통신 모드본 기기는 IPSec 통신용 전송 모드만을 지원합니다. 따라서, 인증 및 암호화는 IP 패킷의 데이터 부분에만 적용됩니다. 키 교환 프로토콜본 기기는 ISAKMP(Internet Security Association and Key Management Protocol)에 근거한 키 교환에 IKEv1(Internet Key Exchange version 1)을 지원합니다. 인증 방식으로 사전 공유키 방식 또는 디지털 서명 방식 중 한 가지를 설정하십시오. 사전 공유키 방식을 설정할 경우, 본 기기와 IPSec 통신 피어 간에 사용될 암호 문자열(사전 공유키)을 먼저 정해야 합니다. 디지털 서명 방식을 설정할 경우, 기기와 IPSec 통신 피어 간의 상호 인증 실행을 위해 CA 인증서, PKCS#12 형식 키 및 인증서를 사용하십시오. CA 인증서 또는 키/인증서의 신규 등록에 대한 자세한 정보는 네트워크 통신용 키 및 인증서 등록하기를 참고하십시오. 이 방식을 사용하기 전에 기기에 반드시 SNTP를 먼저 구성해야 합니다. SNTP 설정 구성 |
IPSec 통신에 <비밀번호 방식을 FIPS 140-2에 준거함>을 설정했는지 여부에 상관 없이 이미 FIPS140-2 인증을 획득한 암호화 모듈이 사용됩니다. IPSec 통신이 FIPS 140-2를 준수하도록 하기 위해 기기가 속한 네트워크 환경에서 IPSec 통신의 DH 및 RSA 키 길이를 반드시 2048비트 이상으로 설정해야 합니다. 기기에서는 DH의 키 길이만 지정할 수 있습니다. 기기에 RSA의 설정이 없기 때문에 환경을 구성할 때 염두에 두십시오. 최대 10개의 보안 정책을 등록할 수 있습니다. |
1 | <셀렉터 설정>을 누릅니다. | ||||||||||||||
2 | IPSec 정책에 적용할 IP 주소를 지정합니다. <로컬 주소>에 본 기기의 IP 주소를 지정하고 <리모트 주소>에 통신 피어의 IP 주소를 지정합니다.
| ||||||||||||||
3 | IPSec을 적용할 포트를 지정합니다. IPSec을 적용할 포트를 지정할 때 포트 번호를 사용하려면 <포트 번호로 지정>를 누릅니다. IPSec을 모든 포트 번호에 적용하려면 <모든 포트>를 선택합니다. IPSec을 특정 포트 번호에 적용하려면 <단일 포트>를 누르고 포트 번호를 입력합니다. 포트를 지정한 후, <확인>을 누릅니다. 본 기기의 포트는 <로컬 포트>에 지정하고 통신 피어의 포트는 <리모트 포트>에 지정합니다. IPSec을 적용할 포트를 지정할 때 서비스 이름을 사용하려면 <서비스명으로 지정>을 누릅니다. 목록에서 서비스를 선택하고 <서비스 설정/해제>를 눌러 <설정>으로 설정한 후, <확인>을 누릅니다. | ||||||||||||||
4 | <확인>을 누릅니다. |
1 | <IKE 설정>을 누릅니다. | ||||||||||
2 | 필요한 설정을 구성합니다. <IKE 모드> 키 교환 프로토콜의 작동 모드를 선택합니다. 작동 모드를 <메인>으로 설정하면 IKE 세션 자체가 암호화되므로 보안이 향상되지만, 암호화를 수행하지 않는 <어그레시브>에 비해 통신에 더 많은 부담이 됩니다. <유효기간> 생성된 IKE SA의 만료 기간을 설정합니다. <인증방법> 아래에 설명된 인증 방식 중 한 가지를 선택하십시오.
<인증/암호화 알고리즘> IKE phase 1에 사용할 인증 및 암호화 알고리즘을 지정하는 방법을 <자동> 또는 <수동 설정>으로 선택합니다. <자동>을 선택하면 본 기기와 통신 피어에서 사용할 수 있는 알고리즘이 자동 설정됩니다. 특정 알고리즘을 지정하려면 <수동 설정>을 선택하여 아래의 설정을 구성합니다.
| ||||||||||
3 | <확인>을 누릅니다. |
<IKE 모드>가 <IKE 설정>의 <메인>으로 설정되어 있고 <인증방법>이 <사전공유키 방식>으로 설정되어 있는 경우 여러 보안 정책을 등록할 때 다음의 제한사항이 적용됩니다. 사전 공유키 방식: 보안 정책이 적용될 여러 리모트 IP 주소를 지정할 경우 해당 보안 정책에 대한 모든 공유키는 동일합니다(단일 주소를 지정할 경우에는 적용되지 않습니다). 우선 순위: 보안 정책이 적용될 여러 리모트 IP 주소를 지정할 경우 해당 보안 정책의 우선 순위는 단일 주소의 지정에 대한 보안 정책보다 낮습니다. |
1 | <IPSec 네트워크 설정>을 누릅니다. | ||||||
2 | 필요한 설정을 구성합니다. <유효기간> 생성된 IPSec SA의 만료 기간을 설정합니다. <시간> 또는 <크기>를 설정해야 합니다. 둘 다 설정하면 값에 먼저 도달하는 설정이 적용됩니다. <PFS> Perfect Forward Secrecy (PFS) 기능을 <설정>으로 설정하면 암호화 키의 비밀성이 향상되지만 통신 속도는 느려집니다. 또한, 통신 피어 장치의 PFS 기능을 반드시 활성화해야 합니다. <인증/암호화 알고리즘> IKE phase 2에 사용할 인증 및 암호화 알고리즘 지정 방법을 <자동> 또는 <수동 설정>중에서 선택합니다. <자동>을 선택하면, ESP 인증 및 암호화 알고리즘이 자동 설정됩니다. 특정 알고리즘 방식을 지정하려면 <수동 설정>을 누르고 아래의 인증 방식 중 한 가지를 선택합니다.
| ||||||
3 | <확인> <확인>을 누릅니다. |
IPSec 정책 관리하기3단계 화면에서 정책을 편집할 수 있습니다. 정책 세부사항을 편집하려면 목록에서 정책을 선택하고 <편집>을 누릅니다. 정책을 비활성화 하려면 목록에서 정책을 선택하고 <폴리시 설정/해제>를 누릅니다. 정책을 삭제하려면 목록에서 정책을 선택하고 <삭제> <예>를 누릅니다. |