使用 IPSec
使用 IP 安全性通訊協定 (IPSec) 可防止竊聽和篡改透過 IP 網路傳送和接收的 IP 封包。這可以在 IP 通訊協定層級執行加密以確保安全,不需要仰賴應用程式或網路設定。
IPSec 適用條件及支援的模式
IPSec 不適用的封包
指定回送、多點傳送或廣播位址的封包
從 UDP 連接埠 500 傳送的 IKE 封包
ICMPv6 芳鄰請求和芳鄰通告封包
金鑰交換通訊協定的操作模式(IKE 模式)
本機支援的 IKE 模式有對封包進行加密的主要模式和不加密的積極模式。
IPSec 通訊模式
本機支援的通訊模式只有傳輸模式,只對不包括 IP 標頭的部分進行加密。不支援將整個 IP 封包加密的通道模式。
符合 FIPS 140
在 IPSec 通訊期間,無論 [以FIPS 140作為加密方法的格式] 設定為何,務必使用已取得 FIPS 140 認證的加密模組。[以FIPS 140作為加密方法的格式]
為了確認 IPSec 通訊符合 FIPS 140,您需要在本機所屬的網路環境中將 IPSec 通訊的 DH 和 RSA 金鑰的金鑰長度設定為 2048 位元以上。
* 您只能為本機上的 DH 金鑰指定金鑰長度。本機上沒有 RSA 金鑰的設定,因此建置環境時需要考量這一點。
將 IPSec 與 IP 位址篩選結合使用
傳送封包時,請先套用 IP 位址篩選器設定。設定防火牆
收到封包時,請先套用 IPSec 設定。
IPSec 策略設定
若要在本機上執行 IPSec 通訊,您必須建立 IPSec 策略,其中包括適用於驗證和加密的範圍和演算法。該策略主要由下列項目組成:
選擇器
指定要套用 IPSec 通訊的 IP 封包。除了指定本機和通訊裝置的 IP 位址之外,您也可以指定本機和通訊裝置的連接埠號碼。
金鑰交換通訊協定的操作模式(IKE 模式)
金鑰交換通訊協定支援網際網路金鑰交換版本 1 (IKEv1)。對於驗證方法,請選擇預先共用金鑰方法或數位簽章方法。
預共用金鑰方法
此認證方法使用稱為共用金鑰的通用關鍵字在本機和其他裝置之間進行通訊。
此認證方法使用稱為共用金鑰的通用關鍵字在本機和其他裝置之間進行通訊。
數位簽章方法
本機和其他裝置透過彼此確認各自的數位簽章來相互驗證。
本機和其他裝置透過彼此確認各自的數位簽章來相互驗證。
* 您需要進行設定才能啟用 SNTP。
ESP/AH
設定用於 IPSec 通訊的 ESP 或 AH 通訊協定。使用完整轉傳密碼 (PFS) 可以獲得更高的安全性。
設定 IPSec
啟用 IPSec,然後建立並註冊 IPSec 策略。如果已建立多個策略,請指定套用這些策略的順序。您最多可以建立 10 個策略。
設定/註冊],然後選擇 [參數選擇] 以指定設定。所需的準備
將本機直接連接到與本機位於同一個虛擬專用網路 (VPN) 上的電腦。確認操作條件,並提前完成電腦上的設定。IPSec
按照 IKE 驗證方法準備如下:
使用預共用金鑰方法時,為使用者介面通訊啟用 TLS。使用 TLS
使用數位簽章方法時,準備要使用的金鑰和憑證,並設定啟用 SNTP。
使用 PFS 時,請檢查通訊裝置是否啟用 PFS。
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [網路設定]。
網路設定畫面隨即顯示。
4
按一下 [IPSec設定]。
顯示 [IPSec設定] 畫面。
5
選取 [使用IPSec] 核取方塊。
如果只接收符合策略的封包,請在 [接收非策略資料封包] 中選擇 [拒絕]。
6
按一下 [確定]。
網路設定畫面隨即再次顯示。
7
按一下 [IPSec策略清單]。
顯示 [IPSec策略清單] 畫面。
8
按一下 [註冊新IPSec策略]。
顯示 [註冊策略] 畫面。
9
指定策略名稱,並且在 [策略開啟/關閉] 中選擇 [開啟]。
對於策略名稱,使用英數字元輸入用於識別策略的名稱。
10
視需要限制 AES 金鑰長度。
若要將 AES 金鑰長度限制為 256 位,例如,您要滿足 CC 認證標準時,請勾選 [僅允許AES鍵值長度為256-bit] 核取方塊。
* Canon 多功能事務機支援 AES 加密方法的兩種金鑰長度:128 位元和 256 位元。
11
設定選擇器。
1
按一下 [選擇器設定]。
顯示 [選擇器] 畫面。
2
設定選擇器。
[本地位址設定] 和 [遠端位址設定]
設定要套用 IPSec 通訊的 IP 位址。在 [本地位址設定] 中指定本機的 IP 位址,在 [遠端位址設定] 中指定通訊裝置的 IP 位址。
[全部IP位址]
選擇此項目可將 IPSec 套用到全部 IP 封包。
[IPv4位址] 或 [全部IPv4位址]
選擇此項目可將 IPSec 通訊套用到使用 IPv4 位址傳送和接收的 IP 封包。
[IPv6位址] 或 [全部IPv6位址]
選擇此項目可將 IPSec 通訊套用到使用 IPv6 位址傳送和接收的 IP 封包。
[IPv4手動設定]
選擇此項目可指定要套用 IPSec 通訊的 IPv4 位址。使用下列任何方法指定要套用設定的 IPv4 位址。
指定單一 IPv4 位址時
選擇 [單位址],並在 [首位址] 中輸入 IPv4 位址。
選擇 [單位址],並在 [首位址] 中輸入 IPv4 位址。
指定 IPv4 位址範圍時
選擇 [範圍位址],並且在 [首位址] 和 [末位址] 中輸入 IPv4 位址。
選擇 [範圍位址],並且在 [首位址] 和 [末位址] 中輸入 IPv4 位址。
使用子網路遮罩指定 IPv4 位址範圍時
選擇 [子網路設定],在 [首位址] 中輸入 IPv4 位址,並在 [子網路設定] 中輸入子網路遮罩。
選擇 [子網路設定],在 [首位址] 中輸入 IPv4 位址,並在 [子網路設定] 中輸入子網路遮罩。
[IPv6手動設定]
選擇此項目可指定要套用 IPSec 通訊的 IPv6 位址。使用下列任何方法指定要套用設定的 IPv6 位址。
指定單一 IPv6 位址時
選擇 [單位址],並在 [首位址] 中輸入 IPv6 位址。
選擇 [單位址],並在 [首位址] 中輸入 IPv6 位址。
指定 IPv6 位址範圍時
選擇 [範圍位址],並且在 [首位址] 和 [末位址] 中輸入 IPv6 位址。
選擇 [範圍位址],並且在 [首位址] 和 [末位址] 中輸入 IPv6 位址。
使用前置碼指定 IPv6 位址範圍時
選擇 [前置碼位址],在 [首位址] 中輸入 IPv6 位址,在 [前置碼長度] 中輸入前置碼長度。
選擇 [前置碼位址],在 [首位址] 中輸入 IPv6 位址,在 [前置碼長度] 中輸入前置碼長度。
[連接埠設定]
設定要套用 IPSec 通訊的連接埠。
[透過連接埠號指定]
選擇此項目可在指定要套用 IPSec 通訊的連接埠時使用連接埠號碼。在 [本地連接埠] 中指定本機的連接埠號碼,並在 [遠端連接埠] 中指定通訊裝置的連接埠號碼。
若要將 IPSec 通訊套用到全部連接埠號碼,請選擇 [全部連接埠]。
若要將 IPSec 通訊套用到特定連接埠號碼,請按下 [單連接埠],並且輸入連接埠號碼。
[透過服務名稱指定]
勾選此項目以便在指定要套用 IPSec 通訊的連接埠時使用服務名稱。對於要套用 IPSec 通訊的服務,勾選服務的核取方塊。
3
按一下 [確定]。
顯示 [註冊策略] 畫面。
12
進行 IKE 設定。
1
按一下 [IKE設定]。
顯示 [IKE] 畫面。
2
進行 IKE 設定。
[IKE模式]
選擇金鑰交換通訊協定的操作模式。選擇 [主要] 時,由於 IKE 工作階段本身已加密,因此安全性得到增強,不過通訊速度比不執行加密的 [積極] 慢。
[有效期]
輸入 IKE SA(ISAKMP SA) 做為控制通訊路徑的有效期間分鐘數。
[認證方法]
選擇本機的驗證方法。
如果您選擇 [預共用鍵值方法],按一下 [共享鍵值設定] 
使用英數字元輸入做為共用金鑰的字串 按一下 [確定]。
使用英數字元輸入做為共用金鑰的字串 按一下 [確定]。如果您選擇 [數位簽章方法],對於要使用的金鑰和憑證按一下 [鍵值和憑證] [使用]。
[使用]。[認證/加密演算法]
設定 IKE 階段 1 的認證和加密演算法。
若要自動設定本機和通訊裝置均可使用的演算法,請選擇 [自動]。
若要指定特定演算法,請選擇 [手動設定],並且進行 [認證]、[加密] 和 [DH群組] 設定。
[認證]:選擇雜湊演算法。
[加密]:選擇加密演算法。
[DH群組]:選擇用於決定金鑰強度的 Diffie-Hellman 群組。
[IKE模式] 設定為 [主要] 而且 [認證方法] 設定為 [預共用鍵值方法] 時 如果您在選擇器設定的 [遠端位址設定] 中指定多個位址,在建立多個策略時將受到下列限制: 對於指定多個位址的策略,全部共用金鑰需要設定為相同字串。 指定多個位址的策略無法設定為比指定單一位址的策略更高的優先權。 |
3
按一下 [確定]。
[註冊策略] 畫面再次顯示。
13
進行 IPSec 網路設定。
1
按一下 [IPSec網路設定]。
顯示 [IPSec網路] 畫面。
2
進行 IPSec 網路設定。
[有效期]
按照時間、大小或兩者,對於做為資料通訊路徑的 IPSec SA 指定有效期間。
如果勾選 [時間] 核取方塊,輸入有效期(分鐘數)。
如果勾選 [大小] 核取方塊,輸入有效期(以 MB 為單位)。
如果同時選擇兩者,將套用先達到指定值的項目。
[PFS]
選取此核取方塊可為工作階段金鑰設定 PFS。
[認證/加密演算法]
設定 IKE 階段 2 的認證和加密演算法。
若要自動設定 ESP 認證和加密演算法,請選擇 [自動]。
若要指定特定的認證方法,請選擇 [手動設定],然後選擇下列其中一種認證方法。
[ESP]:
認證和加密都會執行。
選擇 [ESP認證] 和 [ESP加密] 中的演算法。如果不要設定演算法,請選擇 [NULL]。
認證和加密都會執行。
選擇 [ESP認證] 和 [ESP加密] 中的演算法。如果不要設定演算法,請選擇 [NULL]。
[ESP (AES-GCM)]:
認證和加密都會執行。
使用 AES-GCM 做為演算法。
認證和加密都會執行。
使用 AES-GCM 做為演算法。
[AH (SHA1)]:
執行認證,但資料不加密。
使用 SHA1 做為演算法。
執行認證,但資料不加密。
使用 SHA1 做為演算法。
[連線模式]
本機僅支援傳輸模式。
3
按一下 [確定]。
[註冊策略] 畫面再次顯示。
14
按一下 [確定]。
建立的策略隨即新增到 [IPSec策略清單] 畫面。
註冊多個策略時
選擇策略,按一下 [提高優先權] 或 [降低優先權] 即可變更優先權。較高層級的策略在套用於 IPSec 通訊時具有優先權。
15
按一下 [套用設定變更] [確定]。
[確定]。隨即套用設定。
16
登出遠端使用者介面。
註釋
編輯已註冊的策略
若要編輯已註冊的資訊,請在 [IPSec策略清單] 畫面上按一下要編輯的策略名稱。