CommunicatiemodusDeze machine ondersteunt alleen de transportmodus voor IPSec-communicatie. Daarom worden verificatie en versleuteling alleen toegepast op de datagedeeltes van de IP-pakketten. Protocol voor uitwisselen van sleutelsDeze machine ondersteunt IKEv1 (Internet Key Exchange versie 1) voor het uitwisselen van sleutels op basis van ISAKMP (Internet Security Association en Key Management Protocol). Bij de verificatiemethode stelt u de vooraf gedeelde sleutelmethode of de digitale-handtekeningenmethode in. Bij instelling van de vooraf gedeelde sleutelmethode moet u van tevoren een beslissing nemen over een wachtwoordzin (vooraf gedeelde sleutel), die wordt gebruikt tussen de machine en de IPSec-communicatie-evenknie. Bij instelling van de digitale-handtekeningenmethode gebruikt u een CA-certificaat en een sleutel en certificaat met PKCS#12-indeling voor wederzijdse verificatie tussen de machine en de IPSec-communicatie-evenknie. Voor meer informatie over het registreren van nieuwe certificaten of sleutels/certificaten raadpleegt u Een sleutel en certificaat voor netwerkcommunicatie registreren. Merk op dat SNTP eerst op de machine moet worden geconfigureerd, voordat van deze methode gebruik gemaakt kan worden. SNTP-instellingen doorvoeren |
Ongeacht de instelling van [Stel de encryptiemethode in op FIPS 140-2] voor IPSec-communicatie, wordt een versleutelingsmodule gebruikt die de FIPS140-2-certificering al heeft verkregen. Om ervoor te zorgen dat IPSec-communicatie voldoet aan FIPS 140-2, moet u de sleutellengte van zowel DH als RSA voor IPSec-communicatie instellen op 2048-bits of langer in de netwerkomgeving waartoe de machine behoort. Alleen de sleutellengte voor DH kan worden opgegeven vanuit de machine. Maak notities bij het configureren van uw omgeving, want er zijn geen instellingen voor RSA in de machine. U kunt maximaal 10 beveiligingsbeleidsregels registreren. |
1 | Klik op [Instellingen Keuzeschakelaar]. | ||||||||||||||
2 | Geef het IP-adres waar u het IPSec-beleid op wilt toepassen, op. Geef het IP-adres van deze machine op bij [Lokaal adres] en van de communicatie-evenknie bij [Adres op afstand].
| ||||||||||||||
3 | Geef de poort waarop u IPSec wilt toepassen, op. Druk op [Aangeven met poortnummer] om poortnummers te gebruiken bij het opgeven van de poorten waarop IPSec van toepassing is. Selecteer [Alle poorten] om IPSec op alle poortnummers toe te passen. Om IPSec op een specifiek poortnummer toe te passen, drukt u op [Enkelv. poort] en voert u het poortnummer in. Geef de poort van deze machine op bij [Lokale poort] en van de communicatie-evenknie bij [Poort op afstand]. Als u de poorten wilt opgeven waarop IPSec op servicenaam moet worden toegepast, selecteert u [Aangeven met servicenaam] en selecteert u de te gebruiken diensten. | ||||||||||||||
4 | Klik op [OK]. |
1 | Klik op [IKE-instellingen]. | ||||||||||
2 | Configureer de noodzakelijke instellingen. [IKE-modus] Selecteer de bewerkingsmodus voor het protocol voor het uitwisselen van sleutels. Beveiliging wordt verbeterd als u [Hoofd] selecteert, omdat de IKE-sessie zelf is versleuteld, maar de snelheid van de sessie is trager dan met [Agressief], waarmee niet de hele sessie wordt versleuteld. [Geldigheid] Stel de verloopperiode van de gegenereerde IKE SA in. [Authentificatiemethode] Selecteer een van de onderstaande verificatiemethodes.
[Authentificatie/Encryptie algoritme] Selecteer [Auto] of [Handmatige instellingen] om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 1 moet worden opgegeven. Als u [Auto] selecteert, wordt een algoritme dat door zowel deze machine als de communicatie-evenknie kan worden gebruikt, automatisch ingesteld. Als u een specifiek algoritme wilt opgeven, selecteert u [Handmatige instellingen] en configureert u onderstaande instellingen.
| ||||||||||
3 | Klik op [OK]. |
Wanneer [IKE-modus] is ingesteld op [Hoofd] op het scherm [IKE] en [Authentificatiemethode] is ingesteld op [Gedeelde sleutelmethode], zijn de volgende beperkingen van toepassing bij het registreren van meerdere beveiligingsbeleidsregels. Methode met een gedeelde sleutel: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, zijn alle gedeelde sleutels voor dat beveiligingsbeleid identiek (dit geldt niet als een enkel adres is opgegeven). Prioriteit: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, is de prioriteit van dat beveiligingsbeleid lager dan die van het beveiligingsbeleid voor een enkel adres. |
1 | Klik op [IPSec-netwerkinstellingen]. | ||||||
2 | Configureer de noodzakelijke instellingen. [Geldigheid] Stel de verloopperiode van de gegenereerde IPSec SA in. Stel [Tijd] of [Formaat] in. Als u allebei instelt, wordt de instelling met de eerst bereikte waarde toegepast. [PFS] Als u [Gebruik PFS] selecteert, wordt de beveiliging van de versleutelingssleutel verhoogd, maar wordt de communicatiesnelheid trager. Daarnaast moet de Perfect Forward Secrecy (PFS)-functie op het apparaat van de communicatie-evenknie zijn ingeschakeld. [Authentificatie/Encryptie algoritme] Selecteer [Auto] of [Handmatige instellingen] om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 2 moet worden opgegeven. Als u [Auto] selecteert, wordt de ESP-verificatie en het versleutelingsalgoritme automatisch ingesteld. Als u een specifieke verificatiemethode wilt opgeven, drukt u op [Handmatige instellingen] en selecteert u een van de onderstaande verificatiemethodes.
| ||||||
3 | Klik op [OK]. |
IPSec-beleidsregels beherenU kunt beleidsregels bewerken op het scherm dat bij stap 4 wordt weergegeven. Om de details van een beleid te bewerken, klik op de beleidsnaam uit de lijst. Om een beleid uit te schakelen, klikt u op de beleidsnaam in de lijst en selecteert u [Uit] bij [Policy Aan/Uit] klikt u op [OK]. Om een beleid te verwijderen, selecteert u het beleid in de lijst en klikt u op [Verwijderen] [OK]. Gebruik van het bedieningspaneelU kunt ook de IPSec-communicatie inschakelen of uitschakelen via <Inst.> in het scherm <Home>. <IPSec instellingen> Importeren/exporteren in batchDeze instelling kan worden geïmporteerd/geëxporteerd met modellen die ondersteuning bieden voor het importeren in batch van deze instelling. De gegevens van instellingen importeren/exporteren Deze instelling is opgenomen in [Basisinformatie instellingen/registratie] bij het exporteren van batches. Alle instellingen importeren/exporteren |