|
Режим на комуникацияТази машина поддържа само транспортен режим за IPSec комуникация. В резултат на това удостоверяване и шифроване се прилагат само към частите от данни на IP пакетите.
Протокол за обмен на ключовеТази машина поддържа Internet Key Exchange version 1 (IKEv1) за обмен на ключове, базирани на Internet Security Association and Key Management Protocol (ISAKMP). За метода за удостоверяване задайте метод на предварително споделен ключ или метод на цифров подпис.
Когато задавате метод на предварително споделен ключ, вие трябва да определите предварително парола (предварително споделен ключ), която да се използва между машината и партньора за IPSec комуникация.
Когато задавате метод на цифров подпис, използвайте СА сертификат и ключ и сертификат в PKCS#12 формат за извършване на взаимно удостоверяване между машината и партньора за IPSec комуникация. За повече информация относно регистрирането на нови СА сертификати или ключове/сертификати вж. Регистриране на ключ и сертификат за мрежова комуникация. Отбележете, че SNTP трябва да се конфигурира за машината, преди да се използва този метод. Задаване на настройки за SNTP
|
|
Независимо от настройката на <Метод на кодир. на формат към FIPS 140-2> за IPSec комуникация, ще се използва модул за шифроване, който вече е получил FIPS140-2 сертифициране.
За да може IPSec комуникацията да съответства с FIPS 140-2, трябва да зададете дължината на DH и RSA за IPSec комуникацията на 2048 бита или повече в мрежовата среда, към която машината принадлежи.
Само дължина на ключа за DH може да се посочи от машината.
Имайте предвид при конфигуриране на средата си, че няма настройки за RSA в машината.
Можете да регистрирате до 10 правила за защита.
|
1
|
Натиснете <Настройки за селектор>.
|
||||||||||||||
2
|
Посочете IP адреса, към който ще се прилагат IPSec правилата.
Посочете IP адреса на тази машина в <Локален адрес> и посочете IP адреса на партньора за комуникация в <Отдалечен адрес>.
|
||||||||||||||
3
|
Посочете порта за прилагане на IPSec.
Натиснете <Задаване чрез номер на порт> за използване на номера на портове при посочване на портовете, към които IPSec се прилага. Изберете <Всички портове> за прилагане на IPSec към всички номера на портове. За прилагане на IPSec към специфичен номер на порт натиснете <Единичен порт> и въведете номера на порта. След като посочите портовете, натиснете <OK>. Посочете порта на тази машина в <Локален порт> и посочете порта на партньора за комуникация в <Отдалечен порт>.
Натиснете <Задаване по име на услуга> за използване на имена на услуги при посочване на портовете, към които IPSec се прилага. Изберете услугата в списъка, натиснете <Услуга Вкл./Изкл.> за задаването ѝ на <Вкл.> и натиснете <OK>.
|
||||||||||||||
4
|
Натиснете <OK>.
|
1
|
Натиснете <IKE настройки>.
|
||||||||||
2
|
Конфигурирайте необходимите настройки.
<IKE режим>
Изберете режим за работа за протокола за обмен на ключове. Когато режимът за работа е зададен на <Осн.>, защитата е подобрена, тъй като самата IKE сесия е шифрована, но комуникацията е по-натоварена в сравнение с <Агресивн.>, което не извършва шифроване.
<Валидност>
Настройте срока за изтичане на генерирания IKE SA.
<Метод за автентикация>
Изберете един от описаните по-долу методи за удостоверяване.
<Алгоритъм за автентикация/кодиране>
Изберете <Авто> или <Ръчни настройки>, за да зададете как да се посочва алгоритъм за удостоверяване и кодиране за IKE фаза 1. Ако изберете <Авто>, автоматично се задава алгоритъм, който може да се използва от тази машина и от партньора в комуникацията. Ако искате да посочите конкретен алгоритъм, изберете <Ръчни настройки> и конфигурирайте настройките по-долу.
|
||||||||||
3
|
Натиснете <OK>.
|
|
Когато <IKE режим> е зададено на <Осн.> в <IKE настройки> екрана и <Метод за автентикация> е зададено на <Метод Предв. спод.ключ>, се прилагат следните ограничения при регистриране на няколко групи правила за защита.
Ключ за метод за предварително споделен ключ: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, всички споделени ключове за тези правила за защита са идентични (това не се прилага при посочен един адрес).
Приоритет: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, приоритетът на тези правила за защита е по-нисък от този на правилата за защита, за които е посочен единичен адрес.
|
1
|
Натиснете <IPSec мрежови настройки>.
|
||||||
2
|
Конфигурирайте необходимите настройки.
<Валидност>
Настройте периода за изтичане на генерирания IPSec SA. Уверете се, че сте задали <Време> или <Формат>. Ако зададете и двете настройки, се прилага настройката със стойността, достигната първа.
<PFS>
Ако зададете функцията Perfect Forward Secrecy (PFS) на <Вкл.>, нивото на секретност на ключа за шифроване се увеличава, но скоростта на комуникацията намалява. В допълнение PFS функцията трябва да се активира на устройството партньор за комуникация.
<Алгоритъм за автентикация/кодиране>
Изберете <Авто> или <Ръчни настройки>, за да зададете как да се посочва алгоритъм за удостоверяване и кодиране за IKE фаза 2. Ако изберете <Авто>, алгоритмът за ESP удостоверяване и шифриране се задава автоматично. Ако искате да посочите конкретен метод за удостоверяване, натиснете <Ръчни настройки> и изберете един от методите за удостоверяване по-долу.
|
||||||
3
|
Натиснете <OK> <OK>.
|
|
Управляване на IPSec правилаМожете да редактирате правилата на екрана, показан на стъпка 3.
За редактиране на детайли за правила изберете правилата в списъка и натиснете <Редактиране>.
За деактивиране на правила изберете правилата в списъка и натиснете <Права достп. Вкл./Изкл.>.
За изтриване на правила изберете правилата в списъка и натиснете <Изтр-не> <Да>.
|