که می توان با این دستگاه و جفت ارتباط استفاده کرد، به طور خودکار تنظیم می شود. اگر می خواهید الگوریتم خاصی را مشخص کنید، <Manual Settings> را انتخاب کنید و تنظیمات زیر را پیکربندی کنید.
|
||||||||||
3
|
<OK> را فشار دهید.
|
|
وقتی <IKE Mode> روی <Main> در صفحه <IKE Settings> تنظیم می شود و <Authentication Method> روی <Pre-Shared Key Method> تنظیم می شود، محدودیت های زیر هنگام ثبت چند خط مشی امنیتی اعمال می شوند.
کلید روش کلید از قبل به اشتراک گذاشته شده: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می شود، همه کلیدهای به اشتراک گذاشته شده برای آن خط مشی امنیتی مشابه هستند (این مورد هنگام مشخص کردن یک آدرس اعمال نمی شود).
اولویت: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می شود، اولویت آن خط مشی امنیتی زیر خط مشی های امنیتی است که تک آدرسی برای آن مشخص می شود.
|
1
|
<IPSec Network Settings> را فشار دهید.
|
||||||
2
|
تنظیمات لازم را پیکربندی کنید.
<Validity>
دوره انقضای IPSec SA ایجادشده را وارد کنید. حتماً <Time> یا <Size> را تنظیم کنید. اگر هر دو را وارد کنید، تنظیماتی که تاریخ آن اول برسد، اعمال خواهد شد.
<PFS>
اگر عملکرد Perfect Forward Secrecy (PFS) را روی <On> تنظیم کنید، محرمانه بودن کلید رمزگذاری افزایش پیدا می کند اما سرعت ارتباط کمتر می شود. به علاوه، عملیات PFS را باید در دستگاه جفت ارتباط فعال کرد.
<Authentication/Encryption Algorithm>
<Auto> یا <Manual Settings> را انتخاب کنید تا نحوه مشخص کردن الگوریتم تأیید اعتبار و رمزگذاری برای فاز 2 IKE را مشخص کنید. اگر <Auto> را انتخاب کنید، الگوریتم تأیید اعتبار و رمزگذاری ESP به طور خودکار تنظیم می شود. اگر می خواهید روش تأیید اعتبار خاصی را مشخص کنید، <Manual Settings> را فشار دهید و یکی از روش های تأیید اعتبار زیر را انتخاب کنید.
|
||||||
3
|
<OK> <OK> را فشار دهید.
|
|
مدیریت کردن سیاست های IPSecمی توانید سیاست هایی که در صفحه مرحله 3 نشان داده می شوند را ویرایش کنید.
برای ویرایش جزییات یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Edit> را فشار دهید.
برای غیرفعال کردن یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Policy On/Off> را فشار دهید.
برای حذف یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Delete> <Yes> را فشار دهید.
|