Mengkonfigurasikan Tetapan IPSec

Dengan menggunakan IPSec, anda dapat menghalang pihak ketiga daripada memintas atau mengacau paket IP yang dibawa melalui rangkaian IP. Oleh kerana IPSec mempunyai fungsi keselamatan tambahan kepada IP, suit protokol asas yang digunakan untuk Internet, ia boleh memberikan keselamatan yang bebas daripada aplikasi atau konfigurasi rangkaian. Untuk melakukan komunikasi IPSec dengan mesin ini, anda mesti mengkonfigurasikan tetapan seperti parameter aplikasi dan algoritma untuk pengesahan dan penyulitan. Keutamaan pentadbir diperlukan untuk mengkonfigurasikan tetapan ini.

Mengaktifkan IPSec

Mendaftar Dasar


Mod Komunikasi Mesin ini hanya menyokong mod pengangkutan untuk komunikasi IPSec. Sebagai hasilnya, pengesahan dan penyulitan hanya digunakan pada bahagian data paket IP. Protokol pertukaran kunci Mesin ini menyokong Pertukaran Kekunci Internet versi 1 (IKEv1) untuk menukar kekunci berdasarkan Persatuan Keselamatan Internet dan Protokol Pengurusan Kekunci (ISAKMP). Untuk kaedah pengesahan, tetapkan sama ada kaedah kekunci prakongsi atau kaedah tandatangan digital. Apabila menetapkan kaedah kunci prakongsi, anda perlu membuat keputusan ke atas frasa laluan (kunci prakongsi) terlebih dahulu, yang digunakan antara mesin dan rakan komunikasi IPSec. Apabila menetapkan kaedah tandatangan digital, gunakan sijil CA dan kekunci format serta sijil PKCS#12 untuk melakukan pengesahan bersama antara mesin dan rakan komunikasi IPSec. Untuk maklumat lebih lanjut mengenai mendaftar sijil CA atau kekunci/sijil baharu, lihat Mendaftar Kekunci dan Sijil untuk Komunikasi Rangkaian. Sila ambil perhatian bahawa SNTP mesti dikonfigurasikan untuk mesin sebelum ia menggunakan kaedah ini. Membuat Tetapan SNTP

Mod Komunikasi

Mesin ini hanya menyokong mod pengangkutan untuk komunikasi IPSec. Sebagai hasilnya, pengesahan dan penyulitan hanya digunakan pada bahagian data paket IP.

Protokol pertukaran kunci

Mesin ini menyokong Pertukaran Kekunci Internet versi 1 (IKEv1) untuk menukar kekunci berdasarkan Persatuan Keselamatan Internet dan Protokol Pengurusan Kekunci (ISAKMP). Untuk kaedah pengesahan, tetapkan sama ada kaedah kekunci prakongsi atau kaedah tandatangan digital.

Apabila menetapkan kaedah kunci prakongsi, anda perlu membuat keputusan ke atas frasa laluan (kunci prakongsi) terlebih dahulu, yang digunakan antara mesin dan rakan komunikasi IPSec.

Apabila menetapkan kaedah tandatangan digital, gunakan sijil CA dan kekunci format serta sijil PKCS#12 untuk melakukan pengesahan bersama antara mesin dan rakan komunikasi IPSec. Untuk maklumat lebih lanjut mengenai mendaftar sijil CA atau kekunci/sijil baharu, lihat Mendaftar Kekunci dan Sijil untuk Komunikasi Rangkaian. Sila ambil perhatian bahawa SNTP mesti dikonfigurasikan untuk mesin sebelum ia menggunakan kaedah ini. Membuat Tetapan SNTP


Tanpa mengambil kita tetapan [Format Encryption Method to FIPS 140-2] (Format Kaedah Penyulitan untuk FIPS 140-2) untuk komunikasi IPSec, modul penyulitan yang telah mendapat pensijilan FIPS140-2 akan digunakan. Untuk membuatkan komunikasi IPSec mematuhi FIPS 140-2, anda mesti menetapkan panjang kekunci DH dan RSA untuk komunikasi IPSec kepada 2048-bit atau lebih dalam persekitaran rangkaian yang mesin tersebut berada. Hanya panjang kekunci untuk DH yang boleh ditentukan daripada mesin. Sila ambil perhatian apabila mengkonfigurasikan persekitaran anda, kerana tiada tetapan untuk RSA di dalam mesin. Anda boleh mendaftar sehingga 10 dasar keselamatan.

Tanpa mengambil kita tetapan [Format Encryption Method to FIPS 140-2] (Format Kaedah Penyulitan untuk FIPS 140-2) untuk komunikasi IPSec, modul penyulitan yang telah mendapat pensijilan FIPS140-2 akan digunakan.

Untuk membuatkan komunikasi IPSec mematuhi FIPS 140-2, anda mesti menetapkan panjang kekunci DH dan RSA untuk komunikasi IPSec kepada 2048-bit atau lebih dalam persekitaran rangkaian yang mesin tersebut berada.

Hanya panjang kekunci untuk DH yang boleh ditentukan daripada mesin.

Sila ambil perhatian apabila mengkonfigurasikan persekitaran anda, kerana tiada tetapan untuk RSA di dalam mesin.

Anda boleh mendaftar sehingga 10 dasar keselamatan.

Mengaktifkan IPSec

Mulakan UI Kawalan Jauh. Memulakan UI Kawalan Jauh

Klik [Settings/Registration] pada halaman portal. Tetapan UI Kawalan Jauh

Klik [Network Settings]

[IPSec Settings].

Pilih [Use IPSec] (Gunakan IPSec) atau klik [OK] (OK).

Untuk hanya menerima paket yang berkaitan dengan dasar keselamatan, pilih [Reject] (Tolak) untuk [Receive Non-Policy Packets] (Terima Paket Bukan Dasar).

Mendaftar Dasar

Mulakan UI Kawalan Jauh. Memulakan UI Kawalan Jauh

Klik [Settings/Registration] pada halaman portal. Tetapan UI Kawalan Jauh

Klik [Network Settings]

[IPSec Policy List].

Klik [Register New IPSec Policy] (Mula Mengeksport).

Menetapkan dasar.

[Policy Name] (Maklumat Asas Peranti)

Masukkan nama untuk mengenal pasti dasar.

[Policy On/Off] (Maklumat Asas Peranti)

Pilih [On] (Hidupkan) untuk mengaktifkan dasar yang didaftarkan.

[Only Allow 256-bit for AES Key Length] (Maklumat Asas Peranti)

Pilih kotak semak ini untuk mengehadkan panjang kekunci kaedah penyulitan AES kepada 256 bit dan memenuhi standard pengesahan CC.

Konfigurasikan parameter aplikasi IPSec.

Klik [Selector Settings] (Mula Mengeksport).

Tentukan alamat IP untuk menggunakan dasar IPSec.

Tentukan alamat IP mesin ini dalam [Local Address] (Alamat Tempatan) dan tentukan alamat IP rakan komunikasi dalam [Remote Address] (Capaian Kawalan Jauh).

[All IP Addresses]	IPSec digunakan untuk semua paket IP yang dihantar dan diterima.
[IPv4 Address]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv4 mesin ini.
[IPv6 Address]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv6 mesin ini.
[All IPv4 Addresses]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv4 rakan komunikasi.
[All IPv6 Addresses]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv6 rakan komunikasi.
[IPv4 Manual Settings]	Tentukan alamat IPv4 untuk menggunakan IPSec. Pilih [Single Address] (Alamat Tunggal) untuk memasukkan alamat IPv4 individu. Pilih [Range Address] (Barisan Alamat) untuk menentukan julat alamat IPv4. Masukkan alamat yang berbeza untuk [First Address] (Alamat Pertama) dan [Last Address] (Alamat Terakhir). Pilih [Subnet Settings] (Tetapan Subrangkaian) untuk menentukan julat alamat IPv4 dengan menggunakan tapisan subrangkaian. Masukkan nilai berasingan untuk [First Address] (Alamat Pertama) dan [Subnet Settings] (Tetapan Subrangkaian).
[IPv6 Manual Settings]	Tentukan alamat IPv6 untuk menggunakan IPSec. Pilih [Single Address] (Alamat Tunggal) untuk memasukkan alamat IPv6 individu. Pilih [Range Address] (Barisan Alamat) untuk menentukan julat alamat IPv6. Masukkan alamat yang berbeza untuk [First Address] (Alamat Pertama) dan [Last Address] (Alamat Terakhir). Pilih [Prefix Address] (Alamat Prapemasangan) untuk menentukan julat alamat IPv6 dengan menggunakan prapemasangan. Masukkan nilai berasingan untuk [First Address] (Alamat Pertama) dan [Prefix Length] (Panjang Prapemasangan).

Tentukan port yang akan menggunakan IPSec.

Pilih [Specify by Port Number] (Tentukan mengikut Nombor Port) untuk menggunakan nombor port apabila menentukan port yang digunakan IPSec. Pilih [All Ports] (Semua Port) untuk menggunakan IPSec kepada semua nombor port. Untuk menggunakan IPSec kepada nombor port khususSingle Port] (Port Tunggal) dan masukkan nombor port. Tentukan port mesin ini dalam [Local Port] (Port Tempatan) dan tentukan port rakan komunikasi dalam [Remote Port] (Port Kawalan Jauh).

Untuk menentukan port menggunakan IPSec mengikut nama perkhidmatan, pilih [Specify by Service Name] (Tentukan mengikut Nama Perkhidmatan) dan pilih perkhidmatan untuk digunakan.

Klik [OK] (Mula Mengeksport).

Konfigurasikan tetapan pengesahan dan penyulitan.

Klik [IKE Settings] (Mula Mengeksport).

Konfigurasikan tetapan yang diperlukan.

[IKE Mode]

Pilih mod operasi untuk protokol pertukaran kekunci. Keselamatan ditingkatkan jika anda memilih [Main] (Utama) kerana sesi IKE itu sendiri disulitkan, tetapi kelajuan sesi lebih perlahan daripada dengan [Aggressive] (Agresif), yang tidak menyulitkan keseluruhan sesi.

[Validity]

Tetapkan tempoh tamat IKE SA yang dijanakan.

[Authentication Method]

Pilih satu daripada kaedah pengesahan yang dihuraikan di bawah.

[Pre-Shared Key Method]	Tetapkan frasa laluan yang sama (kekunci prakongsi) yang ditetapkan untuk rakan komunikasi. Pilih [Shared Key Settings] (Kekunci Dikongsi), masukkan rentetan aksara untuk digunakan sebagai kekunci dikongsi dan pilih [OK] (OK).
[Digital Signature Method]	Tetapkan kekunci dan sijil yang akan digunakan untuk pengesahan bersama dengan rakan komunikasi. Klik [Key and Certificate] (Kekunci dan Sijil) dan klik [Use] (Gunakan) untuk kekunci digunakan.

[Authentication/Encryption Algorithm]

Pilih sama ada [Auto] (Automatik) atau [Manual Settings] (Tetapan Manual) bagi menetapkan cara menentukan algoritma pengesahan dan penyulitan untuk IKE fasa 1. Jika anda memilih [Auto] (Automatik) algoritma yang boleh digunakan oleh mesin ini dan rakan komunikasi ditetapkan secara automatik. Jika anda mahu menentukan algoritma yang khusus, pilih [Manual Settings] (Tetapan Manual) dan konfigurasikan tetapan di bawah.

[Authentication]	Pilih algoritma hash.
[Encryption]	Pilih algoritma penyulitan.
[DH Group]	Pilih kumpulan untuk kaedah pertukaran kekunci Diffie-Hellman bagi menetapkan kekuatan kekunci.

Klik [OK] (Mula Mengeksport).


Apabila [IKE Mode] (Mod IKE) ditetapkan kepada [Main] (Utama) pada skrin [IKE] (IKE) dan [Authentication Method] (Kaedah Pengesahan) ditetapkan kepada [Pre-Shared Key Method] (Kaedah Kekunci Prakongsi), pengehadan berikut dikenakan apabila mendaftar beberapa dasar keselamatan. Kekunci kaedah kekunci prakongsi: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, semua kekunci dikongsi untuk keselamatan tersebut adalah serupa (ini tidak terpakai apabila alamat tunggal ditentukan). Keutamaan: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, keutamaan dasar keselamatan tersebut ialah di bawah dasar keselamatan yang alamat tunggal ditentukan.

Apabila [IKE Mode] (Mod IKE) ditetapkan kepada [Main] (Utama) pada skrin [IKE] (IKE) dan [Authentication Method] (Kaedah Pengesahan) ditetapkan kepada [Pre-Shared Key Method] (Kaedah Kekunci Prakongsi), pengehadan berikut dikenakan apabila mendaftar beberapa dasar keselamatan.

Kekunci kaedah kekunci prakongsi: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, semua kekunci dikongsi untuk keselamatan tersebut adalah serupa (ini tidak terpakai apabila alamat tunggal ditentukan).

Keutamaan: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, keutamaan dasar keselamatan tersebut ialah di bawah dasar keselamatan yang alamat tunggal ditentukan.

Konfigurasikan tetapan komunikasi IPSec.

Klik [IPSec Network Settings] (Mula Mengeksport).

Konfigurasikan tetapan yang diperlukan.

[Validity]

Tetapkan tempoh tamat IPSec SA yang dijanakan. Pastikan untuk menetapkan sama ada [Time] (Masa) atau [Size] (Saiz). Jika anda menetapkan kedua-duanya, tetapan dengan nilai yang dicapai terlebih dahulu akan digunakan.

[PFS]

Jika anda memilih [Use PFS] (Gunakan PFS), kerahsiaan kekunci penyulitan ditingkatkan tetapi kelajuan komunikasi menjadi lebih perlahan. Selain itu, fungsi Kerahsiaan Hadapan yang Sempurna (PFS) mesti diaktifkan pada peranti rakan komunikasi.

[Authentication/Encryption Algorithm]

Pilih sama ada [Auto] (Automatik) atau [Manual Settings] (Tetapan Manual) bagi menetapkan cara menentukan algoritma pengesahan dan penyulitan untuk IKE fasa 2. Jika anda memilih [Auto] (Automatik), algoritma pengesahan dan penyulitan ESP ditetapkan secara automatik. Jika anda mahu menentukan kaedah pengesahan yang khusus, pilih [Manual Settings] (Tetapan Manual) dan pilih satu daripada kaedah pengesahan di bawah.

[ESP]	Pengesahan dan penyulitan dilakukan bersama. Pilih algoritma untuk [ESP Authentication] (Pengesahan ESP) dan [ESP Encryption] (Penyulitan ESP). Pilih [NULL] (BATAL) jika anda tidak mahu menetapkan algoritma pengesahan atau penyulitan.
[ESP (AES-GCM)]	AES-GCM digunakan sebagai algoritma ESP dan pengesahan dan penyulitan dilakukan bersama.
[AH (SHA1)]	Pengesahan dilakukan, tetapi data tidak disulitkan. SHA1 digunakan sebagai algoritma.

Klik [OK] (OK).

Klik [OK] (Mula Mengeksport).

Aktifkan dasar yang didaftarkan dan semak urutan keutamaan.

Dasar digunakan mengikut urutannya yang disenaraikan, bermula dari atas. Jika anda mahu mengubah urutan keutamaan, pilih dasar dalam senarai dan klik [Raise Priority] (Keutamaan Ditingkatkan) atau [Lower Priority] (Keutamaan Diturunkan).


Menguruskan dasar IPSec Anda boleh mengedit dasar pada skrin yang dipaparkan dalam langkah 4. Untuk mengedit butiran terperinci dasar, klik nama dasar dalam senarai. Untuk menyahaktifkan dasar, klik nama dasar dalam senarai pilih [Off] (Matikan) untuk [Policy On/Off] (Hidupkan/Matikan Dasar) klik [OK] (OK). Untuk memadamkan dasar, pilih dasar dalam senarai klik [Delete] (Padam) [OK] (OK). Menggunakan panel operasi Anda juga boleh mengaktifkan atau menyahaktifkan komunikasi IPSec daripada <Tetapkan> dalam skrin <Home>. <Tetapan IPSec> Mengimport/mengeksport secara berkelompok Tetapan ini boleh diimport/dieksport dengan model yang menyokong pengimportan kelompok tetapan ini. Mengimport/MengEksport Data Tetapan Tetapan ini termasuk dalam [Settings/Registration Basic Information] (Tetapan/Pendaftaran Maklumat Asas) apabila mengeksport kelompok. Mengimport/Mengeksport Semua Tetapan

Menguruskan dasar IPSec

Anda boleh mengedit dasar pada skrin yang dipaparkan dalam langkah 4.

Untuk mengedit butiran terperinci dasar, klik nama dasar dalam senarai.

Untuk menyahaktifkan dasar, klik nama dasar dalam senarai

pilih [Off] (Matikan) untuk [Policy On/Off] (Hidupkan/Matikan Dasar)

klik [OK] (OK).

Untuk memadamkan dasar, pilih dasar dalam senarai

klik [Delete] (Padam)

[OK] (OK).

Menggunakan panel operasi

Anda juga boleh mengaktifkan atau menyahaktifkan komunikasi IPSec daripada <Tetapkan> dalam skrin <Home>. <Tetapan IPSec>

Mengimport/mengeksport secara berkelompok

Tetapan ini boleh diimport/dieksport dengan model yang menyokong pengimportan kelompok tetapan ini. Mengimport/MengEksport Data Tetapan

Tetapan ini termasuk dalam [Settings/Registration Basic Information] (Tetapan/Pendaftaran Maklumat Asas) apabila mengeksport kelompok. Mengimport/Mengeksport Semua Tetapan