KommunikationsmodusDieses Gerät unterstützt nur den Transportmodus für die IPSec-Kommunikation. Demzufolge werden Authentifizierung und Verschlüsselung nur bei den Datenanteilen der IP-Pakete angewandt. SchlüsselaustauschprotokollDieses Gerät unterstützt die Internet Schlüsselaustauschversion 1 (IKEv1) für den Austausch von Schlüsseln basierend auf dem Internet Security Association and Key Management Protocol (ISAKMP). Legen Sie in Bezug auf die Authentifizierungsmethode entweder die Methode Pre-Shared-Key oder die digitale Signatur fest. Wenn Sie die Methode Pre-Shared-Key festlegen, müssen Sie im Voraus ein Passphrase (Pre-Shared-Key) bestimmen, der zwischen dem Gerät und dem IPSec-Kommunikations-Peer verwendet wird. Wenn Sie die digitale Signaturmethode einstellen, verwenden Sie ein Zertifizierungsstellenzertifikat sowie einen PKCS#12-Formatschlüssel und -Zertifikat, um die gegenseitige Authentifizierung zwischen Gerät und IPsec-Kommunikationspartner durchzuführen. Weitere Informationen zur Registrierung neuer CA-Zertifikate oder Schlüssel/Zertifikate finden Sie unter Registrieren eines Schlüssels und Zertifikats für die Netzwerkkommunikation. Beachten Sie, dass SNTP für das Gerät konfiguriert werden muss, damit es diese Methode verwenden kann. Vornehmen von SNTP-Einstellungen |
Ungeachtet der Einstellungen von [Verschlüsselungsmethode für FIPS 140-2 formatieren] für eine IPSec-Kommunikation wird ein Verschlüsselungsmodul verwendet, das bereits eine FIPS140-2-Zertifizierung erhalten hat. Damit die IPSec-Kommunikation im Einklang mit FIPS 140-2 steht, müssen Sie die Schlüssellänge sowohl von DH als auch von RSA für die IPSec-Kommunikation in der Netzwerkumgebung, zu der das System gehört, auf 2048-bit oder länger setzen. Es kann lediglich die Schlüssellänge für DH über das System festgelegt werden. Notieren Sie die Konfiguration Ihrer Umgebung, da es keine Einstellungen für RSA im System gibt. Sie können bis zu 10 Sicherheitsrichtlinien registrieren. |
1 | Klicken Sie auf [Einstellungen Auswahl]. | ||||||||||||||
2 | Legen Sie die IP-Adresse fest, um die IPSec-Richtlinie anzuwenden. Legen Sie die IP-Adresse dieses Geräts unter [Lokale Adresse] fest, und legen Sie die IP-Adresse des Kommunikations-Peer unter [Remote-Adresse] fest.
| ||||||||||||||
3 | Legen Sie den Anschluss fest, an dem IPSec angewandt werden soll. Wählen Sie [Durch Portnummer definieren], um die Portnummern zu verwenden, sobald Sie die Anschlüsse festlegen, bei denen IPSec angewandt wird. Wählen Sie [Alle Ports] aus, um IPSec bei allen Portnummern anzuwenden. Um IPSec bei einer spezifischen Portnummer anzuwenden, wählen Sie [Single Port], und geben Sie die Portnummer ein. Legen Sie den Anschluss dieses Geräts unter [Lokaler Port] fest, und legen Sie den Anschluss des Kommunikations-Peer unter [Remote Port] fest. Um die Ports, auf die IPSec festgelegt werden soll, nach Dienstnamen anzugeben, wählen Sie [Durch Servicename definieren] und wählen Sie die zu verwendenden Dienste. | ||||||||||||||
4 | Klicken Sie auf [OK]. |
1 | Klicken Sie auf [Einstellungen IKE]. | ||||||||||
2 | Konfigurieren Sie die erforderlichen Einstellungen. [IKE-Modus] Wählen Sie den Betriebsmodus für das Schlüsselaustauschprotokoll aus. Die Sicherheit wird verbessert, wenn Sie [Main] auswählen, weil die IKE-Sitzung selbst verschlüsselt ist, jedoch ist die Geschwindigkeit der Sitzung langsamer als bei [Aggressive], welche nicht die gesamte Sitzung verschlüsselt. [Gültigkeit] Legen Sie die Gültigkeitsdauer für die generierte IKE SA fest. [Authentisierungsmethode] Wählen Sie eine der nachfolgend beschriebenen Authentifizierungsmethoden aus.
[Algorithmus Authentisierung/Verschlüsselung] Wählen Sie entweder [Auto] oder [Manuelle Einstellungen] aus, um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE-Phase 1 festzulegen sind. Wenn Sie [Auto] auswählen, wird ein Algorithmus automatisch eingestellt, der sowohl von diesem Gerät als auch vom Kommunikationspartner verwendet werden kann. Wenn Sie einen bestimmten Algorithmus festlegen möchten, wählen Sie [Manuelle Einstellungen] aus, und konfigurieren Sie die nachfolgenden Einstellungen.
| ||||||||||
3 | Klicken Sie auf [OK]. |
Wenn [IKE-Modus] auf [Main] auf dem Bildschirm [IKE] und [Authentisierungsmethode] auf [Methode Pre-gemeinsamer Schlüssel] eingestellt ist, gelten die folgenden Einschränkungen bei der Registrierung mehrerer Sicherheitsrichtlinien. Schlüssel der Pre-Shared-Key-Methode: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, sind alle gemeinsam genutzten Schlüssel für diese Sicherheitsrichtlinie identisch. (Dies gilt nicht, wenn eine einzige Adresse angegeben wird.) Priorität: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, liegt die Priorität dieser Sicherheitsrichtlinie unterhalb der Sicherheitsrichtlinien, für die eine einzige Adresse angegeben ist. |
1 | Klicken Sie auf [Einstellungen IPSec-Netzwerk]. | ||||||
2 | Konfigurieren Sie die erforderlichen Einstellungen. [Gültigkeit] Legen Sie die Gültigkeitsdauer für die generierte IPSec SA fest. Achten Sie darauf, entweder [Zeit] oder [Format] festzulegen. Wenn Sie beides festlegen, wird die Einstellung mit dem zuerst erreichten Wert übernommen. [PFS] Wenn Sie [PFS verwenden] wählen, wird die Geheimhaltung des Verschlüsselungsschlüssels erhöht, jedoch die Kommunikationsgeschwindigkeit verlangsamt. Darüber hinaus muss die Funktion Perfect Forward Secrecy (PFS) im Gerät des Kommunikationspartners aktiviert sein. [Algorithmus Authentisierung/Verschlüsselung] Wählen Sie entweder [Auto] oder [Manuelle Einstellungen], um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE Phase 2 festzulegen ist. Wenn Sie [Auto] auswählen, wird der ESP-Authentifizierungs- und -Verschlüsselungsalgorithmus automatisch eingestellt. Wenn Sie eine bestimmte Authentifizierungsmethode festlegen möchten, wählen Sie [Manuelle Einstellungen], und wählen Sie eine der nachfolgenden Authentifizierungsmethoden aus.
| ||||||
3 | Klicken Sie auf [OK]. |
Verwalten der IPSec-RichtlinienSie können die am Bildschirm in Schritt 4 angezeigten Richtlinien bearbeiten. Um die Details der Richtlinie zu bearbeiten, klicken Sie auf den Namen der Richtlinie in der Liste. Um eine Richtlinie zu deaktivieren, klicken Sie auf den Namen der Richtlinie in der Liste Wählen Sie [Aus] für [Richtlinie Ein/Aus] aus Klicken Sie [OK]. Um eine Richtlinie zu löschen, wählen Sie die Richtlinie in der Liste aus Klicken Sie [Löschen] [OK]. Verwenden der SystemsteuerungSie können die IPSec-Kommunikation auch über <Einstellen> auf dem Bildschirm <Startseite> aktivieren oder deaktivieren. <Einstellungen IPSec> Stapelweises Importieren/stapelweises ExportierenDiese Einstellung lässt sich mit Modellen, die diesbezüglich den Stapelimport unterstützen, importieren/exportieren. Importieren/Exportieren von Einstellungsdaten Diese Einstellung ist beim Stapelexport in [Grundinformationen Einstellungen/Speicherung] enthalten. Importieren/Exportieren aller Einstellungen |