使用 IPSec

使用 IP安全协议 (IPSec) 可防止在 IP 网络上发送和接收的 IP 数据包遭到窃听和篡改。这样可以在不依赖应用程序或网络配置的情况下,执行 IP 协议加密以确保安全。

IPSec 适用的条件和支持的模式

不适用 IPSec 的数据包
指定环回、多播或广播地址的数据包
从 UDP 端口 500 发送的 IKE 数据包
ICMPv6 邻居请求和邻居播发数据包
密钥交换协议的操作模式(IKE 模式)
机器支持的 IKE 模式仅为用于加密数据包的主要模式。不支持非加密野蛮模式。
通信模式
机器支持的通信模式仅为传输模式,只加密除 IP 标头外的部分。不支持对整个 IP 数据包进行加密的隧道模式。
与 IP 地址筛选一起使用 IPSec
将首先应用 IP 地址筛选器。设置防火墙

IPSec 策略配置

要在计算机上执行 IPSec 通信,必须创建一个 IPSec 策略,其中包括用于验证和加密的适用范围与算法。该策略主要由以下几项组成。
选择器
指定应用 IPSec 通信的 IP 数据包。除了指定机器和通信设备的 IP 地址外,还可以指定它们的端口号。
IKE
密钥交换协议支持 IKEv1(互联网密钥交换协议版本 1)。对于验证方法,选择预共享密钥方法或数字签名方法。
预共享密钥方法:
此验证方法使用一个共同的关键字(称为共享密钥),用于机器和其他设备之间的通信。
数字签名方法
机器和其他设备通过相互检查它们的数字签名来互相验证。
ESP/AH
指定 ESP/AH 的设置,ESP/AH 是用于 IPSec 通信的协议。可以同时使用 ESP 和 AH。使用完全正向保密 (PFS) 可获得更高的安全性。

设置 IPSec

启用 IPSec,创建并注册 IPSec 策略。如果创建了多个策略,请指定应用它们的顺序。
本节介绍如何在计算机中使用远程用户界面配置设置。
在操作面板上,选择 [主页] 屏幕中的 [菜单],然后选择 [参数选择] 以配置设置。但是,只能使用操作面板来启用或禁用 IPSec。[使用IPSec]
需要管理员权限。必须重新启动机器才能应用设置。
需要进行的准备
将机器直接连接到与机器相同的虚拟专用网络 (VPN) 上的计算机。确认操作条件,预先在计算机上完成设置。IPSec
根据 IKE 验证方法做好以下准备:
使用预共享密钥时,对远程用户界面通信启用 TLS。使用 TLS
使用数字签名方法时,准备要使用的密钥和证书。管理与检查密钥和证书
使用 PDS 时,确认已在通信设备上启用 PFS。
1
以系统管理员模式登录远程用户界面。启动远程用户界面
2
在远程用户界面的门户页面上,单击 [设置/注册]。远程用户界面的门户页面
3
单击 [网络设置] [IPSec设置] [编辑]。
随即显示 [编辑IPSec设置] 屏幕。
4
选中 [使用IPSec] 复选框,然后单击 [确定]。
要仅接收符合策略的数据包,请清除 [接收非策略数据包] 复选框。
5
单击 [注册新策略]。
随即显示 [注册新IPSec策略] 屏幕。
6
在 [策略设置] 中,输入策略名称,然后选中 [启用策略] 复选框。
对于策略名称,请使用单字节字母数字字符输入用于识别策略的名称。
7
在 [选择器设置] 中,设置选择器。
[本地地址设置]
选择应用策略的机器 IP 地址的类型。
要将 IPSec 应用于所有 IP 数据包,请选择 [全部IP地址]。
要将 IPSec 应用于使用 IPv4 或 IPv6 地址发送或接收的 IP 数据包,请选择 [IPv4地址] 或 [IPv6地址]。
[远程地址设置]
选择应用策略的通信设备 IP 地址的类型。
要将 IPSec 应用于所有 IP 数据包,请选择 [全部IP地址]。
要将 IPSec 应用于使用 IPv4 或 IPv6 地址发送或接收的 IP 数据包,请选择 [全部IPv4地址] 或 [全部IPv6地址]。
要指定应用 IPSec 的 IPv4 或 IPv6 地址,请选择 [IPv4手动设置] 或 [IPv6手动设置]。
[要手动设置的地址]
选择 [IPv4手动设置] 或 [IPv6手动设置] 时,输入 IP 地址。还可以使用连字符 (-) 指定 IP 地址的范围。
输入示例:
一个 IPv4 地址
192.168.0.10
一个 IPv6 地址
fe80::10
范围指定
192.168.0.10-192.168.0.20
[子网设置]
选择 [IPv4手动设置] 时,可使用子网掩码来指定 IPv4 地址的范围。
输入示例:
255.255.255.240
[前缀长度]
选择 [IPv6手动设置] 时,可使用前缀长度来指定 IPv6 地址的范围。输入范围在 0 到 128 之间的前缀长度。
[端口设置]
在机器上的 [本地端口] 中和通信设备上的 [远程端口] 中设置要应用 IPSec 的端口。
要将 IPSec 应用于所有端口号,请选择 [全部端口]。
要将 IPSec 应用于 HTTP 或 WSD 等特定协议,请选择 [单端口],然后输入协议的端口号。
8
在 [IKE设置] 中,设置 IKE。
[IKE模式]
机器仅支持主要模式。
[认证方法]
选择机器的验证方法。
选择 [预共享密钥方法] 时,单击 [共享密钥设置] 使用单字节字母数字字符输入用作共享密钥的字符串 单击 [确定]。
选择 [数字签名方法] 时,单击要使用的密钥和证书右侧的 [密钥和证书] [注册默认密钥]。
[有效期]
输入用作控制通信路径的 IKE SA (ISAKMP SA) 的有效期间(以分钟为单位)。
[认证/加密算法]
选择用于密钥交换的算法。
9
在 [IPSec网络设置] 中,配置 IPSec 网络设置。
[使用PFS]
选中此复选框以配置会话密钥的 PFS。
[有效期]
按时间和/或大小输入用作数据通信路径的 IPSec SA 的有效期间。
选中 [按时间指定] 复选框时,输入有效期间(以分钟为单位)。
选中 [按大小指定] 复选框,输入有效期间(以兆字节为单位)。
选中这两个复选框时,将应用最先到达指定值的项目。
[认证/加密算法]
根据要使用的 IPSec 标头(ESP 和 AH)和其算法选中此复选框。
[ESP认证]
选择 [ESP] 时,请选择验证算法。要执行 ESP 验证,请选择 [SHA1]。否则,请选择 [不使用]。
[ESP加密]
选择 [ESP] 时,请选择验证算法。如果不想指定算法,请选择 [空]。要禁用加密,请选择 [不使用]。
[连接模式]
机器仅支持传输模式。
10
单击 [确定]。
新注册的部门 ID 将添加到 [IPSec设置] 屏幕上的 [已注册IPSec策略] 中。
注册多个策略时
单击要优先设置的策略名称右侧的 [上] 或 [下]。级别较高的策略将在 IPSec 通信中优先应用。
11
重新启动机器。重新启动机器
将应用设置。
编辑已注册的策略
要编辑已注册的信息,请在 [IPSec设置] 屏幕上的 [已注册IPSec策略] 中单击要编辑的策略名称。
8Y2K-085