文档编号: AJKS-1L1
使用 IP安全协议 (IPSec) 可防止在 IP 网络上发送和接收的 IP 数据包遭到窃听和篡改。这样可以在不依赖应用程序或网络配置的情况下,执行 IP 协议加密以确保安全。
不适用 IPSec 的数据包
指定环回、多播或广播地址的数据包
从 UDP 端口 500 发送的 IKE 数据包
ICMPv6 邻居请求和邻居播发数据包
密钥交换通信协议的操作模式(IKE 模式)
机器支持的 IKE 模式是主模式,用于加密数据包,以及不加密的挑战模式。
IPSec 通信模式
机器支持的通信模式仅为传输模式,只加密除 IP 标头外的部分。不支持对整个 IP 数据包进行加密的隧道模式。
符合 FIPS 140
为确保 IPSec 通信符合 FIPS 140,在本机所属的网络环境中,需要将 IPSec 通信的 DH 和 RSA 密钥长度设置为 2048 bit 或更长。
* 您只能为机器上的 DH 密钥指定密钥长度。机器上的 RSA 密钥没有设置,因此在构建环境时要考虑到这一点。
与 IP 地址筛选一起使用 IPSec
发送数据包时,将首先应用 IP 地址筛选器。
设置防火墙 接收数据包时,首先应用 IPSec 设置。
要在机器上执行 IPSec 通信,必须创建一个 IPSec 策略,其中包括用于认证和加密的适用范围与算法。该策略主要由以下几项组成:
选择器
指定应用 IPSec 通信的 IP 数据包。除了指定机器和通信设备的 IP 地址外,还可以指定它们的端口号。
密钥交换通信协议的操作模式(IKE 模式)
密钥交换协议支持互联网密钥交换协议版本 1 (IKEv1)。对于认证方法,选择预共享密钥方法或数字签名方法。
预共享密钥方法:
数字签名方法
* 您需要对设置进行配置,以启用 SNTP 的使用。
ESP/AH
配置用于 IPSec 通信的 ESP 或 AH 协议设置。使用完美前向保密 (PFS) 可实现更高的安全性。
启用 IPSec,然后创建并注册一个 IPSec 策略。如果创建了多个策略,请指定应用这些策略的顺序。最多可创建 10 个策略。
本节介绍如何在计算机中使用远程用户界面配置设置。
在控制面板上,选择 [主页] 屏幕或其他屏幕中的 [
设置/注册],然后选择 [参数选择] 以配置设置。
[IPSec设置] 需要管理员或网络管理员权限。
需要进行的准备
将机器直接连接到与机器相同的虚拟专用网络 (VPN) 上的计算机。确认操作条件,预先在计算机上完成设置。
IPSec 根据 IKE 验证方法做好以下准备:
使用预共享密钥方法时,对远程用户界面通信启用 TLS。
使用 TLS 使用数字签名方法时,请准备要使用的密钥和证书,并配置设置以启用 SNTP 的使用。
使用 PDS 时,确认已在通信设备上启用 PFS。
1
2
在远程用户界面的门户页面上,单击 [设置/注册]。
远程用户界面门户页面 3
单击 [网络设置]。
显示网络设置屏幕。
4
单击 [IPSec设置]。
随即显示 [IPSec设置] 屏幕。
5
选中 [使用IPSec] 复选框。
要只接收符合策略的数据包,请在 [接收非策略数据包] 中选择 [拒绝]。
6
单击 [确定]。
再次显示网络设置屏幕。
7
单击 [IPSec策略列表]。
随即显示 [IPSec策略列表] 屏幕。
8
单击 [注册新IPSec策略]。
随即显示 [注册策略] 屏幕。
9
指定策略名称,并选择[策略打开/关闭] 中的 [打开]。
对于策略名称,请使用字母数字字符输入用于识别策略的名称。
10
根据需要限制 AES 密钥长度。
要将 AES 密钥长度限制为 256 bit,例如要满足 CC 认证标准时,请选择 [仅允许AES密钥长度为256-bit] 复选框。
* 佳能多功能打印机支持两种密钥长度的 AES 加密方法: 128 bit 和 256 bit。
11
设置选择器。
1
单击 [选择器设置]。
随即显示 [选择器] 屏幕。
2
[本地地址设置] 和 [远程地址设置]
设置应用 IPSec 通信的 IP 地址。在 [本地地址设置] 中指定机器的 IP 地址,在 [远程地址设置] 中指定通信设备的 IP 地址。
[全部IP地址]
选择此项可将 IPSec 应用于所有 IP 数据包。
[IPv4地址] 或 [全部IPv4地址]
选择此项可将 IPSec 通信应用于使用 IPv4 地址发送和接收的 IP 数据包。
[IPv6地址] 或 [全部IPv6地址]
选择此项可将 IPSec 通信应用于使用 IPv6 地址发送和接收的 IP 数据包。
[IPv4手动设置]
选择此项可指定应用 IPSec 通信的 IPv4 地址。使用以下任一方法指定要应用设置的 IPv4 地址。
指定单个 IPv4 地址时
指定 IPv4 地址范围时
使用子网掩码指定 IPv4 地址范围时
[IPv6手动设置]
选择此项可指定要应用 IPSec 通信的 IPv6 地址。使用以下任一方法指定要应用设置的 IPv6 地址。
指定单个 IPv6 地址时
指定 IPv6 地址范围时
使用前缀指定 IPv6 地址范围时
[端口设置]
设置应用 IPSec 通信的端口。
[通过端口号指定]
选择此项可在指定 IPSec 通信所适用的端口时使用端口号。在 [本地端口] 中指定机器的端口号,在 [远程端口] 中指定通信设备的端口号。
要将 IPSec 通信应用于所有端口号,请选择 [全部端口]。
要将 IPSec 通信应用到特定端口号,请按 [单端口],然后输入端口号。
[通过服务名称指定]
选择此项可在指定适用 IPSec 通信的端口时使用服务名称。选择要应用 IPSec 通信的服务复选框。
3
单击 [确定]。
随即显示 [注册策略] 屏幕。
12
配置 IKE 设置。
1
单击 [IKE设置]。
随即显示 [IKE] 屏幕。
2
[IKE模式]
选择密钥交换协议的操作模式。选择[主要]时,由于 IKE 会话本身被加密,因此安全性会提高,但通信速度会比不进行加密的 [挑战]慢。
[有效期]
输入用作控制通信路径的 IKE SA (ISAKMP SA) 的有效期间(以分钟为单位)。
[认证方法]
选择机器的验证方法。
如果选择 [预共享密钥方法],请单击 [共享密钥设置]
,使用字母数字字符输入字符串作为共享密钥
,单击 [确定]。
如果选择 [数字签名方法],请单击要使用的密钥和证书的 [密钥和证书]
[使用]。
[认证/加密算法]
配置 IKE 第一阶段的认证和加密算法。
要自动设置本机和通信设备均可使用的算法,请选择 [自动]。
要指定特定算法,请选择 [手动设置],并配置 [认证],[加密] 和 [DH组] 设置。
[认证]:选择哈希算法。
[加密]:选择加密算法。
[DH组]:选择用于确定密钥强度的 Diffie-Hellman 组。
当[IKE模式] 设置为 [主要]且 [认证方法]设置为[预共享密钥方法]时
如果在选择器设置中的 [远程地址设置] 中指定多个地址,创建多个策略时会受到以下限制:
对于指定了多个地址的策略,所有共享密钥必须设置为相同的字符串。
指定了一个以上地址的策略不能设置为比指定了一个地址的策略更高的优先级。
3
单击 [确定]。
随即再次显示 [注册策略] 屏幕。
13
配置 IPSec 网络设置。
1
单击 [IPSec网络设置]。
随即显示 [IPSec网络] 屏幕。
2
[有效期]
按时间和/或大小输入用作数据通信路径的 IPSec SA 的有效期间。
如果选择 [时间] 复选框,请输入有效期间(以分钟为单位)。
如果选择 [大小] 复选框,请输入有效期间(以兆字节为单位)。
如果同时选择两个复选框,将应用最先到达指定值的项目。
[PFS]
选中此复选框以配置会话密钥的 PFS。
[认证/加密算法]
设置 IKE 第二阶段的认证和加密算法。
要自动设置 ESP 认证和加密算法,请选择 [自动]。
要指定特定的认证方法,请选择 [手动设置],然后从以下认证方法中选择一种。
[ESP]:
[ESP (AES-GCM)]:
[AH (SHA1)]:
[连接模式]
机器仅支持传输模式。
3
单击 [确定]。
随即再次显示 [注册策略] 屏幕。
14
单击 [确定]。
创建的策略将添加到 [IPSec策略列表]屏幕。
选择策略,然后单击 [提高优先级] 或 [降低优先级] 更改优先级顺序。应用于 IPSec 通信时,级别较高的策略具有优先级。
15
单击 [应用设置更改]
[确定]。
将应用设置。
16
从远程用户界面注销。
注释
编辑已注册的策略
要编辑已注册的信息,请单击 [IPSec策略列表] 屏幕上要编辑的策略名称。
imageFORCE C7165
用户指南 (产品手册)
USRMA-9072-01 2025-03 Copyright CANON INC. 2025 
,使用字母数字字符输入字符串作为共享密钥
设置/注册],然后选择 [参数选择] 以配置设置。