通信模式本机仅支持IPSec通信的传输模式。因此,认证和加密仅适用于IP数据包的数据部分。 密钥交换协议本机支持基于“Internet安全关联和密钥管理协议(ISAKMP)”的“Internet密钥交换版本1(IKEv1)”用于交换密钥。对于认证方法,可以设置预共享密钥方法或数字签名方法。 设置预共享密钥方法时,需要预先确定密码(预共享密钥),此密码在本机与IPSec通信对等方之间使用。 设置数字签名方法时,使用CA证书和PKCS#12格式的密钥和证书在本机与IPSec通信对等方之间执行相互认证。有关注册新CA证书或密钥/证书的详细信息,请参阅注册用于网络通信的密钥和证书。请注意,使用此方法前必须为本机配置SNTP。 设置SNTP |
不管IPSec通信的<以FIPS 140-2作为加密方法的格式>设置是什么,将使用已经获得FIPS140-2认证的加密模块。 为了使IPSec通信符合FIPS 140-2要求,必须在本机所属的网络环境中将IPSec通信的DH和RSA密钥长度设为2048位或更长。 只能从本机指定DH密钥长度。 配置您的环境时要做记录,因为本机中没有RSA的设置。 安全策略最多可以注册 10 项。 |
1 | 按<选择器设置>。 | ||||||||||||||
2 | 指定要应用IPSec策略的IP地址。 在<本地地址>中指定本机的IP地址,在<远程地址>中指定通信对等方的IP地址。
| ||||||||||||||
3 | 指定要应用IPSec的端口。 按<通过端口号指定>以在指定应用IPSec的端口时使用端口号。选择<全部端口>对所有端口号应用IPSec。要对特定端口号应用IPSec,按<单端口>并输入端口号。指定端口后,按<确定>。在<本地端口>中指定本机的端口,在<远程端口>中指定通信对等方的端口。 按<通过服务名称指定>以在指定应用IPSec的端口时使用服务名称。在列表中选择服务,按<服务打开/关闭>将其设置为<打开>,然后按<确定>。 | ||||||||||||||
4 | 按<确定>。 |
1 | 按<IKE设置>。 | ||||||||||
2 | 配置必要的设置。 <IKE模式> 选择密钥交换协议的操作模式。如果操作模式设置为<主要>,安全性将因对IKE会话本身进行加密而得到增强,但与<挑战>(不执行加密)相比,会给通信带来更高的负荷。 <有效期> 设置所生成的IKE SA的有效期。 <认证方法> 选择以下所述的一种认证方法。
<认证/加密算法> 选择<自动>或<手动设置>设置如何为IKE阶段1指定认证和加密算法。如果选择<自动>,则会自动设置可用于本机和通信对等方的算法。如果要指定特定算法,选择<手动设置>并配置以下设置。
| ||||||||||
3 | 按<确定>。 |
如果在<IKE设置>屏幕中将<IKE模式>设置为<主要>,并且将<认证方法>设置为<预共享密钥方法>,在注册多项安全策略时,将应用以下限制。 预共享密钥方法:当指定多个采用安全策略的远程 IP 地址时,该安全策略对应的所有共享密钥均相同(不适用于指定单个地址时的情况)。 优先级:当指定多个采用安全策略的远程 IP 地址时,该安全策略对应的优先级低于为单个地址指定的安全策略。 |
1 | 按<IPSec网络设置>。 | ||||||
2 | 配置必要的设置。 <有效期> 设置所生成的IPSec SA的有效期。请确保设置了<时间>或<尺寸>。如果同时设置了两个,则以先到的为准。 <PFS> 如果将“完全前向保密(PFS)”功能设置为<打开>,则加密密钥的保密性增强但通信速度降低。此外,必须在通信对等方设备上启用PFS功能。 <认证/加密算法> 选择<自动>或<手动设置>设置如何为IKE阶段2指定认证和加密算法。如果选择<自动>,则会自动设置ESP认证和加密算法。如果要指定特定认证方法,按<手动设置>,然后选择以下一种认证方法。
| ||||||
3 | 按<确定> <确定>。 |
管理IPSec策略可以在步骤3中显示的屏幕上编辑策略。 要编辑策略详细信息,从列表中选择策略,然后按<编辑>。 要禁用策略,从列表中选择策略,然后按<策略打开/关闭>。 要删除策略,从列表中选择策略,然后按 <删除><是>。 |