Использование IPSec
Протокол IPSec используется для предотвращения утечки данных и внесения изменений в пакеты IP, отправляемые и получаемые по сети IP. Он выполняет шифрование на уровне протокола IP с целью обеспечения безопасности без учета конфигурации приложений или сети.
Условия применения IPSec и поддерживаемые режимы
Пакеты, к которым не применяется IPSec
Пакеты, в которых указан кольцевой адрес, адрес многоадресной рассылки или широковещательный адрес
Пакеты IKE, отправляемые из порта UDP 500
Пакеты опроса соседа и объявления соседа ICMPv6
Режим работы протокола обмена ключами (режим IKE)
Режим IKE, поддерживаемый аппаратом, является единственным основным режимом, который служит для шифрования пакетов. Агрессивный режим без шифрования не поддерживается.
Режим обмена данными
Единственным режимом обмена данными, который поддерживает аппарат, является транспортный режим, в котором шифруется только часть без заголовка IP. Туннельный режим, в котором шифруется весь пакет IP, не поддерживается.
Использование IPSec совместно с фильтрацией по IP-адресам
Сначала применяются настройки фильтра по IP-адресам. Настройка брандмауэра
Настройка политики IPSec
Для того чтобы аппарат выполнял обмен данными с шифрованием IPSec, необходимо создать политику IPSec и указать в ней соответствующий диапазон и алгоритмы для проверки подлинности и шифрования. Основными составляющими политики являются следующие элементы.
Селектор
Укажите, к каким пакетам IP будет применяться IPSec. Помимо задания IP-адресов аппарата и устройств, которые обмениваются с ним данными, также можно указать номера их портов.
IKE
Протокол обмена ключами поддерживает протокол IKEv1. В качестве способа проверки подлинности выберите метод предварительного обмена ключами или метод цифровой подписи.
Метод предварительного обмена ключами
В этом способе проверки подлинности для обмена данными между машиной и другими устройствами используется общее ключевое слово, которое называется общим ключом.
В этом способе проверки подлинности для обмена данными между машиной и другими устройствами используется общее ключевое слово, которое называется общим ключом.
Метод цифровой подписи
Аппарат и другие устройства подтверждают подлинность друг друга путем проверки цифровых подписей друг друга, выполняемой вручную.
Аппарат и другие устройства подтверждают подлинность друг друга путем проверки цифровых подписей друг друга, выполняемой вручную.
ESP/AH
Задайте настройки для ESP/AH, протокола, который используется для обмена данными с применением IPSec. ESP и AH можно использовать одновременно. Для еще более высокой безопасности можно применить PFS.
Настройка IPSec
Включите IPSec, а затем создайте и зарегистрируйте политику IPSec. Если будет создано несколько политик, нужно будет указать порядок их применения.
В этом разделе приведено описание процедуры настройки параметров с помощью удаленного интерфейса пользователя на компьютере.
На панели управления выберите [Меню] на экране [Главный], затем выберите [Настройки] для настройки параметров. Однако с помощью панели управления можно только включать или отключать IPsec. [Использовать IPSec]
Необходимы полномочия администратора. Для применения этих параметров требуется перезапуск аппарата.
На панели управления выберите [Меню] на экране [Главный], затем выберите [Настройки] для настройки параметров. Однако с помощью панели управления можно только включать или отключать IPsec. [Использовать IPSec]
Необходимы полномочия администратора. Для применения этих параметров требуется перезапуск аппарата.
Необходимая подготовка |
Подключите аппарат непосредственно к компьютеру, который находится в одной виртуальной частной сети (VPN) с ним. Заранее проверьте условия эксплуатации и выполните настройку на компьютере. IPSec С учетом выбранного способ проверки подлинности IKE подготовьте следующее: При использовании метода общего ключа включите TLS для обмена данными с удаленным ИП. Использование TLS При использовании метода цифровой подписи, подготовьте ключ и сертификат. Проверка ключа и сертификата, а также управление ими При использовании PFS удостоверьтесь, что свойство PFS включено на устройстве, с которым ведется обмен данными. |
1
Войдите в удаленный интерфейс пользователя в режиме администратора системы. Запуск удаленного ИП
2
На странице портала удаленного интерфейса пользователя щелкните [Настройки/Регистрация]. Страница портала удаленного ИП
3
Щелкните [Настройки сети] 
[Параметры IPSec] [Изменить].
[Параметры IPSec] [Изменить].Отображается экран [Изменить параметры IPSec].
4
Выберите флажок [Использовать IPSec] и нажмите [OK].
Чтобы получать только пакеты, которые соответствуют политике, снимите флажок [Прием пакетов вне политики].
5
Щелкните [Регистрировать новую политику].
Отображается экран [Регистрировать новую политику IPSec].
6
Введите название политики в [Параметры политики] и установите флажок [Включить политику].
Для указания названия, обозначающего политику, необходимо использовать однобайтовые символы букв и цифр.
7
Задайте селектор в [Параметры селектора].
[Параметры локального адреса]
Выберите тип IP-адреса аппарата, к которому будет применяться политика.
Для того, чтобы применять IPSec ко всем пакетам IP, выберите [Все IP-адреса].
Для того чтобы применить IPSec к пакетам IP, отправляемым и получаемым с помощью адреса IPv4 или IPv6, выберите [IPv4-адрес] или [IPv6-адрес].
[Параметры удаленного адреса]
Выберите тип IP-адреса устройства, к которому будет применяться политика.
Для того, чтобы применять IPSec ко всем пакетам IP, выберите [Все IP-адреса].
Для того чтобы применить IPSec к пакетам IP, отправляемым и получаемым с помощью адреса IPv4 или IPv6, выберите [Все IPv4-адреса] или [Все IPv6-адреса].
Для того чтобы указать адрес IPv4 или Ipv6, которому будет применяться IPSec, выберите [Параметры IPv4, устанавливаемые вручную] или [Параметры IPv6, устанавливаемые вручную].
[Адреса для установки вручную]
Выбрав [Параметры IPv4, устанавливаемые вручную] или [Параметры IPv6, устанавливаемые вручную], введите IP-адрес. Также можно указать диапазон IP-адресов с помощью дефиса (-).
Пример:
Один адрес IPv4
192.168.0.10
192.168.0.10
Один адрес IPv6
fe80::10
fe80::10
Указание диапазона
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Параметры подсети]
Если выбран вариант [Параметры IPv4, устанавливаемые вручную], диапазон адресов IPv4 можно указать с помощью маски подсети.
Пример:
255.255.255.240
255.255.255.240
[Длина префикса]
Если выбран вариант [Параметры IPv6, устанавливаемые вручную], диапазон адресов IPv6 можно указать с помощью длины префикса. Введите длину префикса в диапазоне от 0 до 128.
[Параметры порта]
Укажите порт, к которому будет применяться IPSec, в поле [Локальный порт] на аппарате и в поле [Удаленный порт] на устройстве, обменивающимся с ним данными.
Для того чтобы применять IPSec ко всем номерам портов, выберите [Все порты].
Для того чтобы применить IPSec к определенному протоколу, например HTTP или WSD, выберите [Один порт] и введите номер порта протокола.
8
Задайте IKE в [Настройки IKE].
[Режим IKE]
Аппарат поддерживает только основной режим.
[Способ аутентификации]
Выберите способ проверки подлинности аппарата.
Если выбран вариант [Способ защищенного общего ключа], щелкните [Параметры общего ключа] , введите строку, которая будет использоваться в качестве общего ключа, из однобайтовых символов букв и цифр, после чего нажмите кнопку [OK].
, введите строку, которая будет использоваться в качестве общего ключа, из однобайтовых символов букв и цифр, после чего нажмите кнопку [OK].Если выбран вариант [Способ цифровой подписи], щелкните [Ключ и сертификат] [Зарегистрировать ключ по умолчанию] справа от используемых ключа и сертификата.
[Зарегистрировать ключ по умолчанию] справа от используемых ключа и сертификата.[Действие]
Введите период действия (в минутах) IKE SA (ISAKMP SA), который будет использоваться в качестве канала управления.
[Алгоритм аутентификации/шифрования]
Выберите алгоритм, который будет использоваться для обмена ключами.
9
В разделе [Параметры сети IPSec] задайте сетевые настройки IPSec.
[Использовать PFS]
Установите этот флажок, чтобы настроить PFS для ключа сеанса.
[Действие]
Укажите период действия (по времени, размеру или по обоим этим параметрам) IPSec SA, который будет использоваться в качестве канала обмена данными.
Установив флажок [Указать по времени], введите период действия в минутах.
Установив флажок [Указать по размеру], введите период в мегабайтах.
Если выбраны оба варианта, применяется элемент, заданное значение которого достигается первым.
[Алгоритм аутентификации/шифрования]
Установите этот флажок с учетом заголовка IPSec (ESP и AH), который будет использоваться, и его алгоритма.
[Аутентификация ESP]
Если выбран вариант [ESP], укажите алгоритм проверки подлинности. Для того чтобы выполнять проверку подлинности ESP, выберите [SHA1]. В ином случае выберите [Не использовать].
[Шифрование ESP]
Если выбран вариант [ESP], укажите алгоритм шифрования. Если вы не хотите задавать алгоритм, выберите [NULL]. Для того чтобы отключить шифрование, выберите [Не использовать].
[Режим соединения]
Аппарат поддерживает только транспортный режим.
10
Щелкните [OK].
Вновь зарегистрированная политика применяется к [Зарегистрированные политики IPSec] на экране [Параметры IPSec].
Когда зарегистрировано несколько политик
Щелкните [Вверх] или [Вниз] справа от названия политики, чтобы задать приоритет. Политики более высокого уровня применяются к обмену данными с использованием IPSec в приоритетном порядке.
11
Перезапустите аппарат. Перезапуск аппарата
Параметры будут применены.
 |
Изменение зарегистрированных политикЧтобы внести изменения в зарегистрированную информацию, щелкните название политики в списке [Зарегистрированные политики IPSec] на экране [Параметры IPSec]. |