|
Ryšio režimasŠis aparatas IPSec ryšiui palaiko tik transportavimo režimą. Todėl autentifikavimas ir šifravimas taikomi tik IP paketų duomenų porcijoms.
Raktų mainų protokolasŠis aparatas palaiko interneto raktų mainų 1 versiją (IKEv1) raktų mainams pagal Interneto saugos asociacijos ir raktų valdymo protokolą (ISAKMP). Autentifikavimo metodui nustatykite arba iš anksto bendrinamo rakto metodą, arba skaitmeninio parašo metodą.
Nustatant iš anksto bendrinamo rakto metodą turite iš anksto parinkti praleidimo terminą (iš anksto bendrinamą raktą), kuris naudojamas tarp aparato ir IPSec ryšio kolegos.
Nustatydami skaitmeninio parašo metodą, naudokite CA sertifikatą bei PKCS#12 formato raktą ir sertifikatą, kad atliktumėte abipusį autentifikavimą tarp aparato ir IPSec ryšio kolegos. Daugiau informacijos apie naujų CA sertifikatų arba raktų / sertifikatų registravimą rasite skyriuje „Tinklo ryšio rakto ir sertifikato registravimas“. Atkreipkite dėmesį, kad prieš aparaatui naudojant šį metodą jame būtina sukonfigūruoti SNTP. SNTP parametrų nustatymas
|
|
Nepriklausomai nuo IPSec ryšio parametro <Formatuoti šifravimo metodą FIPS 140-2>, bus naudojamas šifravimo modulis, kuris jau gavo FIPS140-2 sertifikavimą.
Kad IPSec ryšys atitiktų FIPS 140-2, turite nustatyti ir DH, ir RSA rakto ilgį IPSec ryšiui į 2048 bitų ar ilgesnį tinklo aplinkoje, kuriai priklauso aparatas.
Iš aparato galima nustatyti tik DH rakto ilgį.
Konfigūruodami savo aplinką būkite atidūs, nes aparate nėra RSA parametrų.
Galite registruoti iki 10 saugos strategijų.
|
1
|
Paspauskite <Išrinkiklio parametrai>.
|
||||||||||||||
2
|
Nurodykite IP adresą, kuriam bus taikoma IPSec strategija.
Šio aparato IP adresą nurodykite parametre <Vietinis adresas>, o ryšio kolegos IP adresą nurodykite parametre <Nuotolinis adresas>.
|
||||||||||||||
3
|
Nurodykite prievadą, kuriam bus taikoma IPSec strategija.
Spustelėkite <Nurodyti pagal prievado numerį>, jei nurodydami prievadus, kuriems taikoma IPSec, norite naudoti prievadų numerius. Pasirinkite <Visi prievadai>, jei norite IPSec taikyti visiems prievadų numeriams. Norėdami IPSec taikyti konkrečiam prievado numeriui, paspauskite <Vienas prievadas> ir įveskite prievado numerį. Nurodę prievadus, spustelėkite <Gerai>. Šio aparato prievadą nurodykite <Vietinis prievadas>, o ryšio kolegos prievadą nurodykite <Nuotolinis prievadas>.
Spustelėkite <Nurodyti pagal tarnybos pavad.>, jei nurodydami prievadus, kuriems taikoma IPSec, norite naudoti paslaugų pavadinimus. Iš sąrašo pasirinkite paslaugą, spustelėdami <Tarnybos įjung./išjung.> nustatykite ją į <Įjungt.>, tada spustelėkite <Gerai>.
|
||||||||||||||
4
|
Paspauskite <Gerai>.
|
1
|
Paspauskite <IKE parametrai>.
|
||||||||||
2
|
Konfigūruokite reikiamus parametrus.
<IKE režimas>
Pasirinkite raktų mainų protokolo veikimo režimą. Kai darbo režimas nustatytas kaip <Pagrindinis>, saugumas padidėja, nes pati IKE sesija yra užšifruota, tačiau komunikacijai tenka didesnė našta, palyginti su <Agresyvusis>, kuris neatlieka šifravimo.
<Galiojimas>
Nustatykite sugeneruoto IKE SA galiojimo pabaigos datą.
<Autentifikavimo metodas>
Pasirinkite vieną iš toliau aprašomų autentifikavimo būdų.
<Autentifikavimo/šifravimo algoritmas>
Pasirinkite <Automt.> arba <Rankiniai parametrai>, kad nustatytumėte 1 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus <Automt.>, automatiškai nustatomas algoritmas, kurį gali naudoti ir šis aparatas, ir ryšio kolega. Jei norite nurodyti konkretų algoritmą, pasirinkite <Rankiniai parametrai> ir žemiau sukonfigūruokite parametrus.
|
||||||||||
3
|
Paspauskite <Gerai>.
|
|
Kai <IKE režimas> nustatyta į <Pagrindinis> <IKE parametrai> ekrane, o <Autentifikavimo metodas> nustatyta į <Išanks.bendr. rakto metod.>, registruojant kelias saugos strategijas galioja toliau pateikiami apribojimai.
Iš anksto bendrinamo rakto metodas: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, visi tai saugos politikai taikomi bendrinami raktai yra identiški (tai netaikoma, kai nurodytas tik vienas adresas).
Pirmenybė: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, jos pirmenybiškumas yra žemiau saugos strategijos, kuriai nurodytas tik vienas adresas.
|
1
|
Paspauskite <IPSec tinklo parametrai>.
|
||||||
2
|
Konfigūruokite reikiamus parametrus.
<Galiojimas>
Nustatykite sugeneruoto „IPSec SA“ galiojimo pabaigos datą. Būtinai nustatykite <Laikas> arba <Formatas>. Jei nustatėte abu, bus taikomas parametras, kurio vertė pasiekiama pirmiau.
<PFS>
Jei funkciją „Perfect Forward Secrecy“ (PFS) nustatysite į <Įjungt.>, šifravimo rakto slaptumas išaugs, tačiau ryšio sparta sumažės. Be to, PFS funkciją būtina įjungti ir kitame ryšio įrenginyje.
<Autentifikavimo/šifravimo algoritmas>
Pasirinkite <Automt.> arba <Rankiniai parametrai>, kad nustatytumėte 2 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus <Automt.> ESP autentifikavimo ir šifravimo algoritmas nustatomas automatiškai. Jei norite nurodyti konkretų autentifikavimo metodą, paspauskite <Rankiniai parametrai> ir pasirinkite vieną iš toliau pateiktų autentifikavimo metodų.
|
||||||
3
|
Paspauskite <Gerai> <Gerai>.
|
|
IPSec strategijų valdymasStrategijas galite redaguoti ekrane, kuris rodomas 3 veiksme.
Norėdami redaguoti strategijos išsamią informaciją, pasirinkite strategiją iš sąrašo ir spustelėkite <Redagavimas>.
Norėdami išjungti strategiją, pasirinkite ją sąraše ir spustelėkite <Strategijos įjung./išjung.>.
Norėdami ištrinti strategiją, pasirinkite ją sąraše ir paspauskite <Naikinti> <Taip>.
|