Последовательность конфигурирования настроек автообмена ключами шифрования

Для использования сертификата аутентификации партнера по передаче в настройках автоматического обмена ключами шифрования необходимо установить сертификат устройства.
После настройки IPsec можно использовать команду "Ping" для контроля правильности соединения. Однако команду "Ping" нельзя использовать, если ICMP исключается из передачи IPsec на стороне компьютера. Кроме того, поскольку при первоначальном обмене ключами отклик происходит медленно, подтверждение установления соединения может занять некоторое время.
Указание настроек автообмена ключами шифрования
Чтобы изменить метод аутентификации партнера передачи для настроек автообмена ключом шифрования в "Сертификат", нужно сначала установить и назначить сертификат. Для получения сведений о создании и установке сертификата устройства см. Руководство Пользователя к устройству. Для получения сведений о методах назначения установленных сертификатов IPsec см. Выбор сертификата для IPsec.
Войдите в систему в качестве сетевого администратора из приложения Web Image Monitor.
Для получения сведений о входе в систему см. Руководство Пользователя к устройству.
Наведите курсор на [Управление устройством] и нажмите [Конфигурация].
Нажмите кнопку [IPsec] во вкладке "Безопасность".
Нажмите кнопку [Изменить] в разделе "Настройки автообмена ключами шифрования".
Выполните настройки ключа шифрования с автоматическим обменом в [Настройки 1].
Если требуется выполнить сразу несколько настроек, выберите количество настроек и добавьте настройки.
Нажмите [OK].
Выберите [Активн.] для "IPsec" в "IPsec".
Если не требуется использовать IPsec для передачи HTTPS выберите для параметра "Исключая соединение HTTPS" значение [Активн.].
Нажмите [OK].
Появится сообщение “Обновление...”. Подождите 1 или 2 минуты, а затем нажмите [OK].
Если после нажатия кнопки [OK] предыдущий экран не отображается, подождите некоторое время, после чего нажмите кнопку обновления страницы в веб-браузере.
Выйдите из системы.
Выбор сертификата для IPsec
С помощью Web Image Monitor выберите сертификат, используемый для IPsec. Сертификат необходимо установить до начала его использования. Для получения сведений о создании и установке сертификата устройства см. Руководство Пользователя к устройству.
Войдите в систему в качестве сетевого администратора из приложения Web Image Monitor.
Для получения сведений о входе в систему см. Руководство Пользователя к устройству.
Наведите курсор на [Управление устройством] и нажмите [Конфигурация].
Нажмите [Сертификат устройства] в разделе "Безопасность".
В выпадающем списке "IPsec" во вкладке "Сертификация" выберите сертификат, который должен использоваться для IPsec.
Нажмите [OK].
Сертификат для IPsec задан.
Появится сообщение “Обновление...”. Подождите 1 или 2 минуты, а затем нажмите [OK].
Если после нажатия кнопки [OK] предыдущий экран не отображается, подождите некоторое время, после чего нажмите кнопку обновления страницы в веб-браузере.
Выйдите из системы.
Укажите параметры IPsec компьютера.
Настройте параметры SA IPsec компьютера таким образом, чтобы они в точности совпадали с уровнем безопасности аппарата. Метод настройки зависит от операционной системы компьютера. В приведенном ниже примере выбора уровня безопасности "Аутентификация и шифрование коротким ключом" используется Windows 10.
Нажмите правой кнопкой мыши на кнопку [Пуск], выберите пункт [Панель управления], затем категорию [Система и безопасность] и пункт [Администрирование].
В Windows 7 нажмите на кнопку [Пуск], выберите [Панель управления], [Система и безопасность], а затем [Администрирование].
Дважды нажмите [Локальная политика безопасности].
При появлении диалогового окна "Контроль учетных записей пользователей" нажмите кнопку [Да].
Нажмите правой кнопкой мыши на пункт [Политика безопасности IP на локальном компьютере].
В Windows 7 двойным щелчком нажмите [Политика безопасности IP на локальном компьютере].
Нажмите [ССоздать политику IP-безопасности].
В Windows 7 нажмите на пункт [Создать политику безопасности IP] в меню "Действие".
Появляется проводник политики безопасности IP.
Нажмите [Далее].
В поле "Имя" введите имя политики безопасности, а затем нажмите [Далее].
Снимите метку с окошечка "Использовать правило по умолчанию", а затем нажмите [Далее].
Выберите "Изменить свойства", а затем нажмите [Готово].
Во вкладке "Общие" нажмите кнопку [Параметры].
В окне "Проверять подлинность и создавать новый ключ каждые:" введите тот же период действия (в минутах), который был указан на этапе "Настройки автообмена ключами шифрования, Фаза 1", а затем нажмите кнопку [Методы].
Убедитесь, что настройки алгоритмов хеширования ("Целостность"), шифрования ("Шифрование") и "Группа Диффи-Хелмана" в "Методы безопасности в порядке предпочтения" соответствуют настройкам, указанным на аппарате в "Настройки автообмена ключами шифрованияФаза 1".
Если настройки не отображаются, нажмите [Добавить].
Дважды нажмите [OK].
Нажмите [Добавить] во вкладке "Правила".
Появляется проводник правил безопасности.
Нажмите [Далее].
Выберите "Это правило не указывает туннель" и нажмите [Далее].
Выберите тип сети для IPsec и нажмите [Далее].
Нажмите [Добавить] в списке фильтров IP.
В поле [Имя] введите имя фильтра IP, а затем нажмите [Добавить].
Появляется проводник фильтра IP.
Нажмите [Далее].
При необходимости введите описание фильтра IP, а затем нажмите кнопку [Далее].
Выберите "Мой IP-адрес" в поле "Адрес источника" и нажмите [Далее].
Выберите значение "Определенный IP-адрес или подсеть" для параметра "Адрес назначения", введите IP-адрес устройства, а затем нажмите [Далее].
Выберите для IPsec тип протокола, а затем нажмите [Далее].
Если выбрано "TCP" или "UDP", укажите порт источника и порт назначения, а затем нажмите [Далее].
Нажмите [Готово] (Finish).
Нажмите [OK].
Выберите фильтр IP, который был только что создан, а затем нажмите [Далее].
Нажмите [Добавить].
Появится мастер составления фильтра.
Нажмите [Далее].
В поле [Имя] введите имя фильтра IP, затем нажмите кнопку [Далее].
Выберите вариант "Согласовать безопасность" и нажмите [Далее].
Выберите вариант "Разрешить небезопасную связь, если невозможно установить безопасное подключение.", затем нажмите [Далее].
Выберите "Особое" и нажмите [Параметры].
В разделе "Алгоритм проверки целостности" выберите алгоритм аутентификации, который был указан для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".
В разделе "Алгоритм шифрования" выберите алгоритм шифрования, указанный для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".
В настройках ключа сеанса выберите вариант "Смена ключа каждые:" и введите период действия (в секундах), который был указан для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".
Нажмите [OK].
Нажмите [Далее].
Нажмите [Готово] (Finish).
Выберите только что созданное действие фильтра, а затем нажмите кнопку [Далее].
При установке "Настройки автообмена ключами шифрования" на "Аутентификация и шифрование длинным ключом", выберите только что созданное действие фильтра, нажмите кнопку [Редактировать], а затем выберите "Использовать сессионный ключ совершенной прямой секретности (PFS)" в диалоговом окне свойств действия фильтра. При использовании PFS в Windows номер группы PFS, используемый в фазе 2, автоматически согласовывается в фазе 1 с номером группы Диффи-Хеллмана (установленным на шаге 11). Соответственно, если вы измените указанные автоматические настройки уровня безопасности на устройстве, и у вас появится экран "“Парам.польз.”", вы должны установить такой же номер группы для параметра "Фаза 1Группа Диффи-Хеллмана" и "Фаза 2PFS" на устройстве для обеспечения передачи IPsec.
Выберите метод аутентификации и нажмите [Далее].
Если для метода аутентификации в разделе "Настройки автообмена ключами шифрования" на аппарате выбран вариант "Сертификат", укажите сертификат устройства. В случае выбора "PSK" введите тот же текст PSK, который задан на аппарате с предварительно выданным ключом.
Нажмите [Готово] (Finish).
При использовании IPv6 необходимо повторить эту процедуру с шага 13 и указать ICMPv6 в качестве исключения.
Дойдя до шага 23 выберите [58] как номер протокола для типа целевого протокла "Other", затем установите [Negotiate security] на[Permit].
Нажмите [OK].
Новая политика безопасности IP (настройки IPsec) задана.
Выберите политику безопасности, которая только что была создана, нажмите правой кнопкой мыши, а затем нажмите [Назначить].
Параметры IPsec компьютера включены. Если нажать [Снять], настройки IPsec для компьютера будут выключены.