可在Web Image Monitor進行本機的IPsec設定。下表說明各個設定項目。
IPsec設定項目
設定 |
說明 |
設定值 |
---|---|---|
IPsec |
指定要啟用或停用IPsec。 |
|
排除HTTPS通訊 |
指定是否啟用HTTPS傳送的IPsec。 |
如果不使用HTTPS傳送的IPsec,請指定「有效」。 |
也可從控制面板配置IPsec設定。
加密金鑰自動交換安全等級
當您選擇安全等級時,會自動設定某些安全性設定。下表說明安全等級功能。
安全等級 |
安全等級功能 |
---|---|
僅驗證 |
如果要驗證傳送夥伴,並防止資料受到未經授權的篡改,但不執行資料封包加密,請選擇此等級。 因為資料是以純文字傳送,所以資料封包很容易受到竊聽攻擊。如果您要交換敏感資訊,請勿選擇此等級。 |
驗證和等級低的加密 |
如果要加密資料封包、驗證傳送夥伴,並防止封包受到未經授權的篡改,請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級高的加密」低。 |
驗證和等級高的加密 |
如果要加密資料封包、驗證傳送夥伴,並防止封包受到未經授權的篡改,請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級低的加密」高。 |
下表列出根據安全等級自動配置的設定。
設定 |
僅驗證 |
驗證和等級低的加密 |
驗證和等級高的加密 |
---|---|---|---|
安全性原則 |
套用 |
套用 |
套用 |
封裝模式 |
傳輸 |
傳輸 |
傳輸 |
IPsec要求等級 |
可用時使用 |
可用時使用 |
總是需要 |
驗證方法 |
PSK |
PSK |
PSK |
階段1 Hash演算法 |
MD5 |
SHA1 |
SHA256 |
階段1加密演算法 |
DES |
3DES |
AES-128-CBC |
階段1 Diffie-Hellman群組 |
2 |
2 |
2 |
階段2安全性通訊協定 |
AH |
ESP |
ESP |
階段2驗證演算法 |
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
階段2加密演算法權限 |
純文字(無加密) |
3DES/AES-128/AES-192/AES-256 |
AES-128/AES-192/AES-256 |
階段2 PFS |
無效 |
無效 |
2 |
加密金鑰自動交換設定項目
指定安全等級時,會自動配置對應的安全性設定,但仍須手動配置其他的設定,例如,位址種類、本機位址及遠端位址。
在指定安全等級之後,您仍可以變更自動配置的設定。變更自動配置的設定時,安全等級會自動切換至「使用者設定」。
設定 |
說明 |
設定值 |
---|---|---|
位址種類 |
指定IPsec傳送使用的位址種類。 |
|
本機位址 |
指定機器的位址。如果要使用多個IPv6位址,也可以指定一個位址範圍。 |
機器的IPv4或IPv6位址。 如果不設定位址範圍,請在IPv4位址之後輸入32,或在IPv6位址之後輸入128。 |
遠端位址 |
指定IPsec傳送夥伴的位址。您也可以指定位址範圍。 |
IPsec傳送夥伴的IPv4或IPv6位址。 如果不設定位址範圍,請在IPv4位址之後輸入32,或在IPv6位址之後輸入128。 |
安全性原則 |
指定如何處理IPsec。 |
|
封裝模式 |
指定封裝模式。 (自動設定) |
如果指定「通道」,則必須指定「通道終點」,亦即開始IP位址及結束IP位址。將開始點的位址設成與「本機位址」所設的相同。 |
IPsec要求等級 |
指定是否只使用IPsec進行傳送,或無法建立IPsec時,允許純文字傳送。 (自動設定) |
|
驗證方法 |
指定用來驗證傳送夥伴的方式。 (自動設定) |
如果指定「PSK」,則必須設定PSK文字(使用ACSII字元)。 如果使用「PSK」,請使用ASCII字元(最多32個)指定PSK密碼。 如果指定「憑證」,則必須安裝及指定IPsec的憑證後,才能使用。 |
PSK文字 |
指定用於PSK驗證的預先 共用金鑰。 |
輸入PSK驗證所需的預先共用金鑰。 |
階段1 Hash演算法 |
指定用於階段1的Hash演算法。 (自動設定) |
|
階段1 加密演算法 |
指定用於階段1的加密演算法。 (自動設定) |
|
階段1 Diffie-Hellman群組 |
選擇用於產生IKE加密金鑰的Diffie-Hellman群組編號。 (自動設定) |
|
階段1 有效期間 |
指定階段1中SA設定的有效期間。 |
以秒為單位設定,範圍從300秒(5分鐘)到172,800秒(48小時)。 |
階段2 安全性通訊協定 |
指定用於階段2的安全性通訊協定。 若要對傳送的資料同時套用加密及驗證,請指定「ESP」或「ESP+AH」。 若要只套用驗證資料,請指定「AH」。 (自動設定) |
|
階段2 驗證演算法 |
指定用於階段2的驗證演算法。 (自動設定) |
|
階段2 加密演算法權限 |
指定用於階段2的加密演算法。 (自動設定) |
|
階段2 PFS |
指定是否啟用PFS。然後,如果啟用PFS,則請選擇Diffie-Hellman群組。 (自動設定) |
|
階段2 有效期間 |
指定階段2中SA設定的有效期間。 |
以秒為單位指定期間,範圍從300秒(5分鐘)到172,800秒(48小時)。 |