Използване на IPSec
Използвайте протокол за защита на IP (IPSec), за да предотвратите подслушване и подправяне на IP пакети, изпратени и получени по IP мрежа. Това извършва шифроване на ниво IP протокол, за да гарантира сигурността, без да разчита на приложение или мрежова конфигурация.
Приложими условия и поддържани режими на IPSec
Пакети, при които IPSec не се прилага
Пакети, посочващи обръщане към себе си, мултикаст или адрес за излъчване
IKE пакети, изпратени от UDP порт 500
Пакети на ICMPv6 за Neighbor Solicitation и Neighbor Advertisement
Режим на работа на протокола за обмен на ключове (режим IKE)
Поддържаният от устройството режим IKE е само основният режим, който се използва за шифроване на пакети. Нешифроващият агресивен режим не се поддържа.
Режим на комуникация
Поддържаният от устройството режим на комуникация е само транспортният режим, който шифрова само частта, изключваща IP заглавката. Тунелен режим, който криптира целия IP пакет, не се поддържа.
Използване на IPSec заедно с филтриране на IP адреси
Първо се прилагат настройките на филтъра за IP адрес. Настройка на защитната стена
Конфигурация на правилата на IPSec
За да осъществите IPSec комуникация на устройството, трябва да създадете IPSec правило, което включва приложимия диапазон и алгоритми за удостоверяване и шифроване. Правилото се състои главно от следните елементи.
Свързан елемент за избор
Посочете кои IP пакети да прилагат IPSec комуникация. В допълнение към посочването на IP адреса на устройството и комуникационните устройства, можете да посочите и техните номера на портове.
IKE
Протоколът за обмен на ключове поддържа Internet Key Exchange версия 1 (IKEv1). За метода за удостоверяване изберете метода с предварително споделен ключ или метода на цифровия подпис.
Метод на предварително споделен ключ:
Този метод за удостоверяване използва обща ключова дума, наречена Споделен ключ, за комуникация между машината и други устройства.
Този метод за удостоверяване използва обща ключова дума, наречена Споделен ключ, за комуникация между машината и други устройства.
Метод с цифров подпис
Устройството и другите устройства се удостоверяват взаимно, като взаимно проверяват своите цифрови подписи.
Устройството и другите устройства се удостоверяват взаимно, като взаимно проверяват своите цифрови подписи.
ESP/AH
Посочете настройките за ESP/AH, който е протокол, използван за IPSec комуникация. ESP и AH могат да се използват едновременно. Използвайте Perfect Forward Secrecy (PFS) за още по-голяма сигурност.
Настройване на IPSec
Активирайте използването на IPSec и след това създайте и регистрирайте политиката на IPSec. Ако са създадени няколко правила, посочете реда, в който се прилагат.
Този раздел описва как да конфигурирате настройките с помощта на Отдалечен ПИ от компютър.
На контролния панел изберете [Меню] от екрана [Начало], след това изберете [Предпочитания], за да конфигурирате настройките. Контролният панел обаче може да се използва само за активиране или деактивиране на IPSec. [Използване на IPSec]
Изискват се администраторски права. За да приложите настройките, устройството трябва да се рестартира.
На контролния панел изберете [Меню] от екрана [Начало], след това изберете [Предпочитания], за да конфигурирате настройките. Контролният панел обаче може да се използва само за активиране или деактивиране на IPSec. [Използване на IPSec]
Изискват се администраторски права. За да приложите настройките, устройството трябва да се рестартира.
Необходима подготовка |
Свържете устройството директно към компютър в същата виртуална частна мрежа (VPN) като устройството. Потвърдете условията на работа и завършете настройките на компютъра предварително. IPSec Подгответе следното според метода за удостоверяване на IKE: Когато използвате метода на предварително споделен ключ, активирайте TLS за комуникация с Отдалечен ПИ. Използване на TLS Когато използвате метода на цифровия подпис, подгответе ключа и сертификата за използване. Управление и проверка на ключа и сертификата Когато използвате PFS, проверете дали PFS е активиран на комуникационното устройство. |
1
Влезте в Отдалечения ПИ в режим Системен мениджър. Стартиране на Отдалечен ПИ
2
На страницата Портал на Отдалечения ПИ щракнете върху [Settings/Registration]. Страницата Портал на Отдалечения ПИ
3
Щракнете върху [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Извежда се екранът [Edit IPSec Settings].
4
Изберете квадратчето за отметка [Use IPSec] и щракнете върху [OK].
За да получавате само пакети, които отговарят на правилата, изчистете квадратчето за отметка [Receive Non-Policy Packets].
5
Щракнете върху [Register New Policy].
Извежда се екранът [Register New IPSec Policy].
6
В [Policy Settings] въведете името на правилото и поставете отметка в квадратчето [Enable Policy].
За името на правилото въведете име, за да го идентифицирате, използвайки еднобайтови буквено-цифрови знаци.
7
В [Selector Settings] задайте свързания елемент за избор.
[Local Address Settings]
Изберете типа IP адрес на устройството, към което се прилага правилото.
За да приложите IPSec към всички IP пакети, изберете [All IP Addresses].
За да приложите IPSec към IP пакети, изпратени и получени чрез IPv4 или IPv6 адрес, изберете [IPv4 Address] или [IPv6 Address].
[Remote Address Settings]
Изберете типа IP адрес на комуникационното устройство, към което се прилага правилото.
За да приложите IPSec към всички IP пакети, изберете [All IP Addresses].
За да приложите IPSec към IP пакети, изпратени и получени чрез IPv4 или IPv6 адрес, изберете [All IPv4 Addresses] или [All IPv6 Addresses].
За да посочите IPv4 или IPv6 адрес, към който се прилага IPSec, изберете [IPv4 Manual Settings] или [IPv6 Manual Settings].
[Addresses to Set Manually]
Когато изберете [IPv4 Manual Settings] или [IPv6 Manual Settings], въведете IP адреса. Можете също така да зададете диапазон от IP адреси, като използвате тире (-).
Пример за въвеждане:
Един IPv4 адрес
192.168.0.10
192.168.0.10
Един IPv6 адрес
fe80::10
fe80::10
Спецификация на обхвата
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Когато е избрано [IPv4 Manual Settings], можете да използвате подмрежова маска, за да зададете обхвата на IPv4 адресите.
Пример за въвеждане:
255.255.255.240
255.255.255.240
[Prefix Length]
Когато е избрано [IPv6 Manual Settings], можете да използвате дължина на префикс, за да зададете диапазона от IPv6 адреси. Въведете дължината на префикса с обхват от 0 до 128.
[Port Settings]
Задайте порта, към който се прилага IPSec [Local Port] на устройството и [Remote Port] на комуникационното устройство.
За да приложите IPSec към всички номера на портове, изберете [All Ports].
За да приложите IPSec към конкретен протокол като HTTP или WSD, изберете [Single Port] и въведете номера на порта на протокола.
8
В [IKE Settings] задайте IKE.
[IKE Mode]
Устройството поддържа само основния режим.
[Authentication Method]
Изберете метода за удостоверяване на устройството.
Когато изберете [Pre-Shared Key Method], щракнете върху [Shared Key Settings] , въведете низа, който да се използва като споделен ключ, като използвате еднобайтови буквено-цифрови знаци, щракнете върху [OK].
, въведете низа, който да се използва като споделен ключ, като използвате еднобайтови буквено-цифрови знаци, щракнете върху [OK].Когато изберете [Digital Signature Method], щракнете върху [Key and Certificate] [Register Default Key] вдясно от ключа и сертификата за използване.
[Register Default Key] вдясно от ключа и сертификата за използване.[Validity]
Въведете валидния период на IKE SA (ISAKMP SA), който да се използва като контролен комуникационен път в минути.
[Authentication/Encryption Algorithm]
Изберете алгоритъма, който да използвате за размяна на ключове.
9
В [IPSec Network Settings] конфигурирайте мрежовите настройки на IPSec.
[Use PFS]
Поставете отметка в това квадратче, за да конфигурирате PFS за ключа на сесията.
[Validity]
Посочете валидния период на IPSec SA, който да се използва като път за комуникация на данни по време, размер или и двете.
Когато е поставена отметка в квадратчето [Specify by Time], въведете валидния период в минути.
Когато е поставена отметка в квадратчето [Specify by Size], въведете валидния период в мегабайти.
Когато са избрани и двете, се прилага елементът, чиято зададена стойност е достигната първа.
[Authentication/Encryption Algorithm]
Поставете отметка в това квадратче според заглавката IPSec (ESP и AH), която ще се използва, и нейния алгоритъм.
[ESP Authentication]
Когато е избрано [ESP], изберете алгоритъма за удостоверяване. За да извършите ESP удостоверяване, изберете [SHA1]. В противен случай изберете [Do Not Use].
[ESP Encryption]
Когато е избрано [ESP], изберете алгоритъма за шифроване. Ако не искате да посочвате алгоритъма, изберете [NULL]. За да деактивирате шифроването, изберете [Do Not Use].
[Connection Mode]
Устройството поддържа само транспортния режим.
10
Щракнете върху [OK].
Новорегистрираното правило се добавя към [Registered IPSec Policies] на екрана [IPSec Settings].
Когато са регистрирани няколко правила
Щракнете върху [Up] или [Down] вдясно от името на правилото, за да зададете приоритета. Правилата от по-високо ниво имат приоритет при прилагането на IPSec комуникация.
11
Рестартирайте устройството. Рестартиране на устройството
Настройките се прилагат.
 |
Редактиране на регистрирани правилаЗа да редактирате регистрираната информация, щракнете върху името на правилото, което искате да редактирате в [Registered IPSec Policies] на екрана [IPSec Settings]. |