使用 IPSec

使用 IP 安全性通訊協定 (IPSec) 可防止竊聽和篡改透過 IP 網路傳送和接收的 IP 封包。這可以在 IP 通訊協定層級執行加密以確保安全,不需要仰賴應用程式或網路設定。

IPSec 適用條件及支援的模式

IPSec 不適用的封包
指定回送、多點傳送或廣播位址的封包
從 UDP 連接埠 500 傳送的 IKE 封包
ICMPv6 芳鄰請求和芳鄰通告封包
金鑰交換通訊協定的操作模式 (IKE 模式)
本機支援的 IKE 模式只是用於對封包進行加密的主要模式。不支援非加密積極模式。
通訊模式
本機支援的通訊模式只有傳輸模式,只對不包括 IP 標頭的部分進行加密。不支援將整個 IP 封包加密的通道模式。
結合使用 IPSec 與 IP 位址篩選
將先套用 IP 位址篩選條件設定。設定防火牆

IPSec 策略設定

若要在本機上執行 IPSec 通訊,您必須建立 IPSec 策略,其中包括適用於驗證和加密的範圍和演算法。該策略主要由下列項目組成。
選擇器
指定要套用 IPSec 通訊的 IP 封包。除了指定本機和通訊裝置的 IP 位址之外,您也可以指定本機和通訊裝置的連接埠號碼。
IKE
金鑰交換通訊協定支援網際網路金鑰交換版本 1 (IKEv1)。對於驗證方法,請選擇預先共用金鑰方法或數位簽章方法。
預先共用金鑰方法:
此驗證方法使用稱為共用金鑰的通用金鑰文字,用於本機與其他裝置之間的通訊。
數位簽章方法
本機和其他裝置透過彼此確認它們的數位簽章來相互驗證。
ESP/AH
指定 ESP/AH 的設定,這是用於 IPSec 通訊的通訊協定。ESP 和 AH 可以同時使用。使用完整轉傳密碼 (PFS) 可達到更高的安全性。

設定 IPSec

啟用 IPSec,然後建立並註冊 IPSec 策略。如果已建立多個策略,請指定套用這些策略的順序。
本節說明如何從電腦使用遠端使用者介面進行設定。
在控制面板上,按下 [首頁] 畫面中的 [功能表],然後按下 [參數選擇] 以指定設定。不過,控制面板只能用於啟用或停用 IPSec。[使用IPSec]
需要管理員權限。必須重新啟動本機才能套用設定。
所需的準備
將本機直接連接到與本機位於同一個虛擬專用網路 (VPN) 上的電腦。確認操作條件,並提前完成電腦上的設定。管理功能
按照 IKE 驗證方法準備如下:
使用預先共用金鑰方法時,為遠端使用者介面通訊啟用 TLS。使用 TLS
使用數位簽章方法時,備妥要使用的金鑰和憑證。管理與驗證金鑰和憑證
使用 PFS 時,請檢查通訊裝置是否啟用 PFS。
1
以系統管理員模式登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面的入口網站頁面
3
按一下 [網路設定] [IPSec設定] [編輯]。
顯示 [編輯IPSec設定] 畫面。
4
選取 [使用IPSec] 核取方塊,然後按一下 [確定]。
若只要接收符合策略的封包,請清除 [接收非策略資料封包] 核取方塊。
5
按一下 [註冊新策略]。
顯示 [註冊新IPSec策略] 畫面。
6
在 [策略設定] 中輸入策略名稱,然後選取 [啟用策略] 核取方塊。
對於策略名稱,使用單位元組英數字元輸入用於識別策略的名稱。
7
在 [選擇器設定] 中設定選擇器。
[本機位址設定]
選取套用策略的本機 IP 位址類型。
若要將 IPSec 套用於全部的 IP 封包,請選擇 [全部IP位址]。
若要將 IPSec 套用於使用 IPv4 或 IPv6 位址傳送和接收的 IP 封包,請選擇 [IPv4位址] 或 [IPv6位址]。
[遠端位址設定]
選取套用策略的通訊裝置 IP 位址類型。
若要將 IPSec 套用於全部的 IP 封包,請選擇 [全部IP位址]。
若要將 IPSec 套用於使用 IPv4 或 IPv6 位址傳送和接收的 IP 封包,請選擇 [全部IPv4位址] 或 [全部IPv6位址]。
若要指定套用 IPSec 的 IPv4 或 IPv6 位址,請選擇 [IPv4手動設定] 或 [IPv6手動設定]。
[要手動設定的位址]
選擇 [IPv4手動設定] 或 [IPv6手動設定] 時,輸入 IP 位址。您也可以使用連字號 (-) 指定 IP 位址範圍。
輸入範例:
一個 IPv4 位址
192.168.0.10
一個 IPv6 位址
fe80::10
範圍指定
192.168.0.10-192.168.0.20
[子網路設定]
選擇 [IPv4手動設定] 時,您可以使用子網路遮罩指定 IPv4 位址的範圍。
輸入範例:
255.255.255.240
[前置碼長度]
選擇 [IPv6手動設定] 時,您可以使用前置碼長度指定 IPv6 位址的範圍。輸入範圍為 0 至 128 的前置碼長度。
[連接埠設定]
在本機的 [本機連接埠] 和通訊裝置的 [遠端連接埠] 中設定套用 IPSec 的連接埠。
若要將 IPSec 套用於全部的連接埠號碼,請選擇 [全部連接埠]。
若要將 IPSec 套用於特定通訊協定,例如 HTTP 或 WSD,請選擇 [單連接埠],然後輸入協定的連接埠號碼。
8
在 [IKE設定] 中設定 IKE。
[IKE模式]
本機僅支援主要模式。
[認證方法]
選擇本機的驗證方法。
選擇 [預共用鍵值方法] 後,按一下 [共用鍵值設定] 使用單位元組英數字元輸入做為共用金鑰的字串 按一下 [確定]。
選擇 [數位簽章方法] 後,按一下要使用的金鑰和憑證右側的 [鍵值和憑證] [註冊預設鍵值]。
[有效期]
輸入 IKE SA(ISAKMP SA) 做為控制通訊路徑的有效期間分鐘數。
[認證/加密演算法]
選擇用於密鑰交換的演算法。
9
在 [IPSec網路設定] 中,指定 IPSec 網路設定。
[使用PFS]
選取此核取方塊可為工作階段金鑰設定 PFS。
[有效期]
按照時間、大小或兩者,對於做為資料通訊路徑的 IPSec SA 指定有效期間。
選取 [透過時間指定] 核取方塊時,輸入有效期間分鐘數。
選取 [透過大小指定] 核取方塊時,輸入有效期間 MB 數。
兩者均已勾選時,將套用先達到指定值的項目。
[認證/加密演算法]
按照要使用的 IPSec 標頭 (ESP 和 AH) 及其演算法選取此核取方塊。
[ESP認證]
選擇 [ESP] 後,選擇驗證演算法。若要執行 ESP 驗證,請選擇 [SHA1]。否則,選擇 [不使用]。
[ESP加密]
選擇 [ESP] 後,選擇加密演算法。如果不想要指定演算法,請選擇 [空]。若要停用加密,請選擇 [不使用]。
[連線模式]
本機僅支援傳輸模式。
10
按一下 [確定]。
新註冊的策略隨即新增到 [IPSec設定] 畫面上的 [已註冊IPSec策略] 中。
註冊多個策略時
按一下策略名稱右側的 [上] 或 [下],設定優先順序。較高層級的策略優先套用於 IPSec 通訊。
11
重新啟動本機。重新啟動本機
隨即套用設定。
編輯已註冊的策略
若要編輯已註冊的資訊,請在 [IPSec設定] 畫面的 [已註冊IPSec策略] 中按一下要編輯的策略名稱。
9R2C-06Y