|
Режим связиПри использовании протокола IPSec данный аппарат поддерживает только режим передачи. Поэтому аутентификация и шифрование выполняются только в отношении тех частей IP-пакетов, в которых находятся данные.
Протокол распределения ключейДанный аппарат поддерживает протокол Internet Key Exchange версии 1 (IKEv1) для обмена ключами на основе протокола Internet Security Association and Key Management Protocol (ISAKMP). Для аутентификации следует выбрать способ с использованием общего ключа или цифровой подписи.
При выборе способа с использованием общего ключа необходимо заранее задать парольную фразу (общий ключ), которая используется для взаимодействия аппарата с кэширующим узлом IPSec.
При выборе второго способа для следует использовать сертификат, выданный центром сертификации (CA), ключ в формате PKCS#12 и сертификат, который используется для взаимной аутентификации аппарата и кэширующего узла IPSec. Дополнительные сведения о регистрации новых сертификатов CA, а также ключей и сертификатов см. в разделе Регистрация ключа и сертификата для передачи данных по сети. Обратите внимание, что перед использованием этого способа необходимо настроить параметры SNTP. Настройка параметров SNTP
|
|
Независимо от настроек <Форм. метод кодирования в FIPS 140-2> для связи по протоколу IPSec, для шифрования будет использован модуль, уже прошедший сертификацию FIPS140-2.
Чтобы связь по протоколу IPSec соответствовала стандарту FIPS 140-2, необходимо указать длину ключа как DH, так и RSA для IPSec не менее 2048 бит в сети, к которой относится аппарат.
С аппарата можно указать только длину ключа DH.
Обратите внимание, что при конфигурировании сети с аппарата настройки RSA недоступны.
Можно зарегистрировать до 10 политик безопасности.
|
1
|
Нажмите <Параметры селектора>.
|
||||||||||||||
2
|
Укажите IP-адрес, в отношении которого необходимо применить политику IPSec.
Укажите IP-адрес аппарата в поле <Локальный адрес>, а затем укажите IP-адрес кэширующего узла в поле <Дистанционный адрес>.
|
||||||||||||||
3
|
Укажите порт, в отношении которого необходимо применить политику IPSec.
Нажмите кнопку <Указать по номеру порта>, чтобы ввести номера портов, в отношении которых необходимо применить политику IPSec. Выберите <Все порты>, чтобы применить политику IPSec ко всем номерам портов. Чтобы применить политику IPSec только к определенному порту, нажмите кнопку <Один порт> и введите номер порта. После указания портов нажмите кнопку <OK>. Укажите порт аппарата в поле <Локальный порт>, а затем укажите порт кэширующего узла в поле <Дистанционный порт>.
Нажмите кнопку <Указать по имени службы>, чтобы ввести имена служб, в отношении которых необходимо применить политику IPSec. Выберите в списке нужную службу и нажмите кнопку <Вкл./Выкл. службы>, чтобы задать для нее значение <Вкл.>, а затем нажмите кнопку <OK>.
|
||||||||||||||
4
|
Нажмите <OK>.
|
1
|
Нажмите <Параметры IKE>.
|
||||||||||
2
|
Настройте необходимые параметры.
<Режим IKE>
Служит для выбора режима протокола. Если для режима функционирования установлено значение <Основн.>, уровень безопасности повышается за счет шифрования сеанса связи по протоколу IKE, однако на процесс связи возлагается большая нагрузка по сравнению с <Aggressive>, в котором сеанс не шифруется.
<Действит.>
Укажите срок действия созданного IKE SA.
<Способ аутентификации>
Выберите один из способов аутентификации, которые описаны ниже.
<Алгоритм аутентификации/кодирования>
Выберите <Авто> или <Ручная настройка>, чтобы указать способ задания алгоритма аутентификации и шифрования для этапа 1 подключения по протоколу IKE. Выберите <Авто>, чтобы алгоритм для аппарата и кэширующего узла задавался автоматически. Чтобы задать определенный алгоритм, выберите вариант <Ручная настройка> и настройте указанные ниже параметры.
|
||||||||||
3
|
Нажмите <OK>.
|
|
Когда для параметра <Режим IKE> установлено значение <Основн.> на экране <Параметры IKE> и для параметра <Способ аутентификации> установлено значение <Способ защ. общ. ключа>, при регистрации нескольких политик безопасности применяются следующие ограничения.
Ключ для метода общего ключа: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, все общие ключи для этой политики являются идентичными (это не применяется, если указан один адрес).
Приоритет: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, приоритет этой политики безопасности ниже, чем у тех политик безопасности, для которых указан единственный адрес.
|
1
|
Нажмите <Параметры сети IPSec>.
|
||||||
2
|
Настройте необходимые параметры.
<Действит.>
Укажите срок действия созданного IPSec SA. Обязательно укажите значение в поле <Время> или <Размер>. Если задано оба значения, будет применен параметр со значением, которое будет достигнуто первым.
<PFS>
Чтобы повысить секретность шифрования ключа, задайте для функции совершенной прямой секретности (PFS) значение <Вкл.>, однако скорость передачи данных при этом заметно снизится. Функцию PFS также необходимо включить на кэширующем узле.
<Алгоритм аутентификации/кодирования>
Выберите <Авто> или <Ручная настройка>, чтобы указать способ задания алгоритма аутентификации и шифрования для этапа 2 подключения по протоколу IKE. Если выбрать вариант <Авто>, аутентификация ESP и алгоритм шифрования задаются автоматически. Чтобы указать определенный способ аутентификации, выберите вариант <Ручная настройка> и выберите нужный способ из списка ниже.
|
||||||
3
|
Нажмите <OK> <OK>.
|
|
Управление политиками IPSecНа экране, который отображается на шаге 3, можно изменить политики.
Чтобы изменить параметры политики, выберите ее в списке и нажмите кнопку <Правка>.
Чтобы отключить политику, выберите ее в списке и нажмите кнопку <Вкл./Выкл. концепции>.
Чтобы удалить политику, выберите ее в списке и нажмите <Удалить> <Да>.
|