تكوين إعدادات IPSec

باستخدام IPSec، يمكنك منع الجهات الخارجية من اعتراض حزم IP المنقولة عبر شبكة IP أو العبث بها. نظرًا لأن IPSec يضيف وظائف أمان إلى IP، وهو عبارة عن مجموعة بروتوكولات أساسية تستخدم للإنترنت، يمكنه توفير أمان مستقل عن التطبيقات أو تكوين الشبكة. لإجراء اتصال IPSec مع هذا الجهاز، يجب عليك تكوين إعدادات مثل معلمات التطبيق وخوارزمية المصادقة والتشفير. تكون امتيازات Administrator (المسؤول) أو NetworkAdmin (مسؤول الشبكة) مطلوبة لتكوين هذه الإعدادات.
وضع الاتصال
يدعم هذا الجهاز وضع النقل لاتصال IPSec فقط. ونتيجة لذلك، يتم تطبيق المصادقة والتشفير فقط على أجزاء البيانات من حزم IP.
بروتوكول تبادل المفاتيح
يدعم هذا الجهاز الإصدار 1 من Internet Key Exchange (مفتاح الإنترنت التبادلي) (IKEv1) لتبادل المفاتيح استنادًا إلى Internet Security Association and Key Management Protocol (جمعية أمن الإنترنت وبروتوكول إدارة المفاتيح) (ISAKMP). بالنسبة لطريقة المصادقة، قم بتعيين إما طريقة المفتاح المشترك مسبقًا أو طريقة التوقيع الرقمي.
عند ضبط طريقة المفتاح المشترك مسبقًا، يتعين عليك تحديد عبارة مرور (المفتاح المشترك مسبقًا) مقدمًا، والتي يتم استخدامها بين الجهاز ونظير اتصال IPSec.
عند ضبط طريقة التوقيع الرقمي، استخدم شهادة مرجع مصدق ومفتاح وشهادة بتنسيق PKCS#12 لإجراء مصادقة متبادلة بين الجهاز ونظير اتصال IPSec. للحصول على مزيد من المعلومات حول تسجيل شهادات المرجع المصدق الجديدة أو المفاتيح/الشهادات، انظر تسجيل مفتاح وشهادة لاتصالات الشبكة. لاحظ أنه يجب تكوين SNTP للجهاز قبل استخدامه لهذه الطريقة. إجراء إعدادات SNTP
بغض النظر عن إعداد <طريقة تنسيق التشفير لـ FIPS 140-2> لاتصال IPSec، سيتم استخدام وحدة تشفير حصلت بالفعل على شهادة FIPS140-2.
ولكي يتوافق اتصال IPSec مع FIPS 140-2، يجب عليك تعيين طول مفتاح كل من DH وRSA لاتصال IPSec على 2048 بت أو أطول في بيئة الشبكة التي ينتمي إليها الجهاز.
يمكن تحديد طول مفتاح DH فقط من الجهاز.
دون ملاحظة عند تكوين بيئتك، حيث لا توجد إعدادات لـ RSA في الجهاز.
يمكنك تسجيل ما يصل إلى 10 نُهج أمان.
1
اضغط على  (الإعدادات/التسجيل).
2
اضغط على <التفضيلات>‏  <الشبكة>‏  <إعدادات IP/TCP>‏  <إعدادات IPSec>.
3
عيّن <استخدام IPSec‏>‎‎ على <تشغيل>، واضغط على <تسجيل>.
4
حدد اسمًا للنهج.
اضغط على <اسم السياسة>، وأدخل الاسم، واضغط على <موافق>.
تدعم طابعات Canon متعددة الوظائف طولي المفتاح لطريقة تشفير AES: 128 بت و256 بت. لتقييد طول المفتاح على 256 بت والوفاء بمعايير مصادقة CC، قم بتعيين <السماح بـ 256 بت فقط لطول مفتاح AED> على <تشغيل>.
5
كوّن معلمات تطبيق IPSec.
1
اضغط على <إعدادات المحدد>.
2
حدد عنوان IP المراد تطبيق نهج IPSec عليه.
حدد عنوان بروتوكول الإنترنت لهذا الجهاز في <العنوان المحلي>، وحدد عنوان IP لنظير الاتصال في <العنوان البعيد>.
<كل عناوين IP>
يتم تطبيق IPSec على جميع حزم IP المرسلة والمستلمة.
<عنوان IPv4>
يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv4 لهذا الجهاز والمستلمة منه.
<عنوان IPv6>
يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv6 لهذا الجهاز والمستلمة منه.
<كل عناوين IPv4>
يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv4 لنظير الاتصال والمستلمة منه.
<كل عناوين IPv6>
يتم تطبيق IPSec على حزم IP المرسلة إلى عنوان IPv6 لنظير الاتصال والمستلمة منه.
<إعدادات IPv4 اليدوية>
حدد عنوان IPv4 المراد تطبيق نهج IPSec عليه.
حدد <عنوان فردي> لإدخال عنوان IPv4 فردي.
حدد <نطاق عنوان> لتحديد نطاق عناوين IPv4. أدخل عنوانًا منفصلًا لـ <العنوان الأول> و<العنوان الأخير>.
حدد <ضبط شبكة فرعية> لتحديد نطاق عناوين IPv4 باستخدام قناع الشبكة الفرعية. أدخل قيمًا منفصلة من أجل <عنوان> و<قناع الشبكة الفرعية>.
<إعدادات IPv6 اليدوية>
حدد عنوان IPv6 المراد تطبيق نهج IPSec عليه.
حدد <عنوان فردي> لإدخال عنوان IPv6 فردي.
حدد <نطاق عنوان> لتحديد نطاق عناوين IPv6. أدخل عنوانًا منفصلًا لـ <العنوان الأول> و<العنوان الأخير>.
حدد <تحديد بادئة> لتحديد نطاق عناوين IPv6 باستخدام بادئة. أدخل قيمًا منفصلة من أجل <عنوان> و<طول البادئة>.
3
حدد المنفذ المراد تطبيق IPSec عليه.
اضغط على <تحديد حسب رقم المنفذ> لاستخدام أرقام المنافذ عند تحديد المنافذ التي ينطبق عليها IPSec. حدد <جميع المنافذ> لتطبيق IPSec على جميع أرقام المنافذ. لتطبيق IPSec على رقم منفذ محدد، اضغط على <منفذ فردي> وأدخل رقم المنفذ. بعد تحديد المنافذ، اضغط على <موافق>. حدد منفذ هذا الجهاز في <المنفذ المحلي>، وحدد منفذ نظير الاتصال في <المنفذ البعيد>.
اضغط على <تحديد حسب اسم الخدمة> لاستخدام أسماء الخدمات عند تحديد المنافذ التي ينطبق عليها IPSec. حدد الخدمة في القائمة، اضغط على <تشغيل/إيقاف الخدمة> لتعيينها على <تشغيل>، ثم اضغط على <موافق>.
4
اضغط على <موافق>.
6
قم بتكوين إعدادات المصادقة والتشفير.
1
اضغط على <إعدادات IKE>.
2
قم بتكوين الإعدادات اللازمة.
<وضع IKE>
حدد وضع التشغيل لبروتوكول تبادل المفاتيح. عند ضبط وضع التشغيل على <رئيسي>، يتم تعزيز الأمان لأن جلسة IKE مشفرة بحد ذاتها، ولكن يوضع عبء أكبر على الاتصال مقارنةً بالإعداد <شديد>، الذي لا يقوم بإجراء تشفير.
<الصلاحية>
قم بتعيين فترة انتهاء صلاحية IKE SA الذي تم إنشاؤه.
<طريقة المصادقة>
حدد إحدى طرق المصادقة الموضحة أدناه.
<طريقة مفتاح مشترك مسبقًا>
قم بتعيين نفس عبارة المرور (المفتاح المشترك مسبقًا) التي تم تعيينها لنظير الاتصال. اضغط على <مفتاح مشترك>، وأدخل سلسلة الأحرف المراد استخدامها كمفتاح مشترك، واضغط على <موافق>.
<طريقة التوقيع الرقمي>
قم بتعيين المفتاح والشهادة المراد استخدامهما في المصادقة المتبادلة مع نظير الاتصال. اضغط على <المفتاح والشهادة>، وحدد المفتاح والشهادة المراد استخدامهما، واضغط على <تعيين كمفتاح افتراضي>‏  <نعم>‏  <موافق>.
<خوارزمية المصادقة/التشفير>
حدد أيًا من <تلقائي> أو <إعدادات يدوية> لتعيين كيفية تحديد خوارزمية المصادقة والتشفير للمرحلة 1 من IKE. إذا قمت بتحديد <تلقائي>، تُعيّن تلقائيًا خوارزمية يمكن استخدامها بواسطة كل من هذا الجهاز ونظير الاتصال. إذا كنت تريد تحديد خوارزمية معينة، فحدد <إعدادات يدوية> وقم بتكوين الإعدادات الواردة أدناه.
<المصادقة>
حدد خوارزمية التجزئة.
<التشفير>
حدد خوارزمية التشفير.
<مجموعة DH>
حدد المجموعة الخاصة بطريقة تبادل المفاتيح Diffie-Hellman لتعيين قوة المفتاح.
3
اضغط على <موافق>.
عند تعيين <وضع IKE> على <رئيسي> على شاشة <إعدادات IKE> وتعيين <طريقة المصادقة> على <طريقة مفتاح مشترك مسبقًا>، تنطبق القيود التالية عند تسجيل نُهج أمان متعددة.
طريقة المفتاح المشترك مسبقًا: عند تحديد عدة عناوين IP بعيدة سيتم تطبيق نهج أمان عليها، تكون جميع المفاتيح المشتركة لنهج الأمان هذا متطابقة (لا ينطبق هذا عند تحديد عنوان واحد).
الأولوية: عند تحديد عدة عناوين IP بعيدة سيتم تطبيق نهج أمان عليها، تكون أولوية نهج الأمان هذه أقل من سياسات الأمان التي تم تحديد عنوان واحد لها.
7
كوّن إعدادات اتصال IPSec.
1
اضغط على <إعدادات شبكة IPSec>.
2
قم بتكوين الإعدادات اللازمة.
<الصلاحية>
قم بتعيين فترة انتهاء صلاحية IPSec SA الذي تم إنشاؤه. احرص على تعيين إما <الوقت> أو <الحجم>. إذا قمت بتعيين كليهما، فسيتم تطبيق الإعداد بالقيمة التي تم الوصول إليها أولاً.
<PFS>
إذا قمت بتعيين وظيفة Perfect Forward Secrecy "السرية التامة لإعادة التوجيه" (PFS) على <تشغيل>، تتم زيادة سرية مفتاح التشفير، ولكن تصبح سرعة الاتصال أبطأ. بالإضافة إلى ذلك، يجب تمكين وظيفة PFS على جهاز نظير الاتصال.
<خوارزمية المصادقة/التشفير>
حدد أيًا من <تلقائي> أو <إعدادات يدوية> لتعيين كيفية تحديد خوارزمية المصادقة والتشفير للمرحلة 2 من IKE. إذا قمت بتحديد <تلقائي>، يتم تعيين خوارزمية مصادقة وتشفير ESP بشكل تلقائي. إذا كنت تريد تحديد طريقة مصادقة معينة، فاضغط على <إعدادات يدوية> وحدد إحدى طرق المصادقة الواردة أدناه.
<ESP>
يتم إجراء كل من المصادقة والتشفير. حدد خوارزمية <مصادقة ESP> و<تشفير ESP>. حدد <فارغ> إذا كنت لا تريد تعيين خوارزمية المصادقة أو التشفير.
‎<(AES-GCM) ESP>‎
يتم استخدام AES-GCM كخوارزمية ESP، ويتم إجراء كل من المصادقة والتشفير.
‎<(SHA1) AH>‎
يتم إجراء المصادقة، لكن لا تكون البيانات مشفرة. يتم استخدام SHA1 في صورة الخوارزمية.
3
اضغط على <موافق>‏ <موافق>.
8
قم بتمكين النُّهج المسجلة وتحقق من ترتيب الأولويات.
حدد النُّهج المسجلة من القائمة، واضغط على <تشغيل/إيقاف السياسة> لتشغيلها <تشغيل>.
تُطبق النُّهج بالترتيب المدرجة به، بدءًا من الأعلى. إذا كنت تريد تغيير ترتيب الأولويات، فحدد نهجًا في القائمة واضغط على <زيادة الأولوية> أو <خفض الأولوية>.
إذا كنت لا ترغب في إرسال أو استلام حزم لا تتوافق مع النُّهج، فحدد <رفض> من أجل <استلام حزم غير مؤمنة>.
9
اضغط على <موافق>.
10
اضغط على  (الإعدادات/التسجيل)‏  (الإعدادات/التسجيل)‏ <تطبيق تغييرات الإعدادات>‏  <نعم>.
إدارة نُّهج IPSec
يمكنك تعديل النُّهج على الشاشة المعروضة في الخطوة 3.
لتحرير تفاصيل إحدى النُّهج، حدد النهج في القائمة واضغط على <تحرير>.
لتعطيل نهج، حدد النهج في القائمة واضغط على <تشغيل/إيقاف السياسة>.
لحذف نهج، حدد النهج في القائمة واضغط على <حذف>‏  <نعم>.
A12S-0C3