主屏幕网页管理工具使用IPsec通信

使用IPsec通信

如果您的环境要求IPsec,请配置此设置。

IPsec技术通过采用加密技术防止通过IP数据包伪造或泄露数据。由于IPsec在网络层加密数据,即便您使用上一层的协议或使用不支持加密的应用程序,仍然可以保证安全通信。

  1. Web Connection的管理员模式下(或在本机的[机器设置]-[管理员]中)选择[网络]-[TCP/IP 设置]-[IPsec]-[IPsec设置],然后单击[确定]。

  2. 在[IPsec设置]的[IKEv1]或[IKEv2]中单击[编辑],然后配置以下设置。

    设置

    说明

    [加密算法]

    选择用于创建通信用通用密钥的加密算法。

    [验证算法]

    选择用于创建通信用通用密钥的认证算法。

    [加密密钥有效期]

    指定通用密钥的有效期,安全创建用于加密通信的通用密钥(默认值为[28800]秒)。

    当超过此期限时,会创建新的密钥。这样可以保护通信安全。

    [Diffie-Hellman 组]

    选择Diffie-Hellman群组(默认值为[组 2])。

    [协商模式]

    选择协商模式(默认值为[主模式])。该选项在[IKEv2]中不可用。

  3. 在[IPsec设置]的[SA]中,单击[注册]并注册安全关联(SA)。

    • 最多可以为SA注册10个群组。

    设置

    说明

    [名称]

    输入SA名称(使用1至10个字符,不含")。

    [封装模式]

    选择IPsec操作模式(默认值为[传送])。

    [安全协议]

    选择一种安全协议。

    [按键更换方式]

    选择安全创建加密通信使用的通用密钥所需的密钥更换方法(默认值为[IKEv1])。

    [信道终端点]

    如果在[封装模式]中选择了[通道],请输入用作通讯对方的IPsec网关的IP地址。

    [建立SA后的寿命]

    输入用于加密通信的通用密钥的有效时间(默认值为[3600]秒)。

    [IKE设置]

    配置用于此SA的IKE设置。当在[按键更换方式]中选择[IKEv1]或[IKEv2]时需要此项。

    • [认证方式]:选择一种认证方法。

    • [本地认证方式]:当在[按键更换方式]中选择了[IKEv2]时,选择本机的认证方法。

    • [通信对方认证方式]:当在[按键更换方式]中选择了[IKEv2]时,选择通讯对方认证方法。

    • [ESN]:应用64位扩展顺序编号时,请将该选项设置为开启。

    • [Replay Detection]:启用播放保护时,请将该选项设置为开启。

    • [ESP加密算法]:如果将[安全协议]选择为[ESP],配置ESP加密算法。

    • [ESP验证算法]:如果将[安全协议]选择为[ESP],配置ESP认证算法。

    • [AH验证算法]:如果将[安全协议]选择为[AH],配置AH认证算法。

    • [Perfect Forward Secrecy]:增大IKE强度时,请将该选项设置为开启。设置为开启可延长通信时间。

  4. 在[IPsec设置]的[通讯对方]中,单击[注册]并注册本机的通讯对方。

    • 最多可以注册10个通讯对方。

    设置

    说明

    [通讯对方]

    注册通讯对方时,请将该选项设置为开启(默认值为关闭)。

    [名称]

    输入通讯对方名称(使用1至10个字符,不含")。

    [设置IP地址]

    选择指定通讯对方地址的方法。根据选定的方法指定通讯对方的IP地址。

    [Pre-Shared Key 文本]

    输入与通讯对方共享的预共享密钥文本(使用最多128个ASCII字符或最多256个十六进制字符)。

    指定与通讯对方相同的文本。

    [Key-ID文本]

    输入为预共享密钥指定的密钥ID (最多可用128个字节)。

  5. 在[IPsec设置]的[协议指定]中单击[注册],指定用于IPsec通信的协议。

    • 最多可以指定10个协议。

    设置

    说明

    [协议指定]

    注册协议设置时,请将该选项设置为开启(默认值为关闭)。

    [名称]

    输入指定协议的群组名称(使用1至10个字符,不包括")。

    [协议识别设置]

    选择用于IPsec通信的协议(默认值为[无])。

    [端口号]

    如果已在[协议识别设置]中选择[TCP]或[UDP],指定用于IPsec通信的端口号。

    [ICMP信息类型]

    当在[协议识别设置]中选择了[ICMP]时,指定ICMP信息类型。

    [ICMPv6信息类型]

    当在[协议识别设置]中选择了[ICMPv6]时,指定ICMP信息类型。

  6. Web Connection的管理员模式下(或在本机的[机器设置]-[管理员]中)选择[网络]-[TCP/IP 设置]-[IPsec]-[IPsec使用设置],然后单击[确定]。

  7. 在[IPsec使用设置]中,配置以下设置。

    设置

    说明

    [IPsec]

    使用IPsec时,请将该选项设置为开启(默认值为关闭)。

    [失效对象检测]

    如果在一定时间内无法确认从通讯对方得到响应,将删除与通讯对方的SA。选择向当前无响应的通讯对方发送留存确认信息前的等待时间(默认值为[15]秒)。

    [Cookies]

    选择是否启用通过Cookies防御拒绝服务攻击(默认值为[关闭])。

    [ICMP通过设置]

    选择是否对Internet控制消息协议(ICMP)应用IPsec(默认值为[关闭])。选择[启用]允许ICMP数据包通行,无需对ICMP应用IPsec。

    [ICMPv6通过设置]

    选择是否对用于IPv6 (ICMPv6)的Internet控制消息协议应用IPsec(默认值为[关闭])。选择[启用]允许ICMPv6数据包通行,无需对ICMPv6应用IPsec。

    [默认活动]

    选择如果启用IPsec通信时没有符合[IPsec策略]的设置将采取哪些处理方式(默认值为[允许])。选择[拒绝]放弃不符合[IPsec策略]设置的IP数据包。

    [证书验证等级设置]

    如需验证证书,请选择需要验证的项目。

    • [有效期]:确认证书是否处于有效期内(默认值为开启)。

    • [键使用方法]:确认证书的使用是否符合证书发行机构的目标用途(默认值为关闭)。

    • [链式]:确认证书链(证书路径)是否存在问题(默认值为关闭)。系统参照本机管理的外部证书验证证书链。

    • [过期确认]:确认证书是否过期(默认值为关闭)。按照先OCSP(联机证书状态协议)服务,再CRL(证书吊销列表)的顺序执行过期确认。

  8. 在[IPsec使用设置]的[IPsec策略]中,单击[注册],然后配置以下设置。

    • IP数据包条件可以指定为通过或允许满足每个条件的IP数据包。

    设置

    说明

    [IPsec策略]

    选择是否使用IPsec策略(默认值为[关闭])。

    [名称]

    输入IPsec策略名称(使用1至10个字符,不含")。

    [通讯对方]

    选择通讯对方设置。从[IPsec设置]的[通讯对方]中注册的设置中选择设置。

    [协议指定]

    选择一种协议。从[IPsec设置]的[协议指定]中注册的设置中选择设置。

    [IPsec设置]

    选择SA设置。从[IPsec设置]的[SA]中注册的设置中选择设置。

    [通信方向]

    选择IPsec通信的方向。

    [活动]

    选择符合指定条件的IP数据包的操作。

    • [保护]:保护符合条件的IP数据包。

    • [允许]:不保护符合条件的IP数据包。

    • [拒绝]:放弃符合条件的IP数据包。

    • [取消]:拒绝符合条件的IP数据包。

  9. 选择[IPsec]-[通信检查],然后检查使用配置的设置是否可以正常建立与通讯对方的连接。

    • 在[IP地址]中输入通讯对方的IP地址,然后单击[检查连接]。