การกำหนดการตั้งค่า IPSec

โดยใช้ IPSec คุณสามารถป้องกันไม่ให้บุคคลที่สามดักฟังหรือแทรกแซงแพคเก็ต IP ที่รับส่งผ่านเครือข่าย IP ได้ เนื่องจาก IPSec เพิ่มฟังก์ชันการรักษาความปลอดภัยให้กับ IP ซึ่งเป็นชุดโปรโตคอลพื้นฐานที่ใช้สำหรับอินเทอร์เน็ต จึงสามารถให้การรักษาความปลอดภัยโดยไม่ขึ้นอยู่กับแอปพลิเคชันหรือการกำหนดค่าเครือข่าย หากต้องการทำการสื่อสาร IPSec กับเครื่องนี้ คุณต้องกำหนดการตั้งค่า เช่น พารามิเตอร์ของแอปพลิเคชันและอัลกอริทึมสำหรับการรับรองความถูกต้องและการเข้ารหัส ซึ่งคุณจำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อกำหนดการตั้งค่าเหล่านี้
โหมดสื่อสาร
เครื่องนี้รองรับโหมดการรับส่งสำหรับการสื่อสาร IPSec เท่านั้น ด้วยเหตุนี้ การรับรองความถูกต้องและการเข้ารหัสจึงมีผลใช้งานกับส่วนข้อมูลของแพคเก็ต IP เท่านั้น
โปรโตคอลการแลกเปลี่ยนคีย์
เครื่องนี้รองรับ Internet Key Exchange เวอร์ชัน 1 (IKEv1) สำหรับการแลกเปลี่ยนคีย์ตาม Internet Security Association และ Key Management Protocol (ISAKMP) สำหรับวิธีการรับรองความถูกต้อง ให้ตั้งค่าวิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกันหรือวิธีใช้ลายเซ็นดิจิทัล
เมื่อตั้งค่าวิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกัน คุณต้องตัดสินใจเกี่ยวกับรหัสผ่าน (คีย์ที่กำหนดให้ใช้ร่วมกัน) ไว้ล่วงหน้า ซึ่งจะมีการใช้งานรหัสผ่านดังกล่าวระหว่างเครื่องและเครื่องที่มีการสื่อสารข้อมูลระหว่างกันด้วย IPSec
เมื่อตั้งค่าวิธีการลงนามแบบดิจิทัล ให้ใช้ใบรับรอง CA รวมถึงคีย์และใบรับรองรูปแบบ PKCS#12 เพื่อดำเนินการในการรับรองความถูกต้องร่วมกันระหว่างเครื่องและเครื่องที่มีการสื่อสารข้อมูลระหว่างกันด้วย IPSec โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการลงทะเบียนใบรับรอง CA หรือคีย์/ใบรับรองใหม่ที่ การลงทะเบียนคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย โปรดทราบว่าคุณต้องกำหนดค่า SNTP สำหรับเครื่องก่อนที่เครื่องจะใช้วิธีนี้ การดำเนินการตั้งค่า SNTP
ระบบจะใช้โมดูลการเข้ารหัสที่ได้รับการรับรอง FIPS140-2 เรียบร้อยแล้ว โดยไม่คำนึงถึงการตั้งค่าของ [Format Encryption Method to FIPS 140-2] สำหรับการสื่อสาร IPSec
เพื่อทำให้การสื่อสาร IPSec เป็นไปตาม FIPS 140-2 คุณต้องตั้งค่าความยาวคีย์ของทั้ง DH และ RSA สำหรับการสื่อสาร IPSec เป็น 2,048 บิตหรือยาวกว่านั้นในสภาพแวดล้อมเครือข่ายที่มีเครื่องอยู่
สามารถระบุได้เฉพาะความยาวคีย์สำหรับ DH จากเครื่อง
จดบันทึกเมื่อกำหนดค่าสภาพแวดล้อมของคุณ เนื่องจากไม่มีการตั้งค่าสำหรับ RSA ในเครื่อง
คุณสามารถลงทะเบียนนโยบายความปลอดภัยได้สูงสุด 10 รายการ

การเปิดใช้งาน IPSec

1
เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล
2
คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
คลิก [Network Settings] [IPSec Settings]
4
เลือก [Use IPSec] และคลิก [OK]
หากต้องการรับเฉพาะแพคเก็ตที่สอดคล้องกับนโยบายความปลอดภัย ให้เลือก [Reject] สำหรับ [Receive Non-Policy Packets]

การลงทะเบียนนโยบาย

1
เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล
2
คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล
3
คลิก [Network Settings] [IPSec Policy List]
4
คลิก [Register New IPSec Policy]
5
กำหนดนโยบาย
[Policy Name]
ป้อนชื่อเพื่อระบุนโยบาย
[Policy On/Off]
เลือก [On] เพื่อเปิดใช้งานนโยบายที่ลงทะเบียน
[Only Allow 256-bit for AES Key Length]
เลือกช่องทำเครื่องหมายนี้เพื่อจำกัดความยาวคีย์ของวิธีการเข้ารหัส AES ไว้ที่ 256 บิตและเป็นไปตามมาตรฐานการตรวจสอบสิทธิ์ CC
6
กำหนดค่าพารามิเตอร์แอปพลิเคชัน IPSec
1
คลิก [Selector Settings]
2
ระบุที่อยู่ IP ที่จะใช้นโยบาย IPSec
ระบุที่อยู่ IP ของเครื่องนี้ใน [Local Address] และระบุที่อยู่ IP ของเครื่องที่มีการสื่อสารข้อมูลระหว่างกันใน [Remote Address] ที่อยู่ระยะไกล

[All IP Addresses]
IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งและได้รับทั้งหมด
[IPv4 Address]
IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv4 ของเครื่องนี้
[IPv6 Address]
IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv6 ของเครื่องนี้
[All IPv4 Addresses]
IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv4 ของเครื่องที่มีการสื่อสารข้อมูลระหว่างกัน
[All IPv6 Addresses]
IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv6 ของเครื่องที่มีการสื่อสารข้อมูลระหว่างกัน
[IPv4 Manual Settings]
ระบุที่อยู่ IPv4 ที่จะใช้งาน IPSec
เลือก [Single Address] เพื่อป้อนที่อยู่ IPv4 แต่ละรายการ
เลือก [Range Address] เพื่อระบุช่วงของที่อยู่ IPv4 ให้ป้อนที่อยู่แยกต่างหากสำหรับ [First Address] และ [Last Address]
เลือก [Subnet Settings] เพื่อระบุช่วงของที่อยู่ IPv4 โดยใช้ซับเน็ตมาสก์ ให้ป้อนค่าแยกต่างหากสำหรับ [First Address] และ [Subnet Settings]
[IPv6 Manual Settings]
ระบุที่อยู่ IPv6 ที่จะใช้งาน IPSec
เลือก [Single Address] เพื่อป้อนที่อยู่ IPv6 แต่ละรายการ
เลือก [Range Address] เพื่อระบุช่วงของที่อยู่ IPv6 ให้ป้อนที่อยู่แยกต่างหากสำหรับ [First Address] และ [Last Address]
เลือก [Prefix Address] เพื่อระบุช่วงของที่อยู่ IPv6 โดยใช้ซับเน็ตมาสก์ ให้ป้อนค่าแยกต่างหากสำหรับ [First Address] และ [Prefix Length]
3
ระบุพอร์ตที่จะใช้งาน IPSec
เลือก [Specify by Port Number] เพื่อใช้หมายเลขพอร์ตเมื่อระบุพอร์ตที่จะใช้งาน IPSec หรือเลือก [All Ports] เพื่อใช้ IPSec กับหมายเลขพอร์ตทั้งหมด หากต้องการใช้ IPSec กับหมายเลขพอร์ตที่เฉพาะเจาะจง [Single Port] และป้อนหมายเลขพอร์ต ให้ระบุพอร์ตของเครื่องนี้ใน [Local Port] และระบพอร์ตของเครื่องที่มีการสื่อสารระหว่างกันใน [Remote Port]
ในการระบุพอร์ตที่จะใช้ IPSec ตามชื่อบริการ ให้เลือก [Specify by Service Name] และเลือกบริการที่จะใช้
4
คลิก [OK]
7
กำหนดการตั้งค่าการรับรองความถูกต้องและการเข้ารหัส
1
คลิก [IKE Settings]
2
กำหนดการตั้งค่าที่จำเป็น
[IKE Mode]
เลือกโหมดการทำงานสำหรับโปรโตคอลการแลกเปลี่ยนคีย์ การรักษาความปลอดภัยจะมีประสิทธิภาพมากขึ้นหากคุณเลือก [Main] เนื่องจากเซสชัน IKE ถูกเข้ารหัส แต่ความเร็วของเซสชันนั้นจะช้ากว่าหากใช้ [Aggressive] ซึ่งไม่ได้เข้ารหัสทั้งเซสชัน
[Validity]
กำหนดระยะเวลาหมดอายุของ IKE SA ที่สร้างขึ้น
[Authentication Method]
เลือกวิธีการรับรองความถูกต้องหนึ่งวิธีจากรายการที่อธิบายไว้ด้านล่าง
[Pre-Shared Key Method]
กำหนดรหัสผ่าน (คีย์ที่กำหนดให้ใช้ร่วมกัน) ซึ่งเหมือนกับรหัสผ่านที่ตั้งไว้สำหรับเครื่องที่มีการสื่อสารระหว่างกัน เลือก [Shared Key Settings] ป้อนสตริงอักขระที่จะใช้เป็นคีย์ที่ใช้ร่วมกัน แล้วเลือก [OK]
[Digital Signature Method]
ตั้งค่าคีย์และใบรับรองที่จะใช้สำหรับการรับรองความถูกต้องร่วมกันกับเครื่องที่มีการสื่อสารระหว่างกัน คลิก [Key and Certificate] และคลิก [Use] สำหรับคีย์ที่จะใช้
[Authentication/Encryption Algorithm]
เลือก [Auto] หรือ [Manual Settings] เพื่อตั้งค่าวิธีระบุอัลกอริทึมการรับรองความถูกต้องและการเข้ารหัสสำหรับ IKE phase 1 หากคุณเลือก [Auto] ระบบจะตั้งค่าอัลกอริทึมโดยอัตโนมัติซึ่งทั้งเครื่องนี้และเครื่องที่มีการสื่อสารระหว่างกันสามารถใช้งานได้ หากคุณต้องการระบุอัลกอริทึมเฉพาะ ให้เลือก [Manual Settings] และกำหนดการตั้งค่าด้านล่าง
[Authentication]
เลือกแฮชอัลกอริทึ่ม
[Encryption]
เลือกอัลกอริทึ่มการเข้ารหัส
[DH Group]
เลือกกลุ่มสำหรับวิธีการแลกเปลี่ยนคีย์ Diffie-Hellman เพื่อตั้งค่าความยากของคีย์
3
คลิก [OK]
เมื่อตั้งค่า [IKE Mode] เป็น [Main] บนหน้าจอ [IKE] และตั้งค่า [Authentication Method] เป็น [Pre-Shared Key Method] ข้อจำกัดต่อไปนี้จะมีผลใช้งานเมื่อลงทะเบียนนโยบายความปลอดภัยหลายรายการ
วิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกัน: เมื่อระบุที่อยู่ IP ระยะไกลหลายรายการที่จะใช้นโยบายความปลอดภัย คีย์ที่ใช้ร่วมกันทั้งหมดสำหรับนโยบายความปลอดภัยนั้นจะเหมือนกัน (ซึ่งจะใช้ไม่ได้เมื่อระบุที่อยู่เดียว)
ลำดับความสำคัญ: เมื่อระบุที่อยู่ IP ระยะไกลหลายรายการที่จะใช้นโยบายความปลอดภัย ลำดับความสำคัญของนโยบายความปลอดภัยนั้นจะอยู่ต่ำกว่านโยบายความปลอดภัยที่ระบุไว้สำหรับที่อยู่เดียว
8
กำหนดการตั้งค่าการสื่อสาร IPSec
1
คลิก [IPSec Network Settings]
2
กำหนดการตั้งค่าที่จำเป็น
[Validity]
กำหนดระยะเวลาหมดอายุของ IPSec SA ที่สร้างขึ้น คุณต้องตั้งค่า [Time] หรือ [Size] หากคุณตั้งค่าทั้งสองรายการ ค่าของการตั้งค่าใดที่มาถึงก่อนจะมีผลใช้งาน
[PFS]
หากคุณเลือก [Use PFS] ความลับของคีย์เข้ารหัสจะเพิ่มขึ้นแต่ความเร็วในการสื่อสารจะช้าลง นอกจากนี้ คุณจะต้องเปิดใช้งานฟังก์ชัน Perfect Forward Secrecy (PFS) บนอุปกรณ์ที่มีการสื่อสารระหว่างกัน
[Authentication/Encryption Algorithm]
เลือก [Auto] หรือ [Manual Settings] เพื่อตั้งค่าวิธีระบุอัลกอริทึมการรับรองความถูกต้องและการเข้ารหัสสำหรับ IKE phase 2 หากคุณเลือก [Auto] ระบบจะตั้งค่าอัลกอริทึมการรับรองความถูกต้องและการเข้ารหัส ESP โดยอัตโนมัติ หากคุณต้องการระบุวิธีการรับรองความถูกต้องเฉพาะ ให้เลือก [Manual Settings] และเลือกวิธีการรับรองความถูกต้องหนึ่งวิธีจากรายการด้านล่าง
[ESP]
ระบบจะดำเนินการทั้งการรับรองความถูกต้องและการเข้ารหัส ให้เลือกอัลกอริทึมสำหรับ [ESP Authentication] และ [ESP Encryption] เลือก [NULL] หากคุณไม่ต้องการตั้งค่าอัลกอริทึมการรับรองความถูกต้องหรือการเข้ารหัส
[ESP (AES-GCM)]
AES-GCM ถูกใช้เป็นอัลกอริทึม ESP และจะดำเนินการทั้งการรับรองความถูกต้องและการเข้ารหัส
[AH (SHA1)]
ระบบจะดำเนินการรับรองความถูกต้องแต่จะไม่เข้ารหัสข้อมูล และ SHA1 ถูกใช้เป็นอัลกอริทึม
3
คลิก [OK]
9
คลิก [OK]
10
เปิดใช้งานนโยบายที่ลงทะเบียนไว้และตรวจสอบลำดับความสำคัญ
จะมีการใช้งานนโยบายตามลำดับที่ระบุไว้โดยเริ่มจากด้านบน หากคุณต้องการเปลี่ยนลำดับความสำคัญ ให้เลือกนโยบายในรายการและคลิก [Raise Priority] หรือ [Lower Priority]
การจัดการนโยบาย IPSec
คุณสามารถแก้ไขนโยบายได้บนหน้าจอที่แสดงในขั้นตอนที่ 4
หากต้องการแก้ไขรายละเอียดของนโยบาย ให้คลิกชื่อนโยบายในรายการ
หากต้องการปิดใช้งานนโยบาย ให้คลิกชื่อนโยบายในรายการ เลือก [Off] สำหรับ [Policy On/Off] คลิก [OK]
หากต้องการลบนโยบาย ให้เลือกนโยบายในรายการ คลิก [Delete] [OK]
การใช้แผงควบคุม
คุณยังสามารถเปิดใช้งานหรือปิดใช้งานการสื่อสาร IPSec จากตัวเลือก <ตั้งค่า> ในหน้าจอ <Home> <การตั้งค่า IPSec>
การนำเข้า/การส่งออกเป็นชุด
คุณสามารถนำเข้า/ส่งออกการตั้งค่านี้กับรุ่นที่รองรับการนำเข้าการตั้งค่านี้แบบเป็นชุด การนำเข้า/ส่งออกข้อมูลการตั้งค่า
การตั้งค่านี้รวมอยู่ใน [Settings/Registration Basic Information] เมื่อทำการส่งออกเป็นชุด การนำเข้า/ส่งออกการตั้งค่าทั้งหมด
9Y98-05Y