„IPSec“ naudojimas
Kad apsisaugotumėte nuo IP tinklu siunčiamų ir gaunamų IP paketų slapto pasiklausymo ir neteisėto keitimo, naudokite IP saugumo protokolą („IPSec“). Jį naudojant šifruojama IP protokolo lygmeniu, todėl užtikrinama sauga ir nereikia pasikliauti taikomąja programa arba tinklo konfigūracija.
„IPSec“ taikomos sąlygos ir palaikomi režimai
Paketai, kuriems „IPSec“ netaikomas
Paketai, kuriuose nurodomi kilpinės jungties, sudėtiniai arba platinimo adresai
IKE paketai, siunčiami iš UDP 500 prievado
ICMPv6 kaimyno prašymo ir kaimyno reklamos paketai
Raktų mainų protokolo veikimo režimas (IKE režimas)
Aparato palaikomas IKE režimas yra tik pagrindinis režimas, naudojamas paketams šifruoti. Nešifruotas agresyvusis režimas nepalaikomas.
Ryšio režimas
Aparato palaikomas ryšio režimas yra tik transportavimo režimas, kuriuo šifruojama tik dalis be IP antraštės. Tunelinis režimas, kuriuo šifruojamas visas IP paketas, nepalaikomas.
„IPSec“ naudojimas su IP adresų filtru
IP adresų filtro parametrai taikomi pirma. Užkardos nustatymas
„IPSec“ taisyklių konfigūravimas
Kad aparate veiktų „IPSec“ ryšys, turite sukurti „IPSec“ taisyklę, apimančią taikomą diapazoną ir autentifikavimo bei šifravimo algoritmus. Taisyklė iš esmės sudaryta iš toliau nurodytų elementų.
Išrinkiklis
Nurodoma, kuriems IP paketams taikomas „IPSec“ ryšys. Be aparato ir ryšio įrenginių IP adresų taip pat galite nurodyti jų prievadų numerius.
IKE
Raktų mainų protokolas palaiko interneto raktų mainų 1 versiją (IKEv1). Kaip autentifikavimo metodą pasirinkite iš anksto bendrinamo rakto arba skaitmeninio parašo metodą.
Iš anksto bendrinamo rakto metodas
Pagal šį autentifikavimo metodą ryšiui tarp aparto ir kitų įrenginių naudojamas bendras raktinis žodis, vadinamas bendrai naudojamu raktu.
Pagal šį autentifikavimo metodą ryšiui tarp aparto ir kitų įrenginių naudojamas bendras raktinis žodis, vadinamas bendrai naudojamu raktu.
Skaitmeninio parašo metodas
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus.
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus.
ESP / AH
Nurodykite ESP/AH, kuris yra „IPSec“ ryšiui naudojamas protokolas, parametrus. ESP ir AH galima naudoti vienu metu. Kad užtikrintumėte dar geresnį saugumą, naudokite „Perfect Forward Secrecy“ (PFS).
„IPSec“ nustatymas
Įjunkite „IPSec“ naudojimą, tada sukurkite ir užregistruokite „IPSec“ taisyklę. Jeigu sukurtos kelios taisyklės, nurodykite jų taikymo eilės tvarką.
Šiame skyriuje aprašoma, kaip sukonfigūruoti parametrus per „Remote UI“ (Nuotolinė naudotojo sąsaja) iš kompiuterio.
Valdymo skydelyje pasirinkite [Meniu] ekrane [Pagrindinis], tuomet, kad konfigūruotumėte parametrus, pasirinkite [Nuostatos]. Vis dėlto valdymo skydelį galima naudoti tik „IPSec“ įjungti arba išjungti. [Naudoti IPSec]
Reikalingos administratoriaus teisės. Kad būtų pritaikyti parametrai, aparatą reikia paleisti iš naujo.
Valdymo skydelyje pasirinkite [Meniu] ekrane [Pagrindinis], tuomet, kad konfigūruotumėte parametrus, pasirinkite [Nuostatos]. Vis dėlto valdymo skydelį galima naudoti tik „IPSec“ įjungti arba išjungti. [Naudoti IPSec]
Reikalingos administratoriaus teisės. Kad būtų pritaikyti parametrai, aparatą reikia paleisti iš naujo.
|
Reikalingas pasiruošimas
|
|
Aparatą prijunkite tiesiai prie tame pačiame virtualiajame privačiame tinkle (VPN) esančio kompiuterio. Kompiuteryje iš anksto patvirtinkite veikimo sąlygas ir baikite nustatyti parametrus. IPSec
Pagal į IKE autentifikavimo metodą atlikite toliau nurodytus paruošiamuosius veiksmus.
Kai taikomas iš anksto bendrinamo rakto metodas, įjunkite TLS nuotolinio vartotojo sąsajos ryšiui. TLS naudojimas
Kai taikomas skaitmeninio parašo metodas, paruoškite raktą ir sertifikatą, kurį norite naudoti. Rakto ir sertifikato tvarkymas ir tikrinimas
Kai naudojamas PFS, patikrinkite, ar ryšio įrenginyje įjungtas PFS.
|
1
Sistemos administratoriaus režimu prisijunkite prie Nuotolinio vartotojo sąsajos. Priemonės „Remote UI“ (Nuotolinė naudotojo sąsaja) paleidimas
2
Nuotolinio vartotojo sąsajos portalo puslapyje spustelėkite [Settings/Registration]. Nuotolinio vartotojo sąsajos portalo puslapis
3
Spustelėkite [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Rodomas ekranas [Edit IPSec Settings].
4
Pasirinkite žymės langelį [Use IPSec] ir spustelėkite [OK].
Norėdami gauti tik taisyklę atitinkančius paketus, panaikinkite žymės langelio [Receive Non-Policy Packets] žymėjimą.
5
Spustelėkite [Register New Policy].
Rodomas ekranas [Register New IPSec Policy].
6
Srityje [Policy Settings] įveskite taisyklės pavadinimą ir pažymėkite žymės langelį [Enable Policy].
Įveskite taisyklės pavadinimą taisyklei identifikuoti naudodami vieno baito raidinius ir skaitinius simbolius.
7
Skiltyje [Selector Settings] nustatykite selektorių.
[Local Address Settings]
Pasirinkite aparatui, kuriam taikoma taisyklė, IP adreso tipą.
Kad pritaikytumėte „IPSec“ visiems IP paketams, pasirinkite [All IP Addresses].
Norėdami taikyti „IPSec“ IP paketams, siunčiamiems ir gaunamiems naudojant IPv4 arba IPv6 adresą, pasirinkite [IPv4 Address] arba [IPv6 Address].
[Remote Address Settings]
Pasirinkite ryšio įrenginio, kuriam taikoma taisyklė, IP adreso tipą.
Kad pritaikytumėte „IPSec“ visiems IP paketams, pasirinkite [All IP Addresses].
Norėdami taikyti „IPSec“ IP paketams, siunčiamiems ir gaunamiems naudojant IPv4 arba IPv6 adresą, pasirinkite [All IPv4 Addresses] arba [All IPv6 Addresses].
Kad nurodytumėte IPv4 arba IPv6 adresą, kuriam taikomas „IPSec“, pasirinkite [IPv4 Manual Settings] arba [IPv6 Manual Settings].
[Addresses to Set Manually]
Pasirinkę [IPv4 Manual Settings] arba [IPv6 Manual Settings] įveskite IP adresą. Įvesdami brūkšnelį (-) taip pat galite nurodyti IP adresų diapazoną.
Įvesties pavyzdys:
Vienas IPv4 adresas
192.168.0.10
192.168.0.10
Vienas IPv6 adresas
fe80::10
fe80::10
Diapazono nurodymas
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Kai pažymėta [IPv4 Manual Settings], galite naudoti potinklio šabloną IPv4 adresų diapazonui nurodyti.
Įvesties pavyzdys:
255.255.255.240
255.255.255.240
[Prefix Length]
Kai pažymėta [IPv6 Manual Settings], galite naudoti priešdėlio ilgį IPv6 adresų diapazonui nurodyti. Įveskite priešdėlio ilgį nuo 0 iki 128.
[Port Settings]
Aparato lauke [Local Port] ir ryšio įrenginio lauke [Remote Port] nustatykite prievadą, kuriam taikomas „IPSec“.
Kad pritaikytumėte „IPSec“ visiems prievadų numeriams, pasirinkite [All Ports].
Kad pritaikytumėte „IPSec“ tam tikram protokolui, pavyzdžiui, HTTP arba WSD, pasirinkite [Single Port] ir įveskite protokolo prievado numerį.
8
Parinktyje [IKE Settings] nustatykite IKE.
[IKE Mode]
Aparatas palaiko tik pagrindinį režimą.
[Authentication Method]
Pasirinkite aparato autentifikavimo metodą.
Kai pasirinkta [Pre-Shared Key Method] spustelėkite [Shared Key Settings] vieno baito raidiniais ir skaitiniais simboliais įveskite kaip bendrąjį raktą naudojamą eilutę spustelėkite [OK].
vieno baito raidiniais ir skaitiniais simboliais įveskite kaip bendrąjį raktą naudojamą eilutę spustelėkite [OK].Kai pasirinkta [Digital Signature Method], spustelėkite [Key and Certificate] [Register Default Key] naudotino rakto ir sertifikato dešinėje.
[Register Default Key] naudotino rakto ir sertifikato dešinėje.
[Validity]
Įveskite galiojantį IKE SA (ISAKMP SA) laikotarpį minutėmis, naudojamą kaip valdymo ryšio kelias.
[Authentication/Encryption Algorithm]
Pasirinkite algoritmą, kuris bus naudojamas raktų mainams.
9
Srityje [IPSec Network Settings] sukonfigūruokite „IPSec“ tinklo parametrus.
[Use PFS]
Pažymėkite šį žymės langelį, jei pageidaujate sukonfigūruoti PFS seanso raktui.
[Validity]
Nurodykite galiojantį „IPSec“ SA, naudojamą kaip duomenų ryšio kelias pagal laiką, dydį arba abu šiuos parametrus.
Kai pažymėtas žymės langelis [Specify by Time], įveskite galiojantį laikotarpį minutėmis.
Kai pažymėtas žymės langelis [Specify by Size], įveskite galiojantį laikotarpį megabaitais.
Kai pažymėtos abi parinktys, taikomas elementas, kurio nurodyta vertė pasiekiama pirmiau.
[Authentication/Encryption Algorithm]
Pažymėkite šį žymės langelį pagal naudosimą „IPSec“ antraštę (ESP ir AH) ir jos algoritmą.
[ESP Authentication]
Kai pasirinkta [ESP], pasirinkite autentifikavimo algoritmą. Kad atliktumėte ESP autentifikavimą, pasirinkite [SHA1]. Priešingu atveju pasirinkite [Do Not Use].
[ESP Encryption]
Kai pasirinkta [ESP], pasirinkite šifravimo algoritmą. Jeigu algoritmo nurodyti nenorite, pasirinkite [NULL]. Kad išjungtumėte šifravimą, pasirinkite [Do Not Use].
[Connection Mode]
Aparatas palaiko tik transportavimo režimą.
10
Spustelėkite [OK].
Naujai užregistruota taisyklė įtraukiama į [Registered IPSec Policies] ekrane [IPSec Settings].
Kai užregistruotos kelios taisyklės
Kad nustatytumėte pirmumą, į dešinę nuo taisyklės pavadinimo spustelėkite [Up] arba [Down]. Aukštesnio lygio taisyklėms teikiamas pirmumas, kai jos taikomos „IPSec“ ryšiui.
11
Iš naujo paleiskite aparatą. Aparato paleidimas iš naujo
Parametrai bus pritaikyti.
|
Užregistruotų taisyklių redagavimasNorėdami redaguoti užregistruotą informaciją, spustelėkite redaguotiną taisyklės pavadinimą srityje [Registered IPSec Policies], ekrane [IPSec Settings].
|