IPSec használata

Az IP Security Protocol (IPSec) használatával megakadályozhatja az IP-hálózaton keresztül küldött és fogadott IP-csomagok lehallgatását és módosítását. Ezzel a protokollal IP protokoll szintű titkosítást végezhet anélkül, hogy egy alkalmazásra vagy a hálózati konfigurációra kellene támaszkodnia.
Az IPSec alkalmazási feltételei és a támogatott módok
IPSec-házirend konfigurálása
Az IPSec beállítása

Az IPSec alkalmazási feltételei és a támogatott módok

Csomagok, amelyeknél nem alkalmazható az IPSec
Visszacsatolási, csoportos küldési és szórási címeket meghatározó csomagok
Az 500-as UDP-portról küldött IKE-csomagok
ICMPv6 szomszédmegszólítási és szomszédhirdetési csomagok
A kulcscsere-protokoll üzemmódja (IKE-mód)
A készülék csak a fő módot támogatja IKE-módként a csomagok titkosításához. A nem titkosított agresszív mód nem támogatott.
Kommunikációs mód
A készülék csak a szállítási módot támogatja kommunikációs módként, amely csak az IP-fejlécen kívüli részt titkosítja. A teljes IP-csomagot támogató csatorna mód nem támogatott.
Az IPSec használata IP-címszűréssel
A készülék először az IP-címszűrő beállításait alkalmazza. A tűzfal beállítása

IPSec-házirend konfigurálása

Ahhoz, hogy IPSec-kommunikációt folytathasson a készüléken, létre kell hoznia egy olyan IPSec-házirendet, amely tartalmazza az a hitelesítéshez és a titkosításhoz alkalmazható tartományt és algoritmusokat. A házirend elsősorban a következő elemekből áll.
Választó
Adja meg, hogy mely IP-csomagokra szeretne IPSec-kommunikációt alkalmazni. A készülék és az azzal kommunikáló eszközök IP-címének megadása mellett az eszközök portszámát is megadhatja.
IKE
A kulcscsere-protokoll az Internet Key Exchange 1. verzióját támogatja (IKEv1). A hitelesítés módjaként előre megosztott kulcsos módot vagy digitális aláírást használó módot választhat.
Előre megosztott kulcsos mód:
Ez a hitelesítési mód egy közös kulcsszót, egy úgynevezett megosztott kulcsot használ a készülék és a többi eszköz közötti kommunikációhoz.
Digitális aláírás mód
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesítik egymást.
ESP/AH
Adja meg az IPSec-kommunikációhoz használt ESP/AH protokoll beállításait. Az ESP és az AH egyszerre is használható. A még nagyobb biztonság érdekében használjon a Perfect Forward Secrecy (PFS) titkosítást.

Az IPSec beállítása

Engedélyezze az IPSec használatát, majd hozzon létre és jegyezzen be egy IPSec-házirendet. Ha több házirendet hoz létre, meg kell adnia az alkalmazásuk sorrendjét.
Ez a rész azt mutatja be, hogyan konfigurálhatók a beállítások számítógépről a Távoli felhasználói felület használatával.
A vezérlőpulton válassza ki a [Főképernyő] [Menü] elemét, majd válassza a [Beállítások] lehetőséget a beállítások konfigurálásához. A vezérlőpult csak az IPSec engedélyezéséhez vagy letiltásához használható. [IPSec használata]
Rendszergazdai jogosultság szükséges. A beállítások alkalmazásához újra kell indítania a készüléket.
Szükséges előkészületek
Csatlakoztassa a készülék közvetlenül a számítógéphez a készülék virtuális magánhálózatával (VPN) megegyező hálózaton. Ellenőrizze a használati feltételeket, és végezze el előre a beállításokat a számítógépen. IPSec
Készítse elő a következőket az IKE hitelesítési módnak megfelelően:
Az előre megosztott kulcsos mód használata esetén engedélyezze a TLS-t a Távoli felhasználói felülettel való kommunikációhoz. TLS használata
A digitális aláírásra épülő mód használata esetén készítse elő a használandó kulcsot és tanúsítványt. Kulcs és tanúsítvány kezelése és ellenőrzése
PFS használatakor ellenőrizze, hogy a PFS engedélyezve van-e a kommunikációs eszközön.
1
Jelentkezzen be a Távoli felhasználói felületre rendszerkezelői módban. A Távoli felhasználói felület elindítása
2
A Távoli felhasználói felület Portál oldalán kattintson a [Beállítások/Bejegyzés] elemre. A Távoli felhasználói felület Portál oldala
3
Kattintson a [Hálózati beállítások] [IPSec-beállítások] [Szerkesztés] lehetőségre.
Megjelenik a [IPSec-beállítások szerkesztése] képernyő.
4
Válassza ki a [IPSec használata] jelölőnégyzetet, és kattintson az [OK] gombra.
Ha csak a házirendnek megfelelő csomagokat szeretne fogadni, törölje a [Házirendnek meg nem felelő csomag vétele] jelölőnégyzet kijelölését.
5
Kattintson az [Új házirend bejegyzése] lehetőségre.
Megjelenik a [Új IPSec-házirend bejegyzése] képernyő.
6
A [Házirendbeállítások] pontnál adja meg a házirend nevét, és jelölje be a [Házirend engedélyezése] jelölőnégyzetet.
A házirend neveként adjon meg egy, a házirend azonosítására szolgáló nevet egybájtos alfanumerikus karakterek használatával.
7
A [Választó beállításai] résznél állítsa be a választót.
[Helyi cím beállításai]
Válassza ki a készülék IP-címének típusát, amelyre alkalmazni szeretné a házirendet.
Ha minden IP-csomagra IPSec protokollt szeretne alkalmazni, válassza a [Minden IP-cím] lehetőséget.
Ha az IPv4- vagy IPv6-címről küldött és fogadott IP-csomagokra szeretne IPSec protokollt alkalmazni, válassza az [IPv4-cím] vagy az [IPv6-cím] lehetőséget.
[Távoli cím beállításai]
Válassza ki a kommunikációs eszköz IP-címének típusát, amelyre alkalmazni szeretné a házirendet.
Ha minden IP-csomagra IPSec protokollt szeretne alkalmazni, válassza a [Minden IP-cím] lehetőséget.
Ha az IPv4- vagy IPv6-címről küldött és fogadott IP-csomagokra szeretne IPSec protokollt alkalmazni, válassza az [Minden IPv4-cím] vagy az [Minden IPv6-cím] lehetőséget.
Ha meg szeretne adni egy IPv4- vagy IPv6-címet, amelyre az IPSec protokollt alkalmazni szeretné, válassza az [IPv4 kézi beállításai] vagy [IPv6 kézi beállításai] lehetőséget.
[Kézzel beállítandó címek]
Az [IPv4 kézi beállításai] vagy az [IPv6 kézi beállításai] kiválasztásakor adja meg az IP-címet. Kötőjel (-) használatával IP-címek tartományát is megadhatja.
Példa:
Egy IPv4-cím
192.168.0.10
Egy IPv6-cím
fe80::10
Tartomány megadása
192.168.0.10-192.168.0.20
[Alhálózat beállításai]
Ha az [IPv4 kézi beállításai] lehetőséget választja, akkor alhálózati maszkot használhat az IPv4-címek tartományának megadásához.
Példa:
255.255.255.240
[Előtag hossza]
Ha az [IPv6 kézi beállításai] lehetőséget választja, akkor előtaghosszt használhat az IPv6-címek tartományának megadásához. 0 és 128 közötti előtaghosszúságot adjon meg.
[Port beállításai]
A készüléken a [Helyi port] beállításnál, a kommunikációs eszközön pedig a [Távoli port] beállításnál adja meg azt a portot, amelyre az IPSec protokollt alkalmazni szeretné.
Ha minden portszámra IPSec protokollt szeretne alkalmazni, válassza a [Minden port] lehetőséget.
Ha egy meghatározott protokollra, például HTTP-re vagy WSD-re szeretne IPSec-et alkalmazni, akkor válassza az [Egyetlen port] lehetőséget, és adja meg a protokoll portszámát.
8
Az [IKE-beállítások] pontban állítsa be az IKE-módot.
[IKE mód]
A készülék csak a fő módot támogatja.
[Hitelesítési mód]
Válassza ki a készülék hitelesítési módját.
Ha az [Előre megosztott kulcsos mód] lehetőséget választotta, kattintson a [Megosztott kulcs beállításai] lehetőségre egybájtos alfanumerikus karakterekkel adja meg a megosztott kulcsként használandó karakterláncot kattintson az [OK] gombra.
Ha a [Digitális aláírás mód] lehetőséget választotta, kattintson a [Kulcs és tanúsítvány] [Alapértelmezett kulcs bejegyzése] lehetőségre a használandó kulcs és tanúsítvány jobb oldalán.
[Érvényesség]
Adja meg percekben, hogy a készülék mennyi ideig használja az IKE SA-t (ISAKMP SA) vezérlőkommunikációs útvonalként.
[Hitelesítési/titkosítási algoritmus]
Válassza ki a kulcscseréhez használni kívánt algoritmust.
9
Konfigurálja az IPSec hálózati beállításokat az [IPSec hálózati beállítások] menüpontban.
[PFS használata]
Ezt a jelölőnégyzetet kiválasztva munkamenetkulcsként konfigurálhatja a PFS-t.
[Érvényesség]
Adja meg idő, méret vagy mindkettő szerint, hogy a készülék mennyi ideig használja az IPSec SA-t adatkommunikációs útvonalként.
Ha a [Megadás idővel] jelölőnégyzetet választja, akkor percekben adja meg az érvényes időszakot.
Ha a [Megadás mérettel] jelölőnégyzetet választja, akkor megabájtokban adja meg az érvényes időszakot.
Ha mindkét lehetőség ki van választva, akkor a készülék azt az elemet fogja alkalmazni, amely előbb éri a megadott értéket.
[Hitelesítési/titkosítási algoritmus]
Jelölje ki ezt a jelölőnégyzetet a használandó IPSec-fejlécnek (ESP és AH) és az algoritmusnak megfelelően.
[ESP-hitelesítés]
Ha az [ESP] lehetőséget választja, válassza ki a hitesítési algoritmust. ESP-hitelesítéshez válasza az [SHA1] lehetőséget. Ellenkező esetben válassza a [Ne használja] lehetőséget.
[ESP-titkosítás]
Ha az [ESP] lehetőséget választja, válassza ki a titkosítási algoritmust. Ha nem szeretné megadni az algoritmust, válassza a [NULL] lehetőséget. A titkosítás letiltásához válassza a [Ne használja] lehetőséget.
[Csatlakozási mód]
A készülék csak a szállítási módot támogatja.
10
Kattintson az [OK] lehetőségre.
Az újonnan regisztrált házirend ezzel felvételre kerül az [IPSec-beállítások] képernyő [Bejegyzett IPSec-házirendek] részén.
Több házirend regisztrálása esetén
A prioritás beállításához kattintson a házirend nevétől jobbra található [Fel] vagy [Le] elemre. A magasabb prioritású házirendek elsőbbséget élveznek az IPSec-kommunikációra való alkalmazáskor.
11
Indítsa újra a készüléket. A készülék újraindítása
A beállítások ezzel érvénybe léptek.
A regisztrált házirendek szerkesztése
A bejegyzett adatok szerkesztéséhez kattintson a szerkeszteni kívánt házirend nevére az [IPSec-beállítások] képernyő [Bejegyzett IPSec-házirendek] részén.
9RXS-083