|
CommunicatiemodusDeze machine ondersteunt alleen de transportmodus voor IPSec-communicatie. Daarom worden verificatie en versleuteling alleen toegepast op de datagedeeltes van de IP-pakketten.
Protocol voor uitwisselen van sleutelsDeze machine ondersteunt IKEv1 (Internet Key Exchange versie 1) voor het uitwisselen van sleutels op basis van ISAKMP (Internet Security Association en Key Management Protocol). Bij de verificatiemethode stelt u de vooraf gedeelde sleutelmethode of de digitale-handtekeningenmethode in.
Bij instelling van de vooraf gedeelde sleutelmethode moet u van tevoren een beslissing nemen over een wachtwoordzin (vooraf gedeelde sleutel), die wordt gebruikt tussen de machine en de IPSec-communicatie-evenknie.
Bij instelling van de digitale-handtekeningenmethode gebruikt u een CA-certificaat en een sleutel en certificaat met PKCS#12-indeling voor wederzijdse verificatie tussen de machine en de IPSec-communicatie-evenknie. Voor meer informatie over het registreren van nieuwe certificaten of sleutels/certificaten raadpleegt u Een sleutel en certificaat voor netwerkcommunicatie registreren. Merk op dat SNTP eerst op de machine moet worden geconfigureerd, voordat van deze methode gebruik gemaakt kan worden. SNTP-instellingen doorvoeren
|
|
Ongeacht de instelling van <Stel de encryptiemethode in op FIPS 140-2> voor IPSec-communicatie, wordt een versleutelingsmodule gebruikt die de FIPS140-2-certificering al heeft verkregen.
Om ervoor te zorgen dat IPSec-communicatie voldoet aan FIPS 140-2, moet u de sleutellengte van zowel DH als RSA voor IPSec-communicatie instellen op 2048-bits of langer in de netwerkomgeving waartoe de machine behoort.
Alleen de sleutellengte voor DH kan worden opgegeven vanuit de machine.
Maak notities bij het configureren van uw omgeving, want er zijn geen instellingen voor RSA in de machine.
U kunt maximaal 10 beveiligingsbeleidsregels registreren.
|
1
|
Druk op <Selector instellingen>.
|
||||||||||||||
2
|
Geef het IP-adres waar u het IPSec-beleid op wilt toepassen, op.
Geef het IP-adres van deze machine op bij <Lokaal adres> en van de communicatie-evenknie bij <Adres op afstand>.
|
||||||||||||||
3
|
Geef de poort waarop u IPSec wilt toepassen, op.
Druk op <Aangeven met poortnummer> om poortnummers te gebruiken bij het opgeven van de poorten waarop IPSec van toepassing is. Selecteer <Alle poorten> om IPSec op alle poortnummers toe te passen. Om IPSec op een specifiek poortnummer toe te passen, drukt u op <Enkelv. poort> en voert u het poortnummer in. Na opgave van de poorten drukt u op <OK>. Geef de poort van deze machine op bij <Lokale poort> en van de communicatie-evenknie bij <Poort op afstand>.
Druk op <Aangeven met servicenaam> om servicenamen te gebruiken bij het opgeven van de poorten waarop IPSec van toepassing is. Selecteer de service uit de lijst, druk op <Service Aan/Uit> om die in te stellen op <Aan> en druk op <OK>.
|
||||||||||||||
4
|
Druk op <OK>.
|
1
|
Druk op <IKE-instellingen>.
|
||||||||||
2
|
Configureer de noodzakelijke instellingen.
<IKE-modus>
Selecteer de bewerkingsmodus voor het protocol voor het uitwisselen van sleutels. Als de bewerkingsmodus is ingesteld op <Hoofd>, is de beveiliging verhoogd doordat de IKE-sessie zelf is versleuteld, maar er ligt een zwaardere last op de communicatie vergeleken bij <Agressief>, waar geen versleuteling wordt uitgevoerd.
<Geldigheid>
Stel de verloopperiode van de gegenereerde IKE SA in.
<Authentificatiemethode>
Selecteer een van de onderstaande verificatiemethodes.
<Authentificatie/Encryptie algoritme>
Selecteer <Auto> of <Handmatige instellingen> om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 1 moet worden opgegeven. Als u <Auto> selecteert, wordt een algoritme dat door zowel deze machine als de communicatie-evenknie kan worden gebruikt, automatisch ingesteld. Als u een specifiek algoritme wilt opgeven, selecteert u <Handmatige instellingen> en configureert u onderstaande instellingen.
|
||||||||||
3
|
Druk op <OK>.
|
|
Wanneer <IKE-modus> is ingesteld op <Hoofd> op het scherm <IKE-instellingen> en <Authentificatiemethode> is ingesteld op <Gedeelde sleutelmeth.>, zijn de volgende beperkingen van toepassing bij het registreren van meerdere beveiligingsbeleidsregels.
Methode met een gedeelde sleutel: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, zijn alle gedeelde sleutels voor dat beveiligingsbeleid identiek (dit geldt niet als een enkel adres is opgegeven).
Prioriteit: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, is de prioriteit van dat beveiligingsbeleid lager dan die van het beveiligingsbeleid voor een enkel adres.
|
1
|
Druk op <Instellingen IPSec netwerk>.
|
||||||
2
|
Configureer de noodzakelijke instellingen.
<Geldigheid>
Stel de verloopperiode van de gegenereerde IPSec SA in. Stel <Tijd> of <Formaat> in. Als u allebei instelt, wordt de instelling met de eerst bereikte waarde toegepast.
<PFS>
Als u de PFS-functie (Perfect Forward Secrecy) instelt op <Aan>, wordt de beveiliging van de versleutelingssleutel verhoogd, maar wordt de communicatiesnelheid trager. Daarnaast moet de PFS-functie op het apparaat van de communicatie-evenknie zijn ingeschakeld.
<Authentificatie/Encryptie algoritme>
Selecteer <Auto> of <Handmatige instellingen> om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 2 moet worden opgegeven. Als u <Auto> selecteert, wordt de ESP-verificatie en het versleutelingsalgoritme automatisch ingesteld. Als u een specifieke verificatiemethode wilt opgeven, drukt u op <Handmatige instellingen> en selecteert u een van de onderstaande verificatiemethodes.
|
||||||
3
|
Druk op <OK> <OK>.
|
|
IPSec-beleidsregels beherenU kunt beleidsregels bewerken op het scherm dat bij stap 3 wordt weergegeven.
Om de details van een beleid te bewerken, selecteert u het beleid uit de lijst en drukt u op <Bewerken>.
Om een beleid uit te schakelen, selecteert u het beleid uit de lijst en drukt u op <Policy Aan/Uit>.
Om een beleid te verwijderen, selecteert u het beleid in de lijst en drukt u op <Verwijderen> <Ja>.
|