配置 IPSec 设置

Internet 协议安全(IPSec)是对通过网络传输的数据包括 Internet 网络进行加密的协议套件。TLS 仅加密用于网页浏览器或电子邮件应用程序等特定应用程序的数据,而 IPSec 则加密整个 IP 数据包或 IP 数据包的有效载荷,从而提供更加多功能的安全系统。本机的 IPSec 以传输模式工作,可加密 IP 数据包的有效载荷。使用此功能,本机可以直接连接至相同虚拟专用网络(VPN)中的计算机。配置本机前,请在计算机上检查系统要求并设置所需配置。
 
系统要求
配置 IPSec 通信设置前
请在本机要进行通信的操作系统中检查 IPSec 设置。操作系统设置和本机设置的错误组合将禁用 IPSec 通信。
IPSec 功能限制
IPSec 支持单播地址(或单个设备)的通信。
本机不能同时使用 IPSec 和 DHCPv6。
IPSec 在执行 NAT 或 IP 伪装的网络中不可用。
在 IKEv1 阶段 1 中,不支持 PFS。
使用 IPSec 和 IP 地址筛选器
数据包接收时在 IP 地址筛选器设置之前应用 IPSec 设置,而数据包传输时在 IPSec 设置之后应用 IP 地址设置。指定防火墙规则的 IP 地址

注册安全策略

要使用 IPSec 进行加密通信,启用 IPSec 设置(启用 IPSec 通信)前需要注册安全策略(SP)。安全策略包括下面介绍的几组设置。最多可注册 10 个策略。根据 IP 地址和端口号的组合可注册多个策略。注册策略后,请指定应用的顺序。
指定选择器设置
选择器定义 IP 数据包应用 IPSec 通信的条件。可选择条件包括本机和要进行通信的设备的 IP 地址及端口号。
IKE 设置
IKE 配置要用于密钥交换协议的 IKEv1。请注意,说明因所选认证方法而异。
[预共享密钥方法]
可与其他设备共享最多 24 个字母数字字符的密钥。为远程用户界面提前启用 TLS (为加密通信使用 TLS)。
[数字签名方法]
本机与其它设备通过互相校验数字签名彼此认证。请首先设置密钥对备用(使用 CA 颁发的密钥对和数字证书)。
设置协议和选项
指定 ESP 和 AH 的设置,在 IPSec 通信期间添加到数据包。不能同时使用 ESP 和 AH。为了更加安全,还可选择是否启用 PFS。
 
1
启动远程用户界面并以管理模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全]  [IPSec设置]。
4
单击 [IPSec策略列表]。
5
单击 [注册IPSec策略]。
6
在 [策略名称] 中输入策略名称,并选中 [启用策略] 复选框。
[策略名称]
用于识别策略的名称最多输入 24 个字母数字字符。
 
[启用策略]
选中复选框可启用策略。不用策略时,则清除复选框。
 
7
指定选择器设置。
[本地地址]
从下表中选择要应用策略的本机 IP 地址的类型。
[全部IP地址]
选择则所有 IP 数据包使用 IPSec。
[IPv4地址]
选择则本机 IPv4 地址收发的所有 IP 数据包使用 IPSec。
[IPv6地址]
选择则本机 IPv6 地址收发的所有 IP 数据包使用 IPSec。
[IPv4手动设置]
选择可指定应用 IPSec 的单个 IPv4 地址或 IPv4 地址范围。在 [手动设置的地址] 文本框中输入 IPv4 地址(或范围)。
[IPv6手动设置]
选择可指定应用 IPSec 的单个 IPv6 地址或 IPv6 地址范围。在 [手动设置的地址] 文本框中输入 IPv6 地址(或范围)。
 
[手动设置的地址]
如果 [本地地址] 选择 [IPv4手动设置] 或 [IPv6手动设置],则输入要应用策略的 IP 地址。还可通过在地址间插入连字符输入地址范围。
IP 地址的输入格式
输入单个地址(IPv4)
数字用句点(.) 分隔(示例:192.168.1.10)。
输入单个地址(IPv6)
用冒号(:)分隔字母数字字符(示例:fe80::10)。
指定地址范围
在地址间插入连字符(示例:192.168.1.10-192.168.1.20 或 fe80::1000-fe80::1010)。
指定有前缀的地址范围(仅限IPv6)
输入地址,后面是斜线和表示前缀长度的数字(示例:fe80::1234/64)。
 
[子网设置]
手动指定 IPv4 地址时,可使用子网掩码表示范围。使用句点分隔的数字输入子网掩码(示例:“255.255.255.240”)。
 
[远程地址]
从如下所示的列表中选择要应用策略的其他设备的 IP 地址类型。
[全部IP地址]
选择则所有 IP 数据包使用 IPSec。
[全部IPv4地址]
选择则 IPv4 地址收发的所有 IP 数据包使用 IPSec。
[全部IPv6地址]
选择则 IPv6 地址收发的所有 IP 数据包使用 IPSec。
[IPv4手动设置]
选择可指定应用 IPSec 的单个 IPv4 地址或 IPv4 地址范围。在 [手动设置的地址] 文本框中输入 IPv4 地址(或范围)。
[IPv6 手动设置]
选择可指定应用 IPSec 的单个 IPv6 地址或 IPv6 地址范围。在 [手动设置的地址] 文本框中输入 IPv6 地址(或范围)。
 
[手动设置的地址]
如果 [远程地址] 选择 [IPv4手动设置] 或 [IPv6手动设置],则输入要应用策略的 IP 地址。还可通过在地址间插入连字符输入地址范围。
IP 地址的输入格式
输入单个地址(IPv4)
数字用句点(.)分隔(示例:192.168.1.10)。
输入单个地址(IPv6)
用冒号(:)分隔字母数字字符(示例:fe80::10)。
指定地址范围
在地址间插入连字符(示例:192.168.1.10-192.168.1.20 或 fe80::1000-fe80::1010)。
指定有前缀的地址范围(仅限IPv6)
输入地址,后面是斜线和表示前缀长度的数字(示例:fe80::1234/64)。
 
[子网设置]
手动指定 IPv4 地址时,可使用子网掩码表示范围。使用句点分隔的数字输入子网掩码(示例:“255.255.255.240”)。
 
[本地端口]/[远程端口]
如果要各协议创建单独策略,如 HTTP 或 SMTP,请输入协议适用的端口号,确定是否使用 IPSec。
IPSec 不应用于有指定多路传送或广播地址的数据包。
8
指定 IKE 设置。
[IKE模式]
显示用于密钥交换协议的模式,通常选择主模式。
IP 地址不固定时选择积极模式。请注意,积极模式比主模式安全性低。
 
[认证方法]
认证本机时,选择所使用方法的 [预共享密钥方法] 或 [数字签名方法]。
在 [IKE模式] 中选择积极模式时,[预共享密钥方法] 设置不会加密共享密钥。
 
[认证/加密算法]
要自动设置用于密钥交换的算法,请选中 [自动] 复选框。如果选中复选框,如下如示设置算法。
[认证]
[SHA1和MD5]
[加密]
[3DES-CBC和AES-CBC]
[DH群组]
[组 2(1024)]
要手动设置算法,则清除复选框并选择算法。
[认证]
选择散列算法。
[加密]
选择加密算法。
[DH群组]
选择确定密钥长度的 Diffie-Hellman 组。
 
使用 [预共享密钥方法] 认证
1
[认证方法] 选择 [预共享密钥方法] 并单击 [共享密钥设置]。
2
预共享密钥最多输入 24 个字母数字字符并单击 [确定]。
使用 [数字签名方法] 认证
1
[认证方法] 选择 [数字签名方法] 并单击 [密钥和证书]。
2
选择要使用的密钥对,并单击 [默认密钥设置]。
查看密钥对或证书的详细信息
通过单击 [密钥名称] 下相应的文本链接或证书图标,可检查证书的详细内容或校验证书。校验密钥对和数字证书
9
指定 IPSec 网络设置。
[使用PFS]
选中复选框可启用 IPSec 会话密钥的完全正向保密(PFS)。启用 PFS 可在增加通信负荷的同时增强安全性。确定其他设备也启用了 PFS。不用 PFS 时,则清除复选框。
 
[有效期]
指定 SA 用作通信隧道的时间。根据需要选中 [通过时间指定] 或 [通过尺寸指定] 复选框或选中两个复选框。如果选中两个复选框,满足一个条件就终止 IPSec SA 会话。
[通过时间指定]
以分钟为单位输入时间,指定会话持续的时间。输入的时间应用于 IPSec SA 和 IKE SA。
[通过尺寸指定]
以百万字节为单位输入大小,指定会话中可传输多少数据。输入的大小只应用于 IPSec SA。
如果只选中 [按大小指定] 复选框
IKE SA 有效期无法按大小指定,所以应用 [按时间指定] 的初始值(480分钟)。
 
[认证/加密算法]
选择用于 IPSec 通信的协议和算法。
自动设置连接
选择 [自动]。
[ESP认证]
启用 ESP,认证算法设置为 [SHA1和MD5]。
[ESP加密]
启用 ESP,加密算法设置为 [3DES-CBC 和 AES-CBC]。
使用 ESP
选择 [ESP],并选择认证算法和加密算法。
[ESP认证]
选择用于 ESP 认证的散列算法。
[ESP加密]
选择 ESP 的加密算法。
使用 AH
选择 [AH],从 [AH认证] 中选择用于 AH 认证的散列算法。
 
[连接模式]
显示 IPSec 的连接模式。本机支持传输模式,在此模式中加密 IP 数据包的净荷。封装整个 IP 数据包(头和净荷)的隧道模式不可用。
 
10
单击 [确定]。
如果需要注册其他安全策略,请返回步骤 5。
11
排列 [IPSec策略列表] 下所列的策略顺序。
从最高位到最低位应用策略。单击 [提高优先级] 或 [降低优先级],可上移或下移策略的顺序。
编辑策略
可单击 [策略名称] 下的文本链接编辑设置。
删除策略
单击所要删除策略右侧的 [删除]。
12
执行硬复位。
单击 [设备控制],选择 [硬复位] 然后单击 [执行]。
执行硬复位后启用设置。
 

启用 IPSec 通信

完成注册安全策略后,启用 IPSec 通信。
1
启动远程用户界面并以管理模式登录。启动远程用户界面
2
单击 [设置/注册]。
3
单击 [安全]  [IPSec设置]。
4
单击 [编辑]。
5
选中 [使用IPSec] 复选框并单击 [确定]。
[使用IPSec]
本机使用 IPSec 时,选中复选框。不用时,则清除复选框。还可从操作面板指定是否使用 IPSec(IPSec)。
 
[允许接收非策略数据包]
如果使用 IPSec 时选中复选框,也可发送/接收所注册策略不可用的数据包。要禁用发送/接收策略不可用的数据包,则清除复选框。
 
6
执行硬复位。
单击 [设备控制],选择 [硬复位] 然后单击 [执行]。
执行硬复位后启用设置。
0JXL-04E