首頁 > 安全性指南 > 增強網路安全性 > 配置IPsec設定 > IPsec設定

IPsec設定

上一個下一個

可在Web Image Monitor進行本機的IPsec設定。下表說明各個設定項目。

IPsec設定項目

設定	說明	設定值
IPsec	指定要啟用或停用IPsec。	有效無效
排除HTTPS通訊	指定是否啟用HTTPS傳送的IPsec。	有效無效如果不使用HTTPS傳送的IPsec，請指定「有效」。

設定

說明

設定值

IPsec

指定要啟用或停用IPsec。

有效
無效

排除HTTPS通訊

指定是否啟用HTTPS傳送的IPsec。

有效
無效

如果不使用HTTPS傳送的IPsec，請指定「有效」。

也可從控制面板配置IPsec設定。

加密金鑰自動交換安全等級

當您選擇安全等級時，會自動設定某些安全性設定。下表說明安全等級功能。

安全等級	安全等級功能
僅驗證	如果要驗證傳送夥伴，並防止資料受到未經授權的篡改，但不執行資料封包加密，請選擇此等級。因為資料是以純文字傳送，所以資料封包很容易受到竊聽攻擊。如果您要交換敏感資訊，請勿選擇此等級。
驗證和等級低的加密	如果要加密資料封包、驗證傳送夥伴，並防止封包受到未經授權的篡改，請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級高的加密」低。
驗證和等級高的加密	如果要加密資料封包、驗證傳送夥伴，並防止封包受到未經授權的篡改，請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級低的加密」高。

安全等級

安全等級功能

僅驗證

如果要驗證傳送夥伴，並防止資料受到未經授權的篡改，但不執行資料封包加密，請選擇此等級。

因為資料是以純文字傳送，所以資料封包很容易受到竊聽攻擊。如果您要交換敏感資訊，請勿選擇此等級。

驗證和等級低的加密

如果要加密資料封包、驗證傳送夥伴，並防止封包受到未經授權的篡改，請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級高的加密」低。

驗證和等級高的加密

如果要加密資料封包、驗證傳送夥伴，並防止封包受到未經授權的篡改，請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級低的加密」高。

下表列出根據安全等級自動配置的設定。

設定	僅驗證	驗證和等級低的加密	驗證和等級高的加密
安全性原則	套用	套用	套用
封裝模式	傳輸	傳輸	傳輸
IPsec要求等級	可用時使用	可用時使用	永遠使用
驗證方法	PSK	PSK	PSK
階段1 Hash演算法	MD5	SHA1	SHA256
階段1加密演算法	DES	3DES	AES-128-CBC
階段1 Diffie-Hellman群組	2	2	2
階段2安全性通訊協定	AH	ESP	ESP
階段2驗證演算法	HMAC-SHA1-96／HMAC-SHA256-128／HMAC-SHA384-192／HMAC-SHA512-256	HMAC-SHA1-96／HMAC-SHA256-128／HMAC-SHA384-192／HMAC-SHA512-256	HMAC-SHA256-128／HMAC-SHA384-192／HMAC-SHA512-256
階段2加密演算法權限	純文字（無加密）	3DES／AES-128／AES-192／AES-256	AES-128／AES-192／AES-256
階段2 PFS	無效	無效	2

加密金鑰自動交換設定項目

指定安全等級時，會自動配置對應的安全性設定，但仍須手動配置其他的設定，例如，位址種類、本機位址及遠端位址。

在指定安全等級之後，您仍可以變更自動配置的設定。變更自動配置的設定時，安全等級會自動切換至「使用者設定」。

設定	說明	設定值
位址種類	指定IPsec傳送使用的位址種類。	無效 IPv4 IPv6 IPv4/IPv6（僅預設設定）
本機位址	指定機器的位址。如果要使用多個IPv6位址，也可以指定一個位址範圍。	機器的IPv4或IPv6位址。如果不設定位址範圍，請在IPv4位址之後輸入32，或在IPv6位址之後輸入128。
遠端位址	指定IPsec傳送夥伴的位址。您也可以指定位址範圍。	IPsec傳送夥伴的IPv4或IPv6位址。如果不設定位址範圍，請在IPv4位址之後輸入32，或在IPv6位址之後輸入128。
安全性原則	指定如何處理IPsec。	套用略過丟棄
封裝模式	指定封裝模式。（自動設定）	傳輸通道如果指定「通道」，則必須指定「通道終點」，亦即開始IP位址及結束IP位址。將開始點的位址設成與「本機位址」所設的相同。
IPsec要求等級	指定是否只使用IPsec進行傳送，或無法建立IPsec時，允許純文字傳送。（自動設定）	可用時使用永遠使用
驗證方法	指定用來驗證傳送夥伴的方式。（自動設定）	PSK 憑證如果指定「PSK」，則必須設定PSK文字（使用ACSII字元）。如果使用「PSK」，請使用ASCII字元（最多32個）指定PSK密碼。如果指定「憑證」，則必須安裝及指定IPsec的憑證後才能使用。
PSK文字	指定用於PSK驗證的預先共用金鑰。	輸入PSK驗證所需的預先共用金鑰。
階段1 Hash演算法	指定用於階段1的Hash演算法。（自動設定）	MD5 SHA1 SHA256 SHA384 SHA512
階段1 加密演算法	指定用於階段1的加密演算法。（自動設定）	DES 3DES AES-128-CBC AES-192-CBC AES-256-CBC
階段1 Diffie-Hellman群組	選擇用於產生IKE加密金鑰的Diffie-Hellman群組編號。（自動設定）	1 2 14
階段1 有效期間	指定階段1中SA設定的有效期間。	以秒為單位設定，範圍從300秒（5分鐘）到172,800秒（48小時）。
階段2 安全性通訊協定	指定用於階段2的安全性通訊協定。若要對傳送的資料同時套用加密及驗證，請指定「ESP」或「ESP+AH」。若要只套用驗證資料，請指定「AH」。（自動設定）	ESP AH ESP+AH
階段2 驗證演算法	指定用於階段2的驗證演算法。（自動設定）	HMAC-MD5-96 HMAC-SHA1-96 HMAC-SHA256-128 HMAC-SHA384-192 HMAC-SHA512-256
階段2 加密演算法權限	指定用於階段2的加密演算法。（自動設定）	純文字（無加密） DES 3DES AES-128 AES-192 AES-256
階段2 PFS	指定是否啟用PFS。然後，如果啟用PFS，則請選擇Diffie-Hellman群組。（自動設定）	無效 1 2 14
階段2 有效期間	指定階段2中SA設定的有效期間。	以秒為單位指定期間，範圍從300秒（5分鐘）到172,800秒（48小時）。

上一個

下一個