配置IPSec设置

通过使用IPSec,可以防止第三方截取或篡改在IP网络上传输的IP数据包。由于IPSec为IP(一种用于互联网的基本协议套件)添加了安全功能,因此IPSec可以不依赖于应用程序或网络配置提供安全性。要与本机进行IPSec通信,必须配置的设置包括应用程序参数以及用于认证和加密的算法。配置这些设置需要管理员权限。
启用IPSec
注册策略
通信模式
本机仅支持IPSec通信的传输模式。因此,认证和加密仅适用于IP数据包的数据部分。
密钥交换协议
本机支持基于“Internet安全关联和密钥管理协议(ISAKMP)”的“Internet密钥交换版本1(IKEv1)”用于交换密钥。对于认证方法,可以设置预共享密钥方法或数字签名方法。
设置预共享密钥方法时,需要预先确定密码(预共享密钥),此密码在本机与IPSec通信对等方之间使用。
设置数字签名方法时,使用CA证书和PKCS#12格式的密钥和证书在本机与IPSec通信对等方之间执行相互认证。有关注册新CA证书或密钥/证书的详细信息,请参阅注册用于网络通信的密钥和证书。请注意,使用此方法前必须为本机配置SNTP。 设置SNTP
不管IPSec通信的[以FIPS 140-2作为加密方法的格式]设置是什么,将使用已经获得FIPS140-2认证的加密模块。
为了使IPSec通信符合FIPS 140-2要求,必须在本机所属的网络环境中将IPSec通信的DH和RSA密钥长度设为2048位或更长。
只能从本机指定DH密钥长度。
配置您的环境时要做记录,因为本机中没有RSA的设置。
安全策略最多可以注册 10 项。

启用IPSec

1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[网络设置]  [IPSec设置]。
4
选择 [使用IPSec],然后点击[确定]。
要仅接收与安全策略相对应的数据包,请将[接收非策略数据包]选为[拒绝]。

注册策略

1
启动“远程用户界面”。启动远程用户界面
2
单击门户页面上的[设置/注册]。远程用户界面屏幕
3
单击[网络设置]  [IPSec策略列表]。
4
单击[注册新IPSec策略]。
5
设置策略。
[策略名称]
输入名称以识别策略。
[策略打开/关闭]
选择[打开]以启用注册的策略。
[仅允许AES密钥长度为256-bit]
选中此复选框,将AES加密方法的密钥长度限制为256位,并使其符合CC认证标准。
6
配置IPSec应用程序参数。
1
单击[选择器设置]。
2
指定要应用IPSec策略的IP地址。
在[本地地址]中指定本机的IP地址,在[远程地址]中指定通信对等方的IP地址。

[全部IP地址]
IPSec应用于所有发送和接收的IP数据包。
[IPv4地址]
IPSec应用于发送至本机的IPv4地址和从本机的IPv4地址接收的IP数据包。
[IPv6地址]
IPSec应用于发送至本机的IPv6地址和从本机的IPv6地址接收的IP数据包。
[全部IPv4地址]
IPSec应用于发送至通信对等方的IPv4地址和从通信对等方的IPv4地址接收的IP数据包。
[全部IPv6地址]
IPSec应用于发送至通信对等方的IPv6地址和从通信对等方的IPv6地址接收的IP数据包。
[IPv4手动设置]
指定要应用IPSec的IPv4地址。
选择[单地址]输入单个IPv4地址。
选择[范围地址]指定IPv4地址范围。在[首地址] 和 [末地址]中分别输入地址。
选择[子网设置]指定使用子网掩码的IPv4地址范围。在[首地址] 和 [子网设置]中分别输入值。
[IPv6手动设置]
指定要应用IPSec的IPv6地址。
选择[单地址]输入单个IPv6地址。
选择[范围地址]指定IPv6地址范围。在[首地址] 和 [末地址]中分别输入地址。
选择[前缀地址]指定使用前缀的IPv6地址范围。在[首地址] 和 [前缀长度]中分别输入值。
3
指定要应用IPSec的端口。
选择 [通过端口号指定] 以在指定应用 IPSec 的端口时使用端口号。选择 [全部端口] 对所有端口号应用 IPSec。要对特定的端口号 [单端口] 应用 IPSec 并输入端口号。在 [本地端口] 中指定本机的端口,并在 [远程端口] 中指定通信对等方的端口。
要通过服务名称指定要应用IPSec的端口,需选择[通过服务名称指定]并选择要使用的服务。
4
单击[确定]。
7
配置认证和加密设置。
1
单击[IKE设置]。
2
配置必要的设置。
[IKE模式]
选择密钥交换协议的操作模式。如果选择[主要],由于IKE会话本身加密,因此安全性会增强,但会话速度比选择[挑战]不加密整个会话时要慢。
[有效期]
设置所生成的IKE SA的有效期。
[认证方法]
选择以下所述的一种认证方法。
[预共享密钥方法]
设置与通信对等方相同的密码(预共享密钥)。选择[共享密钥设置],输入要用作共享密钥的字符串,然后选择[确定]。
[数字签名方法]
设置用于与通信对等方相互认证的密钥和证书。点击[密钥和证书],然后点击[使用]选择要使用的密钥。
[认证/加密算法]
选择[自动] 或 [手动设置]设置如何为IKE阶段1指定认证和加密算法。如果选择[自动],则会自动设置可用于本机和通信对等方的算法。如果要指定特定算法,选择[手动设置]并配置以下设置。
[认证]
选择哈希算法。
[加密]
选择加密算法。
[DH组]
为Diffie-Hellman密钥交换方法选择组以设置密钥强度。
3
单击[确定]。
如果在[IKE]屏幕中将[IKE模式]设置为[主要],并且将[认证方法]设置为[预共享密钥方法],在注册多项安全策略时,将应用以下限制。
预共享密钥方法:当指定多个采用安全策略的远程 IP 地址时,该安全策略对应的所有共享密钥均相同(不适用于指定单个地址时的情况)。
优先级:当指定多个采用安全策略的远程 IP 地址时,该安全策略对应的优先级低于为单个地址指定的安全策略。
8
配置IPSec通信设置。
1
单击[IPSec网络设置]。
2
配置必要的设置。
[有效期]
设置所生成的IPSec SA的有效期限。请确保设置了[时间] 或 [大小]。如果同时设置了两个,则以先到的设置值为准。
[PFS]
如果选择[使用PFS],则加密密钥的保密性增强但通信速度降低。此外,必须在通信对等方设备上启用完全正向保密(PFS)功能。
[认证/加密算法]
选择[自动] 或 [手动设置] 设置如何为IKE阶段2指定认证和加密算法。如果选择[自动],则会自动设置ESP认证和加密算法。如果要指定特定认证方法,选择[手动设置],然后选择以下一种认证方法。
[ESP]
同时执行认证和加密。选择[ESP认证] 和 [ESP加密]的算法。如果不想设置认证或加密算法,则选择[空]。
[ESP (AES-GCM)]
使用AES-GCM作为ESP算法,且同时执行认证和加密。
[AH (SHA1)]
执行认证,但不加密数据。使用SHA1算法。
3
单击[确定]。
9
单击[确定]。
10
启用注册的策略并检查优先级顺序。
策略按所列顺序自上而下进行应用。如果要更改优先级顺序,从列表中选择策略,然后点击[提高优先级] 或 [降低优先级]。
管理IPSec策略
可以在步骤4中显示的屏幕上编辑策略。
要编辑策略详细信息,点击列表中的策略名称。
要禁用策略,点击列表中的策略名称 将[策略打开/关闭]选为[关闭] 点击[确定]。
要删除策略,在列表中选择策略 点击[删除] [确定]。
使用操作面板
还可在<主页>屏幕的<设置>中启用或禁用IPSec通信。<IPSec设置>
批量导入/批量导出
此设置可以使用支持批量导入该设置的模型进行导入/导出。导入/导出设置数据
批量导出时此设置包括在[设置/注册基本信息]中。导入/导出所有设置
A0H7-05Y