KommunikationslägeDen här maskinen bara har stöd för transportläge för IPSec-kommunikation. Därför används bara autentisering och kryptering för datadelar av IP-paket. NyckelutbytesprotokollDen här enheten har stöd för Internet Key Exchange version 1 (IKEv1) för utbyte av nycklar baserat på Internet Security Association and Key Management Protocol (ISAKMP). För autentiseringsmetod anger du antingen i förväg delad nyckel eller metod för digital signatur. När du anger i förväg delad nyckel, måste du ange en lösenordsfras (i förväg delad nyckel) i förväg. Den används mellan maskinen och IPSec-kommunikationspeers. Om du väljer metoden digital signatur, använder du ett CA-certifikat och en PKCS#12-formatnyckel och certifikat att utföra ömsesidig autentisering mellan maskinen och IPSec-kommunikationspeers. För mer information om hur du registrerar nya CA-certifikat eller nycklar/certifikat, se Registrera en nyckel och ett certifikat för nätverkskommunikation. Observera att du måste konfigurera SNTP för maskinen innan du använder den här metoden. Göra SNTP-inställningar |
Oavsett inställningarna för <Formatkrypteringsmetod till FIPS 140-2> för IPSec-kommunikation, kommer en krypteringsmodul som redan har hämtat FIPS140-2-certifiering att användas. Du måste, för att få IPSec-kommunikationen att överensstämma med FIPS 140-2, ställa in nyckellängden för både DH och RSA för IPSec-kommunikation på 2048-bitar eller längre i den nätverksmiljö som maskinen ingår i. Endast nyckellängden för DH kan anges från maskinen. Anteckna när du konfigurerar miljön, eftersom det inte finns några inställningar för RSA i maskinen. Du kan registrera upp till 10 säkerhetspolicys. |
1 | Tryck på <Manövreringsinställningar>. | ||||||||||||||
2 | Ange IP-adressen att tillämpa IPSec-policyn för. Ange IP-adressen för den här maskinen i <Lokal adress> och ange IP-adressen för aktuell kommunikationspeer i <Fjärradress>.
| ||||||||||||||
3 | Ange porten att tillämpa IPSec för. Tryck på <Ange efter portnummer> för att använda portnummer när du anger portar som IPSec gäller för. Välj <Alla portar> för att tillämpa IPSec för alla portnummer. För att tillämpa IPSec för att ett visst portnummer, tryck på <Enkel port> och ange portnumret. När du har angett portar, tryck på <OK>. Ange porten för den här maskinen i <Lokal port> och ange port för aktuell kommunikationspeer i <Fjärrport>. Tryck på <Ange efter tjänstenamn> för att använda tjänstenamnen när du anger portar som IPSec gäller för. Välj tjänst i listan, tryck på <Tjänst på/av> för att sätta den till <På> och tryck på <OK>. | ||||||||||||||
4 | Tryck på <OK>. |
1 | Tryck på <IKEinställningar>. | ||||||||||
2 | Konfigurera de inställningar som behövs. <IKE-läge> Välj läge för nyckelutbytesprotokollet. När driftsläget är inställt på <Huvud> är säkerheten högre eftersom själva IKE-sessionen är krypterad, men en högre börda åläggs kommunikationen jämfört med <Aggressiv>, which does not perform encryption. <Giltighet> Ställ in utgångsdatum för skapat IKE SA. <Autentiseringsmetod> Välj en av autentiseringsmetoderna som beskrivs nedan.
<Autentiserings-/krypteringsalgoritm> Välj antingen <Auto> eller <Manuella inställningar> för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 1. Om du väljer <Auto>, anges automatiskt en algoritm som kan användas av både den här maskinen och aktuell kommunikationspeer. Om du vill välja en viss algoritm, välj <Manuella inställningar> och konfigurera inställningarna nedan.
| ||||||||||
3 | Tryck på <OK>. |
Om <IKE-läge> är inställt på <Huvud> på skärmen <IKEinställningar> och <Autentiseringsmetod> är inställt på <Förutdelad nyckel>, tillämpas följande begränsningar vid registrering av flera säkerhetspolicys. Metod med i förväg delad nyckel: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är alla delade nycklar för säkerhetspolicyn identiska (detta gäller inte om enstaka adresser har angetts). Prioritet: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är prioriteten för den säkerhetspolicyn lägre än säkerhetspolicys för vilka specifika adresser har angetts. |
1 | Tryck på <IPSecnätverksinst.>. | ||||||
2 | Konfigurera de inställningar som behövs. <Giltighet> Ställ in utgångsdatum för skapat IPSec SA. Ange antingen <Tid> eller <Format>. Om du ställer in båda gäller det värde som uppnås först. <PFS> Om du sätter Perfect Forward Secrecy (PFS) till <På>, ökar säkerheten för krypteringsnyckeln, men kommunikationshastigheten blir långsammare. Dessutom måste PFS-funktionen aktiveras på enheten med aktuell kommunikationspeer. <Autentiserings-/krypteringsalgoritm> Välj antingen <Auto> eller <Manuella inställningar> för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 2. Om du väljer <Auto>, ställs ESP-autentisering och krypteringsalgoritm in automatiskt. Om du vill ange en viss autentiseringsmetod, tryck på <Manuella inställningar> och välj en autentiseringsmetod nedan.
| ||||||
3 | Tryck på <OK> <OK>. |
Hantera IPSec-policyerDu kan redigera policyer på den skärm som visas i steg 3. För att redigera detaljerna för en policy, välj policyn i listan och tryck på <Redigera>. För att avaktivera en policy, välj policyn och tryck på <Princip på/av>. För att ta bort en policy, välj policyn i listan och tryck på <Radera> <Ja>. |