LiikennöintitapaTämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin. AvaimenvaihtoprotokollaTämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä. Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken. Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja varmenteen rekisteröinti verkkotietoliikennettä varten. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten määrittäminen |
IPSec-tiedonsiirron <Alusta salausmenetelmä FIPS 140-2:lle> -asetuksesta riippumatta käytetään salausmoduulia, joka on jo hankkinut FIPS140-2-sertifioinnin. Jotta IPSec-tiedonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu. Vain DH:n avaimen pituus voidaan määrittää laitteessa. Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia. Voit tallentaa enintään 10 suojauskäytäntöä. |
1 | Paina <Valitsimen asetukset>. | ||||||||||||||
2 | Määritä IP-osoite jota sovelletaan IPSec-käytännössä. Määritä tämän laitteen IP-osoite kohtaan <Paikallinen osoite> ja määritä yhteyslaitteen IP-osoite kohtaan <Etäosoite>.
| ||||||||||||||
3 | Määritä portti johon IPSec:iä käytetään. Valitse <Määritä porttinumeron mukaan>, jos haluat käyttää porttinumeroita määrittäessäsi portteja, joissa käytetään IPSec:iä. Käytä IPSec:iä kaikissa porttinumeroissa valitsemalla <Kaikki portit>. Jos haluat käyttää IPSec:iä tietyssä porttinumerossa, valitse <Yksi portti> ja lisää porttinumero. Kun olet määrittänyt portit, valitse <OK>. Määritä tämän laitteen portti kohtaan <Paikallinen portti> ja määritä yhteyslaitteen portti kohtaan <Etäportti>. Valitse <Määrittele palvelunimen muk.>, jos haluat käyttää palvelun nimiä määrittäessäsi portteja, joissa käytetään IPSec:iä. Valitse palvelu luettelosta, valitse <Huolto Kyllä/Ei> -asetukseksi <Kyllä> ja valitse sitten <OK>. | ||||||||||||||
4 | Paina <OK>. |
1 | Paina <IKE-asetukset>. | ||||||||||
2 | Koosta tarvittavat asetukset. <IKE-tila> Valitse avaintenvaihtoprotokollan toimintatapa. Kun toimintatilaksi on asetettu <Pää>, turvallisuus on parempi, koska IKE-istunto itsessään on salattu, mutta tiedonsiirtoon kohdistuu suurempi kuormitus kuin asetuksella <Haastava>, joka ei suorita salausta. <Voim.olo> Aseta luodun IKE SA:n vanhenemisaika. <Autentikointitapa> Valitse yksi alla kuvatuista autentikointitavoista.
<Autentikointi/Salausalgoritmi> Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 1 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, sekä tämän laitteen että yhteyslaitteen käytettävissä oleva algoritmi määritetään automaattisesti. Jos haluat määrittää tietyn algoritmin, valitse <Manuaaliset asetukset> ja määritä seuraavat asetukset.
| ||||||||||
3 | Paina <OK>. |
Kun <IKE-tila>-asetuksena on <Pää> näytössä <IKE-asetukset> ja <Autentikointitapa>-asetuksena on <Esijaettu avain-menet.>, seuraavat rajoitukset ovat käytössä, kun tallennetaan useita suojauskäytäntöjä. Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikkaansa, kun vain yksi osoite on määritetty). Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite. |
1 | Paina <IPSec-verkkoasetukset>. | ||||||
2 | Koosta tarvittavat asetukset. <Voim.olo> Aseta luodun IPSec SA:n vanhenemisaika. Muista valita joko <Aika> tai <Koko>. Jos asetat molemmat, asetusta, jonka arvo saavutetaan ensin, käytetään. <PFS> Jos valitset Perfect Forward Secrecy (PFS) -toiminnon asetukseksi <Kyllä>, salausavaimen suojaus paranee, mutta yhteyden nopeus hidastuu. Tämän lisäksi liikennöintikumppanin laitteen on hyväksyttävä PFS-toiminto. <Autentikointi/Salausalgoritmi> Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 2 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, ESP-todennus ja salausalgoritmi määritetään automaattisesti. Jos haluat määrittää tietyn todennustavan, valitse <Manuaaliset asetukset> ja valitse jokin seuraavista todennustavoista.
| ||||||
3 | Valitse <OK> <OK>. |
IPSec-käytäntöjen hallintaVoit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 3. Voit muokata käytännön tietoja valitsemalla käytännön luettelosta ja valitsemalla sitten <Muokkaa>. Voit poistaa käytännön valitsemalla käytännön luettelosta ja valitsemalla sitten <Toimintaohje Kyllä/Ei>. Poista käytäntö valitsemalla se luettelosta ja valitsemalla sitten <Poista> <Kyllä>. |