Спецификации функций обеспечения защиты и управления
Брандмауэр
До 16 IP-адресов (или диапазонов IP-адресов) можно указать для IPv4 и IPv6.
Можно указать до 32 MAC-адресов.
IPSec
IPSec аппарата соответствует RFC2401, RFC2402, RFC2406 и RFC4305.
Операционная система подключенного устройства | Windows 8.1 Windows 10 Windows 11 * По состоянию на октябрь 2024 г. |
Режим подключения | Режим транспортировки |
Протокол обмена ключами | IKEv1 (основной режим) |
Метод проверки подлинности Общий ключ Цифровая подпись | |
Алгоритм хэша (и длина ключа) HMAC-SHA1-96 HMAC-SHA2 (256 бит или 384 бита) | |
Алгоритм шифрования (и длина ключа) 3DES-CBC AES-CBC (128 бит, 192 бита, 256 бит) | |
Алгоритм/группа обмена ключами (и длина ключа) Diffie-Hellman (DH) Группа 14 (2048 бит) ECDH-P256 (256 бит) ECDH-P384 (384 бит) | |
ESP | Хэш-алгоритм HMAC-SHA1-96 |
Шифрование 3DES-CBC AES-CBC (128 бит, 192 бита, 256 бит) | |
Алгоритм хэша/шифрования (и длина ключа) AES-GCM (128 бит, 192 бита, 256 бит) | |
AH | Хэш-алгоритм HMAC-SHA1-96 |
|
IPSec поддерживает обмен данными с индивидуальным адресом (одним устройством). |
Ключи и сертификаты
Поддерживаются следующие ключи и сертификаты:
Самогенерируемый ключ и самозаверяющий сертификат или CSR
Алгоритм с использованием открытых ключей (и длина ключа) | RSA (512 бит, 1024 бита, 2048 бит, 4096 бит) DSA (1024 бита, 2048 бит, 3072 бита) ECDSA (P256, P384, P521) |
Алгоритм подписи сертификата | RSA: SHA-1*1, SHA-256, SHA-384*2, SHA-512*2 DSA: SHA-1*1 ECDSA: SHA-1*1, SHA-256, SHA-384, SHA-512 |
Алгоритм отпечатка сертификата | SHA1 |
*1 Доступно только при установке с использованием Удаленного ИП.
*2 Варианты SHA384-RSA и SHA512-RSA доступны только, когда длина ключа RSA составляет 1024 бит и более.
Ключ и сертификат или сертификат ЦС для установки
Формат | Ключ PKCS#12*1*2*3 Сертификат ЦС Формат X.509 DER/формат PEM*4 |
Расширение файла | Ключ ".p12" или ".pfx" Сертификат ЦС ".cer" или ".pem" |
Алгоритм с использованием открытых ключей (и длина ключа) | RSA (512 бит, 1024 бита, 2048 бит, 4096 бит) DSA (1024 бита, 2048 бит, 3072 бита) ECDSA (P256, P384, P521) |
Алгоритм подписи сертификата | RSA: SHA-1*3, SHA-256, SHA-384*5, SHA-512*5 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Алгоритм отпечатка сертификата | SHA1 |
*1 Требования в отношении сертификата, содержащегося в ключе, определяются в соответствии с сертификатами ЦС.
*2 Сертификаты невозможно зарегистрировать, если размер файла превышает 16 КБ.
*3 Доступно только при установке с использованием Удаленного ИП.
*4 Сертификаты невозможно зарегистрировать, если размер файла превышает 4 КБ.
*5 SHA384-RSA и SHA512-RSA доступны только в том случае, если длина ключа RSA составляет 1024 бит или более.
|
Аппарат не поддерживает использование списка отзыва сертификатов (CRL). |
Определение термина "Слабое шифрование"
Когда параметру [Запретить использование слабого шифров.] в [Параметры шифрования] задано значение [Вкл.], использовать следующие алгоритмы запрещается. [Параметры шифрования]
Хэш | MD4, MD5, SHA-1 |
HMAC | HMAC-MD5 |
Шифрование с общим ключом | RC2, RC4, DES |
Шифрование с открытым ключом | Шифрование RSA (512 бит/1024 бита) Подпись RSA (512 бит/1024 бита) DSA (512 бит/1024 бита) DH (512 бит/1024 бита) |
|
Даже когда параметру [Запретить ключ/сертиф. со слабым шифров.] в [Параметры шифрования] задано значение [Вкл.], можно использовать хэш-алгоритм SHA-1, который используется для подписания корневого сертификата. |
TLS
Возможно использование следующих сочетаний версии и алгоритма TLS:
: Используется 
: Не используетсяАлгоритм | Версия TLS | |||
TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 | |
Алгоритм шифрования | ||||
AES-CBC (256 бит) | | | | |
AES-CBC (128 бит) | | | | |
AES-GCM (256 бит) | | | | |
AES-GCM (128 бит) | | | | |
3DES-CBC | | | | |
CHACHA20-POLY1305 | | | | |
Алгоритм обмена ключами | ||||
RSA | | | | |
ECDHE | | | | |
X25519 | | | | |
Алгоритм подписи | ||||
RSA | | | | |
ECDSA | | | | |
Алгоритм HMAC | ||||
SHA1 | | | | |
SHA256 | | | | |
SHA384 | | | | |
Тип журнала
На аппарате можно управлять приведенными далее журналами. Записанные журналы можно отправить в систему SIEM (систему управления информацией о безопасности и событиями), используя протокол Syslog.
Тип журнала | Номер, обозначающий «Тип журнала» | Описание |
Журнал аутентификации пользователей | 4098 | Этот журнал содержит сведения, касающиеся состояния аутентификации пользователей (вход в систему или выход из системы и успех/сбой аутентификации пользователей), регистрации, изменения, удаления сведений о пользователях, управляемых с помощью аутентификации пользователей. |
Журнал заданий | 1001 | Этот журнал содержит сведения, касающиеся завершения заданий на печать. |
Журнал приема | 8193 | Этот журнал содержит сведения, касающиеся передачи. |
Журнал управления аппаратом | 8198 | Этот журнал содержит сведения, касающиеся запуска/завершения работы аппарата и изменений параметров в разделе[Меню]. В журнале управления аппаратом также регистрируются изменения сведений о пользователе или параметров, связанных с безопасностью, когда аппарат находится на диагностике или ремонте у дилера или представителя сервисной службы. |
Журнал аутентификации сети | 8200 | В этот журнал записываются сведения при сбое связи по протоколу IPSec. |
Журнал функции «Экспортировать/импортировать все» | 8202 | Этот журнал содержит сведения, касающиеся импорта/экспорта параметров с помощью функции «Импортировать/экспортировать все». |
Журнал политики безопасности | 8204 | Этот журнал содержит сведения, касающиеся состояний параметров политики безопасности. |
Журнал обслуживания системы | 8206 | Этот журнал содержит сведения, касающиеся обновлений встроенного ПО, резервного копирования/восстановления приложений MEAP и т. д. |