|
Mode de comunicacióAquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.
Protocol d'intercanvi de clausAquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.
Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.
Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP
|
|
Independentment de les opcions de <Mètode xifratge formats per a FIPS 140-2> per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2.
Per tal que la comunicació IPSec compleixi amb FIPS 140-2, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.
Des de l'equip només es pot especificar la longitud de clau de DH.
Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.
Podeu desar fins a 10 directives de seguretat.
|
1
|
Premeu <Opcions de selecció>.
|
||||||||||||||
2
|
Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.
Especifiqueu l'adreça IP d'aquest equip a <Adreça local> i especifiqueu l'adreça IP de l'interlocutor de la comunicació a <Adreça remota>.
|
||||||||||||||
3
|
Especifiqueu el port al qual s'ha d'aplicar IPSec.
Premeu <Especificar per número de port> per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu <Tots els ports> per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, premeu <Port únic> i introduïu el número de port. Després d'especificar els ports, premeu <Bé>. Especifiqueu el port d'aquest equip a <Port local> i especifiqueu el port de l'interlocutor de la comunicació a <Port remot>.
Premeu <Especificar per nom de servei> per utilitzar noms de servei quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu el servei a la llista, premeu <Activ./Desac. servei> per establir-lo en <On> i premeu <Bé>.
|
||||||||||||||
4
|
Premeu <Bé>.
|
1
|
Premeu <Opcions d'IKE>.
|
||||||||||
2
|
Configureu les opcions necessàries.
<Mode IKE>
Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. Quan el mode d'operació està establert a <Principal>, la seguretat es millora perquè la pròpia sessió IKE està xifrada, però la càrrega de treball de la comunicació és major que la de la sessió <Agressiu>, que no realitza xifratge.
<Validesa>
Establiu el període de caducitat del IKE SA generat.
<Mètode d'autenticació>
Seleccioneu un dels mètodes d'autenticació descrits a continuació.
<Algorisme d'autenticació/xifratge>
Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu <Auto>, s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu <Configuració manual> i configureu les opcions següents.
|
||||||||||
3
|
Premeu <Bé>.
|
|
Si s'estableix <Mode IKE> en <Principal> a la pantalla <Opcions d'IKE> i s'estableix <Mètode d'autenticació> en <Mètode clau precompart.>, s'apliquen les restriccions següents quan es desen diverses directives de seguretat.
Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).
Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.
|
1
|
Premeu <Opcions de xarxa IPSec>.
|
||||||
2
|
Configureu les opcions necessàries.
<Validesa>
Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir <Hora> o <Mida>. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.
<PFS>
Si establiu la funció PFS (Perfect Forward Secrecy) en <On>, la confidencialitat de la clau de xifratge augmenta, però la velocitat de la comunicació es redueix. A més a més, la funció PFS s'ha d'activar al dispositiu interlocutor de la comunicació.
<Algorisme d'autenticació/xifratge>
Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu <Auto>, l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, premeu <Configuració manual> i seleccioneu un dels mètodes d'autenticació següents.
|
||||||
3
|
Premeu <Bé> <Bé>.
|
|
Gestió de directives IPSecPodeu editar directives a la pantalla que es mostra al pas 3.
Per editar els detalls d'una directiva, seleccioneu-la a la llista i premeu <Editar>.
Per desactivar una directiva, seleccioneu-la a la llista i premeu <Activ./Desac. directiva>.
Per eliminar una política, seleccioneu-la a la llista i premeu <Eliminar> <Sí>.
|