|
Modul de comunicareAcest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea şi criptarea se aplică numai porţiunilor de date ale pachetelor IP.
Protocol schimbare parolăAcest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setaţi metoda cheii pre-partajate sau metoda semnăturii digitale.
Când setaţi metoda cheii pre-partajate, trebuie să stabiliţi în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat şi perechea de comunicare IPSec.
Când setaţi metoda semnăturii digitale, utilizaţi un certificat CA şi o cheie şi un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat şi perechea de comunicare IPSec. Pentru mai multe informaţii despre înregistrarea de noi certificate CA sau chei/certificate, consultaţi Înregistrarea unei chei şi a unui certificat pentru comunicarea în reţea. Reţineţi că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP
|
|
Indiferent de setarea opţiunii [Format Encryption Method to FIPS 140-2] pentru comunicaţia prin IPSec, va fi utilizat un modul de criptare care a obţinut deja certificarea FIPS140-2.
Pentru a face comunicaţia IPSec conformă cu FIPS 140-2, trebuie să setaţi lungimea cheii atât pentru DH cât şi pentru RSA pentru comunicaţia IPSec la 2048 de biţi sau mai mult în mediul de reţea căruia îi aparţine aparatul.
Doar lungimea cheii pentru DH poate fi specificată de la aparat.
Ţineţi cont de acest lucru când configuraţi mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA.
Puteţi să înregistraţi până la 10 politici de securitate.
|
1
|
Faceţi clic pe [Selector Settings].
|
||||||||||||||
2
|
Specificaţi adresa IP la care să se aplice politica IPSec.
Specificaţi adresa IP a acestui aparat în [Local Address] şi specificaţi adresa IP a perechii de comunicare în [Remote Address].
|
||||||||||||||
3
|
Specificaţi portul la care să se aplice IPSec.
Selectaţi [Specify by Port Number] pentru a utiliza numerele de porturi când specificaţi porturile la care se aplică IPSec. Selectaţi [All Ports] pentru a aplica IPSec la toate numerele de porturi. Pentru a aplica IPSec la un anumit număr de port, selectaţi [Single Port] şi introduceţi numărul portului. Specificaţi portul acestui aparat în [Local Port] şi specificaţi portul perechii de comunicare în [Remote Port].
Pentru a specifica porturile la care să se aplice IPSec după numele serviciului, selectaţi [Specify by Service Name] şi selectaţi serviciile de utilizat.
|
||||||||||||||
4
|
Faceţi clic pe [OK].
|
1
|
Faceţi clic pe [IKE Settings].
|
||||||||||
2
|
Configuraţi setările necesare.
[IKE Mode]
Selectaţi modul de operare pentru protocolul de schimbare a cheilor. Securitatea este îmbunătăţită dacă selectaţi [Main], deoarece sesiunea IKE însăşi este criptată, dar viteza sesiunii este mai mică decât cu [Aggressive], care nu criptează întreaga sesiune.
[Validity]
Setaţi perioada de expirare pentru valorile IKE SA generate.
[Authentication Method]
Selectaţi una dintre metodele de autentificare descrise mai jos.
[Authentication/Encryption Algorithm]
Selectaţi fie [Auto], fie [Manual Settings] pentru a seta modul de specificare a algoritmului de autentificare şi criptare pentru IKE faza 1. Dacă selectaţi [Auto], este setat automat un algoritm care poate fi utilizat atât de aparat, cât şi de perechea de comunicare. Dacă doriţi să specificaţi un algoritm particular, selectaţi [Manual Settings] şi configuraţi setările de mai jos.
|
||||||||||
3
|
Faceţi clic pe [OK].
|
|
Când opţiunea [IKE Mode] este setată la [Main] pe ecranul [IKE] şi opţiunea [Authentication Method] este setată la [Pre-Shared Key Method], următoarele restricţii se aplică atunci când înregistraţi mai multe politici de securitate.
Cheia la metoda cu cheie per-partajată: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă).
Prioritate: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.
|
1
|
Faceţi clic pe [IPSec Network Settings].
|
||||||
2
|
Configuraţi setările necesare.
[Validity]
Setaţi perioada de expirare pentru valorile IPSec SA generate. Aveţi grijă să setaţi fie [Time], fie [Size]. Dacă le setaţi pe ambele, se aplică setarea a cărei valoare este atinsă prima.
[PFS]
Dacă selectaţi [Use PFS], nivelul de secretizare al cheii de criptare creşte, dar viteza de comunicare scade. În plus, funcţia PFS (Perfect Forward Secrecy) trebuie activată pe dispozitivul de comunicare pereche.
[Authentication/Encryption Algorithm]
Selectaţi fie [Auto], fie [Manual Settings] pentru a seta modul de specificare a algoritmului de autentificare şi criptare pentru IKE faza 2. Dacă selectaţi [Auto], algoritmul de autentificare şi criptare ESP este setat automat. Dacă doriţi să specificaţi o metodă de autentificare particulară, selectaţi [Manual Settings] şi selectaţi una dintre metodele de autentificare de mai jos.
|
||||||
3
|
Faceţi clic pe [OK].
|
|
Gestionarea politicilor IPSecPuteţi edita politicile pe ecranul afişat la pasul 4.
Pentru a edita detaliile unei politici, faceţi clic pe numele politicii din listă.
Pentru a dezactiva o politică, faceţi clic pe numele politicii din listă selectaţi [Off] pentru [Policy On/Off] faceţi clic pe [OK].
Pentru a şterge o politică, selectaţi politica din listă faceţi clic pe [Delete] [OK].
Utilizarea panoului de operareDe asemenea, puteţi activa sau dezactiva comunicarea prin IPSec din <Setare> în ecranul <Acasă>. <Setări IPSec>
Importul pe loturi/exportul pe loturiAceastă setare poate fi importată/exportată cu modelele care acceptă importul pe loturi al acestei setări. Importul/exportul setărilor
Această setare este inclusă în [Settings/Registration Basic Information] când se face exportul pe loturi. Importul/exportul tuturor setărilor
|