Руководство Пользователя

Последовательность конфигурирования настроек автообмена ключами шифрования

Иллюстрация процесса настройки параметров автоматического обмена ключами шифрования

Важно

  • Для использования сертификата аутентификации партнера по передаче в настройках автоматического обмена ключами шифрования необходимо установить сертификат устройства.

  • После настройки IPsec можно использовать команду "Ping" для контроля правильности соединения. Однако команду "Ping" нельзя использовать, если ICMP исключается из передачи IPsec на стороне компьютера. Кроме того, поскольку при первоначальном обмене ключами отклик происходит медленно, подтверждение установления соединения может занять некоторое время.

Указание настроек автообмена ключами шифрования

Чтобы изменить метод аутентификации партнера передачи для настроек автообмена ключом шифрования в "Сертификат", нужно сначала установить и назначить сертификат. Для получения сведений о создании и установке сертификата устройства см. Руководство Пользователя к устройству. Для получения сведений о методах назначения установленных сертификатов IPsec см. Выбор сертификата для IPsec.

1Войдите в систему в качестве сетевого администратора из приложения Web Image Monitor.

Для получения сведений о входе в систему см. Руководство Пользователя к устройству.

2Наведите курсор на [Управление устройством] и нажмите [Конфигурация].

3Нажмите кнопку [IPsec] во вкладке "Безопасность".

4Нажмите кнопку [Изменить] в разделе "Настройки автообмена ключами шифрования".

5Выполните настройки ключа шифрования с автоматическим обменом в [Настройки 1].

Если требуется выполнить сразу несколько настроек, выберите количество настроек и добавьте настройки.

6Нажмите [OK].

7Выберите [Активн.] для "IPsec" в "IPsec".

8Если не требуется использовать IPsec для передачи HTTPS выберите для параметра "Исключая соединение HTTPS" значение [Активн.].

9Нажмите [OK].

10Появится сообщение “Обновление...”. Подождите 1 или 2 минуты, а затем нажмите [OK].

Если после нажатия кнопки [OK] предыдущий экран не отображается, подождите некоторое время, после чего нажмите кнопку обновления страницы в веб-браузере.

11Выйдите из системы.

Выбор сертификата для IPsec

С помощью Web Image Monitor выберите сертификат, используемый для IPsec. Сертификат необходимо установить до начала его использования. Для получения сведений о создании и установке сертификата устройства см. Руководство Пользователя к устройству.

1Войдите в систему в качестве сетевого администратора из приложения Web Image Monitor.

Для получения сведений о входе в систему см. Руководство Пользователя к устройству.

2Наведите курсор на [Управление устройством] и нажмите [Конфигурация].

3Нажмите [Сертификат устройства] в разделе "Безопасность".

4В выпадающем списке "IPsec" во вкладке "Сертификация" выберите сертификат, который должен использоваться для IPsec.

5Нажмите [OK].

Сертификат для IPsec задан.

6Появится сообщение “Обновление...”. Подождите 1 или 2 минуты, а затем нажмите [OK].

Если после нажатия кнопки [OK] предыдущий экран не отображается, подождите некоторое время, после чего нажмите кнопку обновления страницы в веб-браузере.

7Выйдите из системы.

Укажите параметры IPsec компьютера.

Настройте параметры SA IPsec компьютера таким образом, чтобы они в точности совпадали с уровнем безопасности аппарата. Метод настройки зависит от операционной системы компьютера. В приведенном ниже примере выбора уровня безопасности "Аутентификация и шифрование коротким ключом" используется Windows 10.

1Нажмите правой кнопкой мыши на кнопку [Пуск], выберите пункт [Панель управления], затем категорию [Система и безопасность] и пункт [Администрирование].

В Windows 7 нажмите на кнопку [Пуск], выберите [Панель управления], [Система и безопасность], а затем [Администрирование].

2Дважды нажмите [Локальная политика безопасности].

При появлении диалогового окна "Контроль учетных записей пользователей" нажмите кнопку [Да].

3Нажмите правой кнопкой мыши на пункт [Политика безопасности IP на локальном компьютере].

В Windows 7 двойным щелчком нажмите [Политика безопасности IP на локальном компьютере].

4Нажмите [ССоздать политику IP-безопасности].

В Windows 7 нажмите на пункт [Создать политику безопасности IP] в меню "Действие".

Появляется проводник политики безопасности IP.

5Нажмите [Далее].

6В поле "Имя" введите имя политики безопасности, а затем нажмите [Далее].

7Снимите метку с окошечка "Использовать правило по умолчанию", а затем нажмите [Далее].

8Выберите "Изменить свойства", а затем нажмите [Готово].

9Во вкладке "Общие" нажмите кнопку [Параметры].

10В окне "Проверять подлинность и создавать новый ключ каждые:" введите тот же период действия (в минутах), который был указан на этапе "Настройки автообмена ключами шифрования, Фаза 1", а затем нажмите кнопку [Методы].

11Убедитесь, что настройки алгоритмов хеширования ("Целостность"), шифрования ("Шифрование") и "Группа Диффи-Хелмана" в "Методы безопасности в порядке предпочтения" соответствуют настройкам, указанным на аппарате в "Настройки автообмена ключами шифрованияФаза 1".

Если настройки не отображаются, нажмите [Добавить].

12Дважды нажмите [OK].

13Нажмите [Добавить] во вкладке "Правила".

Появляется проводник правил безопасности.

14Нажмите [Далее].

15Выберите "Это правило не указывает туннель" и нажмите [Далее].

16Выберите тип сети для IPsec и нажмите [Далее].

17Нажмите [Добавить] в списке фильтров IP.

18В поле [Имя] введите имя фильтра IP, а затем нажмите [Добавить].

Появляется проводник фильтра IP.

19Нажмите [Далее].

20При необходимости введите описание фильтра IP, а затем нажмите кнопку [Далее].

21Выберите "Мой IP-адрес" в поле "Адрес источника" и нажмите [Далее].

22Выберите значение "Определенный IP-адрес или подсеть" для параметра "Адрес назначения", введите IP-адрес устройства, а затем нажмите [Далее].

23Выберите для IPsec тип протокола, а затем нажмите [Далее].

Если выбрано "TCP" или "UDP", укажите порт источника и порт назначения, а затем нажмите [Далее].

24Нажмите [Готово] (Finish).

25Нажмите [OK].

26Выберите фильтр IP, который был только что создан, а затем нажмите [Далее].

27Нажмите [Добавить].

Появится мастер составления фильтра.

28Нажмите [Далее].

29В поле [Имя] введите имя фильтра IP, затем нажмите кнопку [Далее].

30Выберите вариант "Согласовать безопасность" и нажмите [Далее].

31Выберите вариант "Разрешить небезопасную связь, если невозможно установить безопасное подключение.", затем нажмите [Далее].

32Выберите "Особое" и нажмите [Параметры].

33В разделе "Алгоритм проверки целостности" выберите алгоритм аутентификации, который был указан для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".

34В разделе "Алгоритм шифрования" выберите алгоритм шифрования, указанный для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".

35В настройках ключа сеанса выберите вариант "Смена ключа каждые:" и введите период действия (в секундах), который был указан для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".

36Нажмите [OK].

37Нажмите [Далее].

38Нажмите [Готово] (Finish).

39Выберите только что созданное действие фильтра, а затем нажмите кнопку [Далее].

При установке "Настройки автообмена ключами шифрования" на "Аутентификация и шифрование длинным ключом", выберите только что созданное действие фильтра, нажмите кнопку [Редактировать], а затем выберите "Использовать сессионный ключ совершенной прямой секретности (PFS)" в диалоговом окне свойств действия фильтра. При использовании PFS в Windows номер группы PFS, используемый в фазе 2, автоматически согласовывается в фазе 1 с номером группы Диффи-Хеллмана (установленным на шаге 11). Соответственно, если вы измените указанные автоматические настройки уровня безопасности на устройстве, и у вас появится экран "“Парам.польз.”", вы должны установить такой же номер группы для параметра "Фаза 1Группа Диффи-Хеллмана" и "Фаза 2PFS" на устройстве для обеспечения передачи IPsec.

40Выберите метод аутентификации и нажмите [Далее].

Если для метода аутентификации в разделе "Настройки автообмена ключами шифрования" на аппарате выбран вариант "Сертификат", укажите сертификат устройства. В случае выбора "PSK" введите тот же текст PSK, который задан на аппарате с предварительно выданным ключом.

41Нажмите [Готово] (Finish).

При использовании IPv6 необходимо повторить эту процедуру с шага 13 и указать ICMPv6 в качестве исключения.

Дойдя до шага 23 выберите [58] как номер протокола для типа целевого протокла "Other", затем установите [Negotiate security] на[Permit].

42Нажмите [OK].

Новая политика безопасности IP (настройки IPsec) задана.

43Выберите политику безопасности, которая только что была создана, нажмите правой кнопкой мыши, а затем нажмите [Назначить].

Параметры IPsec компьютера включены. Если нажать [Снять], настройки IPsec для компьютера будут выключены.