|
KommunikationslägeDen här maskinen bara har stöd för transportläge för IPSec-kommunikation. Därför används bara autentisering och kryptering för datadelar av IP-paket.
NyckelutbytesprotokollDen här enheten har stöd för Internet Key Exchange version 1 (IKEv1) för utbyte av nycklar baserat på Internet Security Association and Key Management Protocol (ISAKMP). För autentiseringsmetod anger du antingen i förväg delad nyckel eller metod för digital signatur.
När du anger i förväg delad nyckel, måste du ange en lösenordsfras (i förväg delad nyckel) i förväg. Den används mellan maskinen och IPSec-kommunikationspeers.
Om du väljer metoden digital signatur, använder du ett CA-certifikat och en PKCS#12-formatnyckel och certifikat att utföra ömsesidig autentisering mellan maskinen och IPSec-kommunikationspeers. För mer information om hur du registrerar nya CA-certifikat eller nycklar/certifikat, se Registrera en nyckel och ett certifikat för nätverkskommunikation. Observera att du måste konfigurera SNTP för maskinen innan du använder den här metoden. Göra SNTP-inställningar
|
|
Oavsett inställningarna för <Formatkrypteringsmetod till FIPS 140-2> för IPSec-kommunikation, kommer en krypteringsmodul som redan har hämtat FIPS140-2-certifiering att användas.
Du måste, för att få IPSec-kommunikationen att överensstämma med FIPS 140-2, ställa in nyckellängden för både DH och RSA för IPSec-kommunikation på 2048-bitar eller längre i den nätverksmiljö som maskinen ingår i.
Endast nyckellängden för DH kan anges från maskinen.
Anteckna när du konfigurerar miljön, eftersom det inte finns några inställningar för RSA i maskinen.
Du kan registrera upp till 10 säkerhetspolicys.
|
1
|
Tryck på <Manövreringsinställningar>.
|
||||||||||||||
2
|
Ange IP-adressen att tillämpa IPSec-policyn för.
Ange IP-adressen för den här maskinen i <Lokal adress> och ange IP-adressen för aktuell kommunikationspeer i <Fjärradress>.
|
||||||||||||||
3
|
Ange porten att tillämpa IPSec för.
Tryck på <Ange efter portnummer> för att använda portnummer när du anger portar som IPSec gäller för. Välj <Alla portar> för att tillämpa IPSec för alla portnummer. För att tillämpa IPSec för att ett visst portnummer, tryck på <Enkel port> och ange portnumret. När du har angett portar, tryck på <OK>. Ange porten för den här maskinen i <Lokal port> och ange port för aktuell kommunikationspeer i <Fjärrport>.
Tryck på <Ange efter tjänstenamn> för att använda tjänstenamnen när du anger portar som IPSec gäller för. Välj tjänst i listan, tryck på <Tjänst på/av> för att sätta den till <På> och tryck på <OK>.
|
||||||||||||||
4
|
Tryck på <OK>.
|
1
|
Tryck på <IKEinställningar>.
|
||||||||||
2
|
Konfigurera de inställningar som behövs.
<IKE-läge>
Välj läge för nyckelutbytesprotokollet. När driftsläget är inställt på <Huvud> är säkerheten högre eftersom själva IKE-sessionen är krypterad, men en högre börda åläggs kommunikationen jämfört med <Aggressiv>, which does not perform encryption.
<Giltighet>
Ställ in utgångsdatum för skapat IKE SA.
<Autentiseringsmetod>
Välj en av autentiseringsmetoderna som beskrivs nedan.
<Autentiserings-/krypteringsalgoritm>
Välj antingen <Auto> eller <Manuella inställningar> för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 1. Om du väljer <Auto>, anges automatiskt en algoritm som kan användas av både den här maskinen och aktuell kommunikationspeer. Om du vill välja en viss algoritm, välj <Manuella inställningar> och konfigurera inställningarna nedan.
|
||||||||||
3
|
Tryck på <OK>.
|
|
Om <IKE-läge> är inställt på <Huvud> på skärmen <IKEinställningar> och <Autentiseringsmetod> är inställt på <Förutdelad nyckel>, tillämpas följande begränsningar vid registrering av flera säkerhetspolicys.
Metod med i förväg delad nyckel: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är alla delade nycklar för säkerhetspolicyn identiska (detta gäller inte om enstaka adresser har angetts).
Prioritet: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är prioriteten för den säkerhetspolicyn lägre än säkerhetspolicys för vilka specifika adresser har angetts.
|
1
|
Tryck på <IPSecnätverksinst.>.
|
||||||
2
|
Konfigurera de inställningar som behövs.
<Giltighet>
Ställ in utgångsdatum för skapat IPSec SA. Ange antingen <Tid> eller <Format>. Om du ställer in båda gäller det värde som uppnås först.
<PFS>
Om du sätter Perfect Forward Secrecy (PFS) till <På>, ökar säkerheten för krypteringsnyckeln, men kommunikationshastigheten blir långsammare. Dessutom måste PFS-funktionen aktiveras på enheten med aktuell kommunikationspeer.
<Autentiserings-/krypteringsalgoritm>
Välj antingen <Auto> eller <Manuella inställningar> för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 2. Om du väljer <Auto>, ställs ESP-autentisering och krypteringsalgoritm in automatiskt. Om du vill ange en viss autentiseringsmetod, tryck på <Manuella inställningar> och välj en autentiseringsmetod nedan.
|
||||||
3
|
Tryck på <OK> <OK>.
|
|
Hantera IPSec-policyerDu kan redigera policyer på den skärm som visas i steg 3.
För att redigera detaljerna för en policy, välj policyn i listan och tryck på <Redigera>.
För att avaktivera en policy, välj policyn och tryck på <Princip på/av>.
För att ta bort en policy, välj policyn i listan och tryck på <Radera> <Ja>.
|