Mengkonfigurasikan Tetapan IPSec

Dengan menggunakan IPSec, anda dapat menghalang pihak ketiga daripada memintas atau mengacau paket IP yang dibawa melalui rangkaian IP. Oleh kerana IPSec mempunyai fungsi keselamatan tambahan kepada IP, suit protokol asas yang digunakan untuk Internet, ia boleh memberikan keselamatan yang bebas daripada aplikasi atau konfigurasi rangkaian. Untuk melakukan komunikasi IPSec dengan mesin ini, anda mesti mengkonfigurasikan tetapan seperti parameter aplikasi dan algoritma untuk pengesahan dan penyulitan. Keutamaan pentadbir diperlukan untuk mengkonfigurasikan tetapan ini.

Mengaktifkan IPSec

Mendaftar Dasar


Mod Komunikasi Mesin ini hanya menyokong mod pengangkutan untuk komunikasi IPSec. Sebagai hasilnya, pengesahan dan penyulitan hanya digunakan pada bahagian data paket IP. Protokol pertukaran kunci Mesin ini menyokong Pertukaran Kekunci Internet versi 1 (IKEv1) untuk menukar kekunci berdasarkan Persatuan Keselamatan Internet dan Protokol Pengurusan Kekunci (ISAKMP). Untuk kaedah pengesahan, tetapkan sama ada kaedah kekunci prakongsi atau kaedah tandatangan digital. Apabila menetapkan kaedah kunci prakongsi, anda perlu membuat keputusan ke atas frasa laluan (kunci prakongsi) terlebih dahulu, yang digunakan antara mesin dan rakan komunikasi IPSec. Apabila menetapkan kaedah tandatangan digital, gunakan sijil CA dan kekunci format serta sijil PKCS#12 untuk melakukan pengesahan bersama antara mesin dan rakan komunikasi IPSec. Untuk maklumat lebih lanjut mengenai mendaftar sijil CA atau kekunci/sijil baharu, lihat Mendaftar Kekunci dan Sijil untuk Komunikasi Rangkaian. Sila ambil perhatian bahawa SNTP mesti dikonfigurasikan untuk mesin sebelum ia menggunakan kaedah ini. Membuat Tetapan SNTP

Mod Komunikasi

Mesin ini hanya menyokong mod pengangkutan untuk komunikasi IPSec. Sebagai hasilnya, pengesahan dan penyulitan hanya digunakan pada bahagian data paket IP.

Protokol pertukaran kunci

Mesin ini menyokong Pertukaran Kekunci Internet versi 1 (IKEv1) untuk menukar kekunci berdasarkan Persatuan Keselamatan Internet dan Protokol Pengurusan Kekunci (ISAKMP). Untuk kaedah pengesahan, tetapkan sama ada kaedah kekunci prakongsi atau kaedah tandatangan digital.

Apabila menetapkan kaedah kunci prakongsi, anda perlu membuat keputusan ke atas frasa laluan (kunci prakongsi) terlebih dahulu, yang digunakan antara mesin dan rakan komunikasi IPSec.

Apabila menetapkan kaedah tandatangan digital, gunakan sijil CA dan kekunci format serta sijil PKCS#12 untuk melakukan pengesahan bersama antara mesin dan rakan komunikasi IPSec. Untuk maklumat lebih lanjut mengenai mendaftar sijil CA atau kekunci/sijil baharu, lihat Mendaftar Kekunci dan Sijil untuk Komunikasi Rangkaian. Sila ambil perhatian bahawa SNTP mesti dikonfigurasikan untuk mesin sebelum ia menggunakan kaedah ini. Membuat Tetapan SNTP


Tanpa mengambil kita tetapan [Format Encryption Method to FIPS 140-2] untuk komunikasi IPSec, modul penyulitan yang telah mendapat pensijilan FIPS140-2 akan digunakan. Untuk membuatkan komunikasi IPSec mematuhi FIPS 140-2, anda mesti menetapkan panjang kekunci DH dan RSA untuk komunikasi IPSec kepada 2048-bit atau lebih dalam persekitaran rangkaian yang mesin tersebut berada. Hanya panjang kekunci untuk DH yang boleh ditentukan daripada mesin. Sila ambil perhatian apabila mengkonfigurasikan persekitaran anda, kerana tiada tetapan untuk RSA di dalam mesin. Anda boleh mendaftar sehingga 10 dasar keselamatan.

Tanpa mengambil kita tetapan [Format Encryption Method to FIPS 140-2] untuk komunikasi IPSec, modul penyulitan yang telah mendapat pensijilan FIPS140-2 akan digunakan.

Untuk membuatkan komunikasi IPSec mematuhi FIPS 140-2, anda mesti menetapkan panjang kekunci DH dan RSA untuk komunikasi IPSec kepada 2048-bit atau lebih dalam persekitaran rangkaian yang mesin tersebut berada.

Hanya panjang kekunci untuk DH yang boleh ditentukan daripada mesin.

Sila ambil perhatian apabila mengkonfigurasikan persekitaran anda, kerana tiada tetapan untuk RSA di dalam mesin.

Anda boleh mendaftar sehingga 10 dasar keselamatan.

Mengaktifkan IPSec

Mulakan UI Kawalan Jauh. Memulakan UI Kawalan Jauh

Klik [Settings/Registration] pada halaman portal. Tetapan UI Kawalan Jauh

Klik [Network Settings]

[IPSec Settings].

Pilih [Use IPSec] atau klik [OK].

Untuk hanya menerima paket yang berkaitan dengan dasar keselamatan, pilih [Reject] untuk [Receive Non-Policy Packets].

Mendaftar Dasar

Mulakan UI Kawalan Jauh. Memulakan UI Kawalan Jauh

Klik [Settings/Registration] pada halaman portal. Tetapan UI Kawalan Jauh

Klik [Network Settings]

[IPSec Policy List].

Klik [Register New IPSec Policy].

Menetapkan dasar.

[Policy Name]

Masukkan nama untuk mengenal pasti dasar.

[Policy On/Off]

Pilih [On] untuk mengaktifkan dasar yang didaftarkan.

[Only Allow 256-bit for AES Key Length]

Pilih kotak semak ini untuk mengehadkan panjang kekunci kaedah penyulitan AES kepada 256 bit dan memenuhi standard pengesahan CC.

Konfigurasikan parameter aplikasi IPSec.

Klik [Selector Settings].

Tentukan alamat IP untuk menggunakan dasar IPSec.

Tentukan alamat IP mesin ini dalam [Local Address] dan tentukan alamat IP rakan komunikasi dalam [Remote Address].

[All IP Addresses]	IPSec digunakan untuk semua paket IP yang dihantar dan diterima.
[IPv4 Address]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv4 mesin ini.
[IPv6 Address]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv6 mesin ini.
[All IPv4 Addresses]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv4 rakan komunikasi.
[All IPv6 Addresses]	IPSec digunakan kepada paket IP yang dihantar kepada dan diterima daripada alamat IPv6 rakan komunikasi.
[IPv4 Manual Settings]	Tentukan alamat IPv4 untuk menggunakan IPSec. Pilih [Single Address] untuk memasukkan alamat IPv4 individu. Pilih [Range Address] untuk menentukan julat alamat IPv4. Masukkan alamat yang berbeza untuk [First Address] dan [Last Address]. Pilih [Subnet Settings] untuk menentukan julat alamat IPv4 dengan menggunakan tapisan subrangkaian. Masukkan nilai berasingan untuk [First Address] dan [Subnet Settings].
[IPv6 Manual Settings]	Tentukan alamat IPv6 untuk menggunakan IPSec. Pilih [Single Address] untuk memasukkan alamat IPv6 individu. Pilih [Range Address] untuk menentukan julat alamat IPv6. Masukkan alamat yang berbeza untuk [First Address] dan [Last Address]. Pilih [Prefix Address] untuk menentukan julat alamat IPv6 dengan menggunakan prapemasangan. Masukkan nilai berasingan untuk [First Address] dan [Prefix Length].

Tentukan port yang akan menggunakan IPSec.

Pilih [Specify by Port Number] untuk menggunakan nombor port apabila menentukan port yang digunakan IPSec. Pilih [All Ports] untuk menggunakan IPSec kepada semua nombor port. Untuk menggunakan IPSec kepada nombor port khusus [Single Port] dan masukkan nombor port. Tentukan port mesin ini dalam [Local Port], dan tentukan port rakan komunikasi dalam [Remote Port].

Untuk menentukan port menggunakan IPSec mengikut nama perkhidmatan, pilih [Specify by Service Name] dan pilih perkhidmatan untuk digunakan.

Klik [OK].

Konfigurasikan tetapan pengesahan dan penyulitan.

Klik [IKE Settings].

Konfigurasikan tetapan yang diperlukan.

[IKE Mode]

Pilih mod operasi untuk protokol pertukaran kekunci. Keselamatan ditingkatkan jika anda memilih [Main] kerana sesi IKE itu sendiri disulitkan, tetapi kelajuan sesi lebih perlahan daripada dengan [Aggressive], yang tidak menyulitkan keseluruhan sesi.

[Validity]

Tetapkan tempoh tamat IKE SA yang dijanakan.

[Authentication Method]

Pilih satu daripada kaedah pengesahan yang dihuraikan di bawah.

[Pre-Shared Key Method]	Tetapkan frasa laluan yang sama yang ditetapkan untuk rakan komunikasi. Pilih [Shared Key Settings], masukkan rentetan aksara untuk digunakan sebagai kekunci dikongsi dan pilih [OK].
[Digital Signature Method]	Tetapkan kekunci dan sijil yang akan digunakan untuk pengesahan bersama dengan rakan komunikasi. Klik [Key and Certificate] dan klik [Use] untuk kekunci digunakan.

[Authentication/Encryption Algorithm]

Pilih sama ada [Auto] atau [Manual Settings] bagi menetapkan cara menentukan algoritma pengesahan dan penyulitan untuk IKE fasa 1. Jika anda memilih [Auto] algoritma yang boleh digunakan oleh mesin ini dan rakan komunikasi ditetapkan secara automatik. Jika anda mahu menentukan algoritma yang khusus, pilih [Manual Settings] dan konfigurasikan tetapan di bawah.

[Authentication]	Pilih algoritma hash.
[Encryption]	Pilih algoritma penyulitan.
[DH Group]	Pilih kumpulan untuk kaedah pertukaran kekunci Diffie-Hellman bagi menetapkan kekuatan kekunci.

Klik [OK].


Apabila [IKE Mode] ditetapkan kepada [Main] pada skrin [IKE] dan [Authentication Method] ditetapkan kepada [Pre-Shared Key Method], pengehadan berikut dikenakan apabila mendaftar beberapa dasar keselamatan. Kekunci kaedah kekunci prakongsi: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, semua kekunci dikongsi untuk keselamatan tersebut adalah serupa (ini tidak terpakai apabila alamat tunggal ditentukan). Keutamaan: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, keutamaan dasar keselamatan tersebut ialah di bawah dasar keselamatan yang alamat tunggal ditentukan.

Apabila [IKE Mode] ditetapkan kepada [Main] pada skrin [IKE] dan [Authentication Method] ditetapkan kepada [Pre-Shared Key Method], pengehadan berikut dikenakan apabila mendaftar beberapa dasar keselamatan.

Kekunci kaedah kekunci prakongsi: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, semua kekunci dikongsi untuk keselamatan tersebut adalah serupa (ini tidak terpakai apabila alamat tunggal ditentukan).

Keutamaan: apabila menentukan pelbagai alamat IP kawalan jauh yang dasar keselamatan perlu digunakan, keutamaan dasar keselamatan tersebut ialah di bawah dasar keselamatan yang alamat tunggal ditentukan.

Konfigurasikan tetapan komunikasi IPSec.

Klik [IPSec Network Settings].

Konfigurasikan tetapan yang diperlukan.

[Validity]

Tetapkan tempoh tamat IPSec SA yang dijanakan. Pastikan untuk menetapkan sama ada [Time] atau [Size]. Jika anda menetapkan kedua-duanya, tetapan dengan nilai yang dicapai terlebih dahulu akan digunakan.

[PFS]

Jika anda memilih [Use PFS], kerahsiaan kekunci penyulitan ditingkatkan tetapi kelajuan komunikasi menjadi lebih perlahan. Selain itu, fungsi Kerahsiaan Hadapan yang Sempurna (PFS) mesti diaktifkan pada peranti rakan komunikasi.

[Authentication/Encryption Algorithm]

Pilih sama ada [Auto] atau [Manual Settings] bagi menetapkan cara menentukan algoritma pengesahan dan penyulitan untuk IKE fasa 2. Jika anda memilih [Auto], algoritma pengesahan dan penyulitan ESP ditetapkan secara automatik. Jika anda mahu menentukan kaedah pengesahan yang khusus, pilih [Manual Settings] dan pilih satu daripada kaedah pengesahan di bawah.

[ESP]	Pengesahan dan penyulitan dilakukan bersama. Pilih algoritma untuk [ESP Authentication] dan [ESP Encryption]. Pilih [NULL] jika anda tidak mahu menetapkan algoritma pengesahan atau penyulitan.
[ESP (AES-GCM)]	AES-GCM digunakan sebagai algoritma ESP dan pengesahan dan penyulitan dilakukan bersama.
[AH (SHA1)]	Pengesahan dilakukan, tetapi data tidak disulitkan. SHA1 digunakan sebagai algoritma.

Klik [OK].

Aktifkan dasar yang didaftarkan dan semak urutan keutamaan.

Dasar digunakan mengikut urutannya yang disenaraikan, bermula dari atas. Jika anda mahu mengubah urutan keutamaan, pilih dasar dalam senarai dan klik [Raise Priority] atau [Lower Priority].


Menguruskan dasar IPSec Anda boleh mengedit dasar pada skrin yang dipaparkan dalam langkah 4. Untuk mengedit butiran terperinci dasar, klik nama dasar dalam senarai. Untuk menyahaktifkan dasar, klik nama dasar dalam senarai pilih [Off] untuk [Policy On/Off] klik [OK]. Untuk memadamkan dasar, pilih dasar dalam senarai klik [Delete] [OK]. Menggunakan panel kawalan Anda juga boleh mengaktifkan atau menyahaktifkan komunikasi IPSec daripada <Tetapkan> dalam skrin <Home>. <Tetapan IPSec> Mengimport/mengeksport kelompok Tetapan ini boleh diimport/dieksport dengan model yang menyokong pengimportan kelompok tetapan ini. Mengimport/Mengeksport Data Tetapan Tetapan ini termasuk dalam [Settings/Registration Basic Information] apabila mengeksport kelompok. Mengimport/Mengeksport Semua Tetapan

Menguruskan dasar IPSec

Anda boleh mengedit dasar pada skrin yang dipaparkan dalam langkah 4.

Untuk mengedit butiran terperinci dasar, klik nama dasar dalam senarai.

Untuk menyahaktifkan dasar, klik nama dasar dalam senarai

pilih [Off] untuk [Policy On/Off]

klik [OK].

Untuk memadamkan dasar, pilih dasar dalam senarai

klik [Delete]

[OK].

Menggunakan panel kawalan

Anda juga boleh mengaktifkan atau menyahaktifkan komunikasi IPSec daripada <Tetapkan> dalam skrin <Home>. <Tetapan IPSec>

Mengimport/mengeksport kelompok

Tetapan ini boleh diimport/dieksport dengan model yang menyokong pengimportan kelompok tetapan ini. Mengimport/Mengeksport Data Tetapan

Tetapan ini termasuk dalam [Settings/Registration Basic Information] apabila mengeksport kelompok. Mengimport/Mengeksport Semua Tetapan