通訊模式本機僅支援 IPSec 通訊傳輸模式。因此,認證和加密僅套用於 IP 封包的資料部分。 鍵値交換通訊協定本機支援網際網路金鑰交換版本 1 (IKEv1),根據網際網路安全協會與金鑰管理協定 (ISAKMP) 交換金鑰。對於認證方法,請設定事先共用金鑰方法或數位簽章方法。 設定預先共用金鑰方法時,必須事先決定會在本機和 IPSec 通訊端之間使用的密碼(預先共用金鑰)。 設定數位簽章方法時,使用 CA 憑證和 PKCS#12 格式金鑰和憑證可執行本機和 IPSec 通訊端之間的相互認證。有關註冊新 CA 憑證或金鑰/憑證的詳細資訊,請參閱註冊用於網路通訊的金鑰和憑證。請注意,在使用此方法前,必須針對本機設定 SNTP。進行 SNTP 設定 |
無論 IPSec 通訊的 <以FIPS 140-2作為加密方法的格式> 設定為何,將會使用已取得 FIPS140-2 憑證的加密模組。 為了讓 IPSec 通訊符合 FIPS 140-2,您必須在本機所屬的網路環境中,將用於 IPSec 通訊的 DH 和 RSA 金鑰長度皆設為 2048 位元以上。 只有 DH 的金鑰長度可以從本機指定。 本機沒有提供 RSA 設定,設定環境時應當注意。 最多可以註冊 10 個安全策略。 |
1 | 按 <選擇器設定>。 | ||||||||||||||
2 | 指定要套用到 IPSec 策略的 IP 位址。 在 <本地位址> 中指定本機的 IP 位址,並在 <遠端位址> 中指定通訊端的 IP 位址。
| ||||||||||||||
3 | 選擇要套用到 IPSec 的連接埠。 指定要套用 IPSe 之連接埠時,按 <透過連接埠號指定> 以使用連接埠號。選擇 <全部連接埠> 以將 IPSec 套用到所有連接埠號。若要將 IPSec 套用到特定連接埠號,請按 <單連接埠> 然後輸入連接埠號。指定連接埠後,按 <確定>。在 <本地連接埠> 指定本機的連接埠,並在 <遠端連接埠> 中指定通訊端的連接埠。 指定 IPSec 要套用之連接埠時,按 <透過服務名稱指定> 以使用服務名稱。在清單中選擇服務,按 <服務開啟/關閉> 以將其設定為 <開啟>,然後按 <確定>。 | ||||||||||||||
4 | 按 <確定>。 |
1 | 按 <IKE設定>。 | ||||||||||
2 | 指定需要的設定。 <IKE模式> 選擇鍵值交換通訊協定的操作模式。操作模式是設定為 <主要> 時,安全性會獲得強化,因為 IKE 工作階段本身經過加密,不過,相較於不執行加密的 <積極>,對於通訊造成的負擔較大。 <有效期> 對於產生的 IKE SA 設定到期期間。 <認證方法> 選擇下述的認證方法其中之一。
<認證/加密演算法> 選擇 <自動> 或 <手動設定> 以設定如何指定 IKE 階段 1 的認證和加密演算法。如果選擇了 <自動>,會自動設定本機和通訊端都可使用的演算法。如果要指定特定演算法,請選擇 <手動設定> 然後指定下列的設定。
| ||||||||||
3 | 按 <確定>。 |
當在 <IKE設定> 上將 <IKE模式> 設為 <主要> 並將 <認證方法> 設為 <預先共用金鑰方法> 時,下列限制會在註冊多個安全策略時套用。 預先共用金鑰方法金鑰:當指定要套用安全策略的多個遠端 IP 位址時,該安全策略的所有共用金鑰皆相同 (指定單一位址時不會套用)。 優先順序:當指定要套用安全策略的多個遠端 IP 位址時,該安全策略的優先順序低於指定單一位址的安全策略。 |
1 | 按 <IPSec網路設定>。 | ||||||
2 | 指定需要的設定。 <有效期> 設定產生的 IPSec SA 的到期時間。務必設定 <時間> 或 <尺寸>。如果同時設定兩者,則套用最先截止值的設定。 <PFS> 如果將完整轉傳密碼 (PFS) 功能設定為 <開啟>,會增加加密金鑰的保密性,但通訊速度會較慢。此外,通訊端裝置也需啟用 PFS 功能。 <認證/加密演算法> 選擇 <自動> 或 <手動設定> 以設定如何指定 IKE 階段 2 的認證和加密演算法。如果選擇了 <自動>,會自動設定 ESP 認證和加密演算法。如果要指定特定的認證演算法,請按 <手動設定> 然後選擇下列認證方法其中之一。
| ||||||
3 | 按 <確定> <確定>。 |
管理 IPSec 策略您可以在步驟 3 顯示的畫面上編輯策略。 若要編輯策略詳細資訊,請在清單中選擇策略,然後按 <編輯>。 若要停用策略,在清單中選擇策略然後按 <策略開啟/關閉>。 若要刪除策略,請在清單中選擇策略,然後按下 <刪除> <是>。 |