การกำหนดการตั้งค่า IPSec

โดยใช้ IPSec คุณสามารถป้องกันไม่ให้บุคคลที่สามดักฟังหรือแทรกแซงแพคเก็ต IP ที่รับส่งผ่านเครือข่าย IP ได้ เนื่องจาก IPSec เพิ่มฟังก์ชันการรักษาความปลอดภัยให้กับ IP ซึ่งเป็นชุดโปรโตคอลพื้นฐานที่ใช้สำหรับอินเทอร์เน็ต จึงสามารถให้การรักษาความปลอดภัยโดยไม่ขึ้นอยู่กับแอปพลิเคชันหรือการกำหนดค่าเครือข่าย หากต้องการทำการสื่อสาร IPSec กับเครื่องนี้ คุณต้องกำหนดการตั้งค่า เช่น พารามิเตอร์ของแอปพลิเคชันและอัลกอริทึมสำหรับการรับรองความถูกต้องและการเข้ารหัส ซึ่งคุณจำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อกำหนดการตั้งค่าเหล่านี้

การเปิดใช้งาน IPSec

การลงทะเบียนนโยบาย


โหมดสื่อสาร เครื่องนี้รองรับโหมดการรับส่งสำหรับการสื่อสาร IPSec เท่านั้น ด้วยเหตุนี้ การรับรองความถูกต้องและการเข้ารหัสจึงมีผลใช้งานกับส่วนข้อมูลของแพคเก็ต IP เท่านั้น โปรโตคอลการแลกเปลี่ยนคีย์ เครื่องนี้รองรับ Internet Key Exchange เวอร์ชัน 1 (IKEv1) สำหรับการแลกเปลี่ยนคีย์ตาม Internet Security Association และ Key Management Protocol (ISAKMP) สำหรับวิธีการรับรองความถูกต้อง ให้ตั้งค่าวิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกันหรือวิธีใช้ลายเซ็นดิจิทัล เมื่อตั้งค่าวิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกัน คุณต้องตัดสินใจเกี่ยวกับรหัสผ่าน (คีย์ที่กำหนดให้ใช้ร่วมกัน) ไว้ล่วงหน้า ซึ่งจะมีการใช้งานรหัสผ่านดังกล่าวระหว่างเครื่องและเครื่องที่มีการสื่อสารข้อมูลระหว่างกันด้วย IPSec เมื่อตั้งค่าวิธีการลงนามแบบดิจิทัล ให้ใช้ใบรับรอง CA รวมถึงคีย์และใบรับรองรูปแบบ PKCS#12 เพื่อดำเนินการในการรับรองความถูกต้องร่วมกันระหว่างเครื่องและเครื่องที่มีการสื่อสารข้อมูลระหว่างกันด้วย IPSec โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการลงทะเบียนใบรับรอง CA หรือคีย์/ใบรับรองใหม่ที่ การลงทะเบียนคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย โปรดทราบว่าคุณต้องกำหนดค่า SNTP สำหรับเครื่องก่อนที่เครื่องจะใช้วิธีนี้ การดำเนินการตั้งค่า SNTP

โหมดสื่อสาร

เครื่องนี้รองรับโหมดการรับส่งสำหรับการสื่อสาร IPSec เท่านั้น ด้วยเหตุนี้ การรับรองความถูกต้องและการเข้ารหัสจึงมีผลใช้งานกับส่วนข้อมูลของแพคเก็ต IP เท่านั้น

โปรโตคอลการแลกเปลี่ยนคีย์

เครื่องนี้รองรับ Internet Key Exchange เวอร์ชัน 1 (IKEv1) สำหรับการแลกเปลี่ยนคีย์ตาม Internet Security Association และ Key Management Protocol (ISAKMP) สำหรับวิธีการรับรองความถูกต้อง ให้ตั้งค่าวิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกันหรือวิธีใช้ลายเซ็นดิจิทัล

เมื่อตั้งค่าวิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกัน คุณต้องตัดสินใจเกี่ยวกับรหัสผ่าน (คีย์ที่กำหนดให้ใช้ร่วมกัน) ไว้ล่วงหน้า ซึ่งจะมีการใช้งานรหัสผ่านดังกล่าวระหว่างเครื่องและเครื่องที่มีการสื่อสารข้อมูลระหว่างกันด้วย IPSec

เมื่อตั้งค่าวิธีการลงนามแบบดิจิทัล ให้ใช้ใบรับรอง CA รวมถึงคีย์และใบรับรองรูปแบบ PKCS#12 เพื่อดำเนินการในการรับรองความถูกต้องร่วมกันระหว่างเครื่องและเครื่องที่มีการสื่อสารข้อมูลระหว่างกันด้วย IPSec โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการลงทะเบียนใบรับรอง CA หรือคีย์/ใบรับรองใหม่ที่ การลงทะเบียนคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย โปรดทราบว่าคุณต้องกำหนดค่า SNTP สำหรับเครื่องก่อนที่เครื่องจะใช้วิธีนี้ การดำเนินการตั้งค่า SNTP


ระบบจะใช้โมดูลการเข้ารหัสที่ได้รับการรับรอง FIPS140-2 เรียบร้อยแล้ว โดยไม่คำนึงถึงการตั้งค่าของ [Format Encryption Method to FIPS 140-2] สำหรับการสื่อสาร IPSec เพื่อทำให้การสื่อสาร IPSec เป็นไปตาม FIPS 140-2 คุณต้องตั้งค่าความยาวคีย์ของทั้ง DH และ RSA สำหรับการสื่อสาร IPSec เป็น 2,048 บิตหรือยาวกว่านั้นในสภาพแวดล้อมเครือข่ายที่มีเครื่องอยู่ สามารถระบุได้เฉพาะความยาวคีย์สำหรับ DH จากเครื่อง จดบันทึกเมื่อกำหนดค่าสภาพแวดล้อมของคุณ เนื่องจากไม่มีการตั้งค่าสำหรับ RSA ในเครื่อง คุณสามารถลงทะเบียนนโยบายความปลอดภัยได้สูงสุด 10 รายการ

ระบบจะใช้โมดูลการเข้ารหัสที่ได้รับการรับรอง FIPS140-2 เรียบร้อยแล้ว โดยไม่คำนึงถึงการตั้งค่าของ [Format Encryption Method to FIPS 140-2] สำหรับการสื่อสาร IPSec

เพื่อทำให้การสื่อสาร IPSec เป็นไปตาม FIPS 140-2 คุณต้องตั้งค่าความยาวคีย์ของทั้ง DH และ RSA สำหรับการสื่อสาร IPSec เป็น 2,048 บิตหรือยาวกว่านั้นในสภาพแวดล้อมเครือข่ายที่มีเครื่องอยู่

สามารถระบุได้เฉพาะความยาวคีย์สำหรับ DH จากเครื่อง

จดบันทึกเมื่อกำหนดค่าสภาพแวดล้อมของคุณ เนื่องจากไม่มีการตั้งค่าสำหรับ RSA ในเครื่อง

คุณสามารถลงทะเบียนนโยบายความปลอดภัยได้สูงสุด 10 รายการ

การเปิดใช้งาน IPSec

เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล

คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล

คลิก [Network Settings]

[IPSec Settings]

เลือก [Use IPSec] และคลิก [OK]

หากต้องการรับเฉพาะแพคเก็ตที่สอดคล้องกับนโยบายความปลอดภัย ให้เลือก [Reject] สำหรับ [Receive Non-Policy Packets]

การลงทะเบียนนโยบาย

เริ่มการทำงานของ UI ระยะไกล การเริ่มต้น UI ระยะไกล

คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ UI ระยะไกล

คลิก [Network Settings]

[IPSec Policy List]

คลิก [Register New IPSec Policy]

กำหนดนโยบาย

[Policy Name]

ป้อนชื่อเพื่อระบุนโยบาย

[Policy On/Off]

เลือก [On] เพื่อเปิดใช้งานนโยบายที่ลงทะเบียน

[Only Allow 256-bit for AES Key Length]

เลือกช่องทำเครื่องหมายนี้เพื่อจำกัดความยาวคีย์ของวิธีการเข้ารหัส AES ไว้ที่ 256 บิตและเป็นไปตามมาตรฐานการตรวจสอบสิทธิ์ CC

กำหนดค่าพารามิเตอร์แอปพลิเคชัน IPSec

คลิก [Selector Settings]

ระบุที่อยู่ IP ที่จะใช้นโยบาย IPSec

ระบุที่อยู่ IP ของเครื่องนี้ใน [Local Address] และระบุที่อยู่ IP ของเครื่องที่มีการสื่อสารข้อมูลระหว่างกันใน [Remote Address] ที่อยู่ระยะไกล

[All IP Addresses]	IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งและได้รับทั้งหมด
[IPv4 Address]	IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv4 ของเครื่องนี้
[IPv6 Address]	IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv6 ของเครื่องนี้
[All IPv4 Addresses]	IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv4 ของเครื่องที่มีการสื่อสารข้อมูลระหว่างกัน
[All IPv6 Addresses]	IPSec มีผลใช้งานกับแพคเก็ต IP ที่ส่งไปยังหรือได้รับจากที่อยู่ IPv6 ของเครื่องที่มีการสื่อสารข้อมูลระหว่างกัน
[IPv4 Manual Settings]	ระบุที่อยู่ IPv4 ที่จะใช้งาน IPSec เลือก [Single Address] เพื่อป้อนที่อยู่ IPv4 แต่ละรายการ เลือก [Range Address] เพื่อระบุช่วงของที่อยู่ IPv4 ให้ป้อนที่อยู่แยกต่างหากสำหรับ [First Address] และ [Last Address] เลือก [Subnet Settings] เพื่อระบุช่วงของที่อยู่ IPv4 โดยใช้ซับเน็ตมาสก์ ให้ป้อนค่าแยกต่างหากสำหรับ [First Address] และ [Subnet Settings]
[IPv6 Manual Settings]	ระบุที่อยู่ IPv6 ที่จะใช้งาน IPSec เลือก [Single Address] เพื่อป้อนที่อยู่ IPv6 แต่ละรายการ เลือก [Range Address] เพื่อระบุช่วงของที่อยู่ IPv6 ให้ป้อนที่อยู่แยกต่างหากสำหรับ [First Address] และ [Last Address] เลือก [Prefix Address] เพื่อระบุช่วงของที่อยู่ IPv6 โดยใช้ซับเน็ตมาสก์ ให้ป้อนค่าแยกต่างหากสำหรับ [First Address] และ [Prefix Length]

ระบุพอร์ตที่จะใช้งาน IPSec

เลือก [Specify by Port Number] เพื่อใช้หมายเลขพอร์ตเมื่อระบุพอร์ตที่จะใช้งาน IPSec หรือเลือก [All Ports] เพื่อใช้ IPSec กับหมายเลขพอร์ตทั้งหมด หากต้องการใช้ IPSec กับหมายเลขพอร์ตที่เฉพาะเจาะจง [Single Port] และป้อนหมายเลขพอร์ต ให้ระบุพอร์ตของเครื่องนี้ใน [Local Port] และระบพอร์ตของเครื่องที่มีการสื่อสารระหว่างกันใน [Remote Port]

ในการระบุพอร์ตที่จะใช้ IPSec ตามชื่อบริการ ให้เลือก [Specify by Service Name] และเลือกบริการที่จะใช้

คลิก [OK]

กำหนดการตั้งค่าการรับรองความถูกต้องและการเข้ารหัส

คลิก [IKE Settings]

กำหนดการตั้งค่าที่จำเป็น

[IKE Mode]

เลือกโหมดการทำงานสำหรับโปรโตคอลการแลกเปลี่ยนคีย์ การรักษาความปลอดภัยจะมีประสิทธิภาพมากขึ้นหากคุณเลือก [Main] เนื่องจากเซสชัน IKE ถูกเข้ารหัส แต่ความเร็วของเซสชันนั้นจะช้ากว่าหากใช้ [Aggressive] ซึ่งไม่ได้เข้ารหัสทั้งเซสชัน

[Validity]

กำหนดระยะเวลาหมดอายุของ IKE SA ที่สร้างขึ้น

[Authentication Method]

เลือกวิธีการรับรองความถูกต้องหนึ่งวิธีจากรายการที่อธิบายไว้ด้านล่าง

[Pre-Shared Key Method]

กำหนดรหัสผ่าน (คีย์ที่กำหนดให้ใช้ร่วมกัน) ซึ่งเหมือนกับรหัสผ่านที่ตั้งไว้สำหรับเครื่องที่มีการสื่อสารระหว่างกัน เลือก [Shared Key Settings] ป้อนสตริงอักขระที่จะใช้เป็นคีย์ที่ใช้ร่วมกัน แล้วเลือก [OK]

[Digital Signature Method]

ตั้งค่าคีย์และใบรับรองที่จะใช้สำหรับการรับรองความถูกต้องร่วมกันกับเครื่องที่มีการสื่อสารระหว่างกัน คลิก [Key and Certificate] และคลิก [Use] สำหรับคีย์ที่จะใช้

[Authentication/Encryption Algorithm]

เลือก [Auto] หรือ [Manual Settings] เพื่อตั้งค่าวิธีระบุอัลกอริทึมการรับรองความถูกต้องและการเข้ารหัสสำหรับ IKE phase 1 หากคุณเลือก [Auto] ระบบจะตั้งค่าอัลกอริทึมโดยอัตโนมัติซึ่งทั้งเครื่องนี้และเครื่องที่มีการสื่อสารระหว่างกันสามารถใช้งานได้ หากคุณต้องการระบุอัลกอริทึมเฉพาะ ให้เลือก [Manual Settings] และกำหนดการตั้งค่าด้านล่าง

[Authentication]	เลือกแฮชอัลกอริทึ่ม
[Encryption]	เลือกอัลกอริทึ่มการเข้ารหัส
[DH Group]	เลือกกลุ่มสำหรับวิธีการแลกเปลี่ยนคีย์ Diffie-Hellman เพื่อตั้งค่าความยากของคีย์

คลิก [OK]


เมื่อตั้งค่า [IKE Mode] เป็น [Main] บนหน้าจอ [IKE] และตั้งค่า [Authentication Method] เป็น [Pre-Shared Key Method] ข้อจำกัดต่อไปนี้จะมีผลใช้งานเมื่อลงทะเบียนนโยบายความปลอดภัยหลายรายการ วิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกัน: เมื่อระบุที่อยู่ IP ระยะไกลหลายรายการที่จะใช้นโยบายความปลอดภัย คีย์ที่ใช้ร่วมกันทั้งหมดสำหรับนโยบายความปลอดภัยนั้นจะเหมือนกัน (ซึ่งจะใช้ไม่ได้เมื่อระบุที่อยู่เดียว) ลำดับความสำคัญ: เมื่อระบุที่อยู่ IP ระยะไกลหลายรายการที่จะใช้นโยบายความปลอดภัย ลำดับความสำคัญของนโยบายความปลอดภัยนั้นจะอยู่ต่ำกว่านโยบายความปลอดภัยที่ระบุไว้สำหรับที่อยู่เดียว

เมื่อตั้งค่า [IKE Mode] เป็น [Main] บนหน้าจอ [IKE] และตั้งค่า [Authentication Method] เป็น [Pre-Shared Key Method] ข้อจำกัดต่อไปนี้จะมีผลใช้งานเมื่อลงทะเบียนนโยบายความปลอดภัยหลายรายการ

วิธีใช้คีย์ที่กำหนดให้ใช้ร่วมกัน: เมื่อระบุที่อยู่ IP ระยะไกลหลายรายการที่จะใช้นโยบายความปลอดภัย คีย์ที่ใช้ร่วมกันทั้งหมดสำหรับนโยบายความปลอดภัยนั้นจะเหมือนกัน (ซึ่งจะใช้ไม่ได้เมื่อระบุที่อยู่เดียว)

ลำดับความสำคัญ: เมื่อระบุที่อยู่ IP ระยะไกลหลายรายการที่จะใช้นโยบายความปลอดภัย ลำดับความสำคัญของนโยบายความปลอดภัยนั้นจะอยู่ต่ำกว่านโยบายความปลอดภัยที่ระบุไว้สำหรับที่อยู่เดียว

กำหนดการตั้งค่าการสื่อสาร IPSec

คลิก [IPSec Network Settings]

กำหนดการตั้งค่าที่จำเป็น

[Validity]

กำหนดระยะเวลาหมดอายุของ IPSec SA ที่สร้างขึ้น คุณต้องตั้งค่า [Time] หรือ [Size] หากคุณตั้งค่าทั้งสองรายการ ค่าของการตั้งค่าใดที่มาถึงก่อนจะมีผลใช้งาน

[PFS]

หากคุณเลือก [Use PFS] ความลับของคีย์เข้ารหัสจะเพิ่มขึ้นแต่ความเร็วในการสื่อสารจะช้าลง นอกจากนี้ คุณจะต้องเปิดใช้งานฟังก์ชัน Perfect Forward Secrecy (PFS) บนอุปกรณ์ที่มีการสื่อสารระหว่างกัน

[Authentication/Encryption Algorithm]

เลือก [Auto] หรือ [Manual Settings] เพื่อตั้งค่าวิธีระบุอัลกอริทึมการรับรองความถูกต้องและการเข้ารหัสสำหรับ IKE phase 2 หากคุณเลือก [Auto] ระบบจะตั้งค่าอัลกอริทึมการรับรองความถูกต้องและการเข้ารหัส ESP โดยอัตโนมัติ หากคุณต้องการระบุวิธีการรับรองความถูกต้องเฉพาะ ให้เลือก [Manual Settings] และเลือกวิธีการรับรองความถูกต้องหนึ่งวิธีจากรายการด้านล่าง

[ESP]	ระบบจะดำเนินการทั้งการรับรองความถูกต้องและการเข้ารหัส ให้เลือกอัลกอริทึมสำหรับ [ESP Authentication] และ [ESP Encryption] เลือก [NULL] หากคุณไม่ต้องการตั้งค่าอัลกอริทึมการรับรองความถูกต้องหรือการเข้ารหัส
[ESP (AES-GCM)]	AES-GCM ถูกใช้เป็นอัลกอริทึม ESP และจะดำเนินการทั้งการรับรองความถูกต้องและการเข้ารหัส
[AH (SHA1)]	ระบบจะดำเนินการรับรองความถูกต้องแต่จะไม่เข้ารหัสข้อมูล และ SHA1 ถูกใช้เป็นอัลกอริทึม

คลิก [OK]

เปิดใช้งานนโยบายที่ลงทะเบียนไว้และตรวจสอบลำดับความสำคัญ

จะมีการใช้งานนโยบายตามลำดับที่ระบุไว้โดยเริ่มจากด้านบน หากคุณต้องการเปลี่ยนลำดับความสำคัญ ให้เลือกนโยบายในรายการและคลิก [Raise Priority] หรือ [Lower Priority]


การจัดการนโยบาย IPSec คุณสามารถแก้ไขนโยบายได้บนหน้าจอที่แสดงในขั้นตอนที่ 4 หากต้องการแก้ไขรายละเอียดของนโยบาย ให้คลิกชื่อนโยบายในรายการ หากต้องการปิดใช้งานนโยบาย ให้คลิกชื่อนโยบายในรายการ เลือก [Off] สำหรับ [Policy On/Off] คลิก [OK] หากต้องการลบนโยบาย ให้เลือกนโยบายในรายการ คลิก [Delete] [OK] การใช้แผงควบคุม คุณยังสามารถเปิดใช้งานหรือปิดใช้งานการสื่อสาร IPSec จากตัวเลือก <ตั้งค่า> ในหน้าจอ <Home> <การตั้งค่า IPSec> การนำเข้า/การส่งออกเป็นชุด คุณสามารถนำเข้า/ส่งออกการตั้งค่านี้กับรุ่นที่รองรับการนำเข้าการตั้งค่านี้แบบเป็นชุด การนำเข้า/ส่งออกข้อมูลการตั้งค่า การตั้งค่านี้รวมอยู่ใน [Settings/Registration Basic Information] เมื่อทำการส่งออกเป็นชุด การนำเข้า/ส่งออกการตั้งค่าทั้งหมด

การจัดการนโยบาย IPSec

คุณสามารถแก้ไขนโยบายได้บนหน้าจอที่แสดงในขั้นตอนที่ 4

หากต้องการแก้ไขรายละเอียดของนโยบาย ให้คลิกชื่อนโยบายในรายการ

หากต้องการปิดใช้งานนโยบาย ให้คลิกชื่อนโยบายในรายการ

เลือก [Off] สำหรับ [Policy On/Off]

คลิก [OK]

หากต้องการลบนโยบาย ให้เลือกนโยบายในรายการ

คลิก [Delete]

[OK]

การใช้แผงควบคุม

คุณยังสามารถเปิดใช้งานหรือปิดใช้งานการสื่อสาร IPSec จากตัวเลือก <ตั้งค่า> ในหน้าจอ <Home> <การตั้งค่า IPSec>

การนำเข้า/การส่งออกเป็นชุด

คุณสามารถนำเข้า/ส่งออกการตั้งค่านี้กับรุ่นที่รองรับการนำเข้าการตั้งค่านี้แบบเป็นชุด การนำเข้า/ส่งออกข้อมูลการตั้งค่า

การตั้งค่านี้รวมอยู่ใน [Settings/Registration Basic Information] เมื่อทำการส่งออกเป็นชุด การนำเข้า/ส่งออกการตั้งค่าทั้งหมด