|
SiderežiimIPSec-side korral toetab seade vaid transpordirežiimi Tänu sellele autenditakse ja krüptitakse ainult IP-pakettide andmeosi.
Võtmevahetuse protokollSee seade toetab Internet Key Exchange'i versiooni 1 (IKEv1), mis võimaldab võtmete vahetamist protokolli Internet Security Association ja Key Management Protocol (ISAKMP) alusel. Autentimismeetodiks saate valida eeljagatud võtme meetodi või digiallkirja meetodi.
Eeljagatud võtme meetodi määramisel peate eelnevalt seadma parooli (eeljagatud võtme), mida masina ja IPSec-sidepunkti suhtlusel kasutatakse.
Digitaalsignatuuri meetodi määramisel kasutage masina ja IPSEC-sidepunkti vastastikuseks autentimiseks CA sertifikaati ja PKCS#12 formaadivõtit ning sertifikaati. Täpsemat teavet uute CA-sertifikaatide või võtmete/sertifikaatide registreerimise kohta vaadake lõigust Võrguside võtme ja sertifikaadi registreerimine. Arvestage, et enne selle meetodi kasutamist tuleks masinal konfigureerida SNTP. SNTP seadete muutmine
|
|
Sõltumata IPSec-side sätte <Vormindamise krüpt. meetodiks FIPS 140-2> väärtusest, kasutatakse krüptimismoodulit, millel juba on FIPS140-2 sertifikaat.
Selleks, et IPSec-side vastaks standardile FIPS 140-2, peate seadma IPSec-sides kasutatavate DH ja RSA võtmete pikkuseks selles võrgus, kuhu masin kuulub, vähemalt 2048 bitti.
Seadmest saab määrata ainult DH-võtme pikkuse.
Keskkonna konfigureerimisel kirjutage vajalikud andmed üles, sest RSA sätted masinas pole
Saate salvestada kuni 10 turbereeglistikku.
|
1
|
Vajutage nuppu <Valija seaded>.
|
||||||||||||||
2
|
Määrake IP-aadress, millele IPSeci reegleid rakendatakse.
Sisestage selle seadme IP-aadress väljale <Kohalik aadress>, ja sidepunkti aadress väljale <Kaugaadress>.
|
||||||||||||||
3
|
Määrake port, millele IPSeci rakendatakse.
Vajutage <Määra pordi numbri järgi>, et kasutada pordinumbreid, kui valite neid porte, millele IPSeci rakendatakse. Valige <Kõik pordid>, et rakendada IPSeci kõigile pordinumbritele. IPSeci kindlale pordinumbrile rakendamiseks vajutage valikul <Üksik port> ja sisestage pordi number. Pärast portide valimist vajutage <OK>. Sisestage selle seadme port väljale <Lokaalne port>, ja sidepunkti port väljale <Kaugport>.
Vajutage valikul <Määra teenuse nime järgi>, et määrata teenusenimed, kui valite neid porte, millele IPSeci rakendatakse. Valige loendist teenus, vajutage <Teenus Sees/Väljas>, valige <Sees> ja vajutage <OK>.
|
||||||||||||||
4
|
Vajutage nuppu <OK>.
|
1
|
Vajutage nuppu <IKE seaded>.
|
||||||||||
2
|
Seadistage vajalikud sätted.
<IKE režiim>
Valige võtmevahetuse protokolli töörežiim. Kui töörežiimiks on määratud <Põhi>, on turbetase kõrgem, sest IKE-seanss ise on krüptitud, aga sidekoormus on suurem võrreldes töörežiimiga <Agressiivne>, mille puhul krüptimine puudub.
<Kehtivus>
Seadke genereeritud IKE SA aegumisperiood.
<Autentimise meetod>
Valige üks allkirjeldatud autentimismeetoditest.
<Autentimise/krüpteerimise algoritm>
IKE 1. faasi autentimis- ja krüptimisalgoritmi määramisviisi seadmiseks valige <Aut.> või <Käsitsi seaded>. Kui valite <Aut.>, määratakse automaatselt algoritm, mida saab kasutada nii selle masina kui ka sidepunkti jaoks. Kui soovite valida mõne konkreetse algoritmi, tehke valik <Käsitsi seaded> ja konfigureerige alltoodud seaded.
|
||||||||||
3
|
Vajutage nuppu <OK>.
|
|
Kui sätte <IKE režiim> väärtuseks on seatud <Põhi> kuval <IKE seaded> ja seade <Autentimise meetod> väärtuseks on <Avaliku võtme meetod>, kehtivad mitme turbereeglistiku rakendamisel järgmised piirangud.
Eeljagatud võtme meetod: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on kõik selle turbereerglistiku võtmed identsed (see ei kehti juhul, kui määrate vaid ühe aadressi).
Prioriteet: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on selle turbereeglistiku prioriteet madalam neist turbereeglistikest, mida on rakendatud vaid ühele aadressile.
|
1
|
Vajutage nuppu <IPSec võrgu seaded>.
|
||||||
2
|
Seadistage vajalikud sätted.
<Kehtivus>
Seadke genereeritud IPSec SA aegumisperiood. Määrake kindlasti kas <Aeg> või <Suurus>. Kui seate mõlemad, rakendatakse esimesena saadud väärtusega seade.
<PFS>
Kui määrate PFS-funktsiooni olekuks <Sees>, on krüptimisvõti salastatum, aga side on aeglasem. Lisaks peate PFS-funktsiooni lubama ka sidepunkti seadmes.
<Autentimise/krüpteerimise algoritm>
IKE 2. faasi autentimis- ja krüptimisalgoritmi määramisviisi seadmiseks valige <Aut.> või <Käsitsi seaded>. Kui valite viisiks <Aut.>, määratakse ESP autentimis- ja krüptimisalgoritm automaatselt. Konkreetse autentimisviisi määramiseks vajutage valikul <Käsitsi seaded> ja valige üks allpool loetletud autentimismeetoditest.
|
||||||
3
|
Valige <OK> <OK>.
|
|
IPSeci eeskirjade haldamineEeskirju saate muuta 3. toimingus kuvatud seadistuskuval.
Eeskirja üksikasjade muutmiseks valige loendist soovitud eeskiri ja vajutage valikut <Muuda>.
Eeskirja keelamiseks valige loendist soovitud eeskiri ja vajutage valikut <Reegel Sisse/Välja>.
Eeskirja kustutamiseks valige loendist soovitud eeskiri ja vajutage <Kustuta> <Jah>.
|