略過標頭
 

可在Web Image Monitor進行本機的IPsec設定。下表說明各個設定項目。

IPsec設定項目

設定

說明

設定值

IPsec

指定要啟用或停用IPsec。

  • 有效

  • 無效

排除HTTPS通訊

指定是否啟用HTTPS傳送的IPsec。

  • 有效

  • 無效

如果不使用HTTPS傳送的IPsec,請指定「有效」。

也可從控制面板配置IPsec設定。

加密金鑰自動交換安全等級

當您選擇安全等級時,會自動設定某些安全性設定。下表說明安全等級功能。

安全等級

安全等級功能

僅驗證

如果要驗證傳送夥伴,並防止資料受到未經授權的篡改,但不執行資料封包加密,請選擇此等級。

因為資料是以純文字傳送,所以資料封包很容易受到竊聽攻擊。如果您要交換敏感資訊,請勿選擇此等級。

驗證和等級低的加密

如果要加密資料封包、驗證傳送夥伴,並防止封包受到未經授權的篡改,請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級高的加密」低。

驗證和等級高的加密

如果要加密資料封包、驗證傳送夥伴,並防止封包受到未經授權的篡改,請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級低的加密」高。

下表列出根據安全等級自動配置的設定。

設定

僅驗證

驗證和等級低的加密

驗證和等級高的加密

安全性原則

套用

套用

套用

封裝模式

傳輸

傳輸

傳輸

IPsec要求等級

可用時使用

可用時使用

總是需要

驗證方法

PSK

PSK

PSK

階段1 Hash演算法

MD5

SHA1

SHA256

階段1加密演算法

DES

3DES

AES-128-CBC

階段1 Diffie-Hellman群組

2

2

2

階段2安全性通訊協定

AH

ESP

ESP

階段2驗證演算法

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

階段2加密演算法權限

純文字(無加密)

3DES/AES-128/AES-192/AES-256

AES-128/AES-192/AES-256

階段2 PFS

無效

無效

2

加密金鑰自動交換設定項目

指定安全等級時,會自動配置對應的安全性設定,但仍須手動配置其他的設定,例如,位址種類、本機位址及遠端位址。

在指定安全等級之後,您仍可以變更自動配置的設定。變更自動配置的設定時,安全等級會自動切換至「使用者設定」。

設定

說明

設定值

位址種類

指定IPsec傳送使用的位址種類。

  • 無效

  • IPv4

  • IPv6

  • IPv4/IPv6(僅預設設定)

本機位址

指定機器的位址。如果要使用多個IPv6位址,也可以指定一個位址範圍。

機器的IPv4或IPv6位址。

如果不設定位址範圍,請在IPv4位址之後輸入32,或在IPv6位址之後輸入128。

遠端位址

指定IPsec傳送夥伴的位址。您也可以指定位址範圍。

IPsec傳送夥伴的IPv4或IPv6位址。

如果不設定位址範圍,請在IPv4位址之後輸入32,或在IPv6位址之後輸入128。

安全性原則

指定如何處理IPsec。

  • 套用

  • 略過

  • 丟棄

封裝模式

指定封裝模式。

(自動設定)

  • 傳輸

  • 通道

如果指定「通道」,則必須指定「通道終點」,亦即開始IP位址及結束IP位址。將開始點的位址設成與「本機位址」所設的相同。

IPsec要求等級

指定是否只使用IPsec進行傳送,或無法建立IPsec時,允許純文字傳送。

(自動設定)

  • 可用時使用

  • 總是需要

驗證方法

指定用來驗證傳送夥伴的方式。

(自動設定)

  • PSK

  • 憑證

如果指定「PSK」,則必須設定PSK文字(使用ACSII字元)。

如果使用「PSK」,請使用ASCII字元(最多32個)指定PSK密碼。

如果指定「憑證」,則必須安裝及指定IPsec的憑證後,才能使用。

PSK文字

指定用於PSK驗證的預先

共用金鑰。

輸入PSK驗證所需的預先共用金鑰。

階段1

Hash演算法

指定用於階段1的Hash演算法。

(自動設定)

  • MD5

  • SHA1

  • SHA256

  • SHA384

  • SHA512

階段1

加密演算法

指定用於階段1的加密演算法。

(自動設定)

  • DES

  • 3DES

  • AES-128-CBC

  • AES-192-CBC

  • AES-256-CBC

階段1

Diffie-Hellman群組

選擇用於產生IKE加密金鑰的Diffie-Hellman群組編號。

(自動設定)

  • 1

  • 2

  • 14

階段1

有效期間

指定階段1中SA設定的有效期間。

以秒為單位設定,範圍從300秒(5分鐘)到172,800秒(48小時)。

階段2

安全性通訊協定

指定用於階段2的安全性通訊協定。

若要對傳送的資料同時套用加密及驗證,請指定「ESP」或「ESP+AH」。

若要只套用驗證資料,請指定「AH」。

(自動設定)

  • ESP

  • AH

  • ESP+AH

階段2

驗證演算法

指定用於階段2的驗證演算法。

(自動設定)

  • HMAC-MD5-96

  • HMAC-SHA1-96

  • HMAC-SHA256-128

  • HMAC-SHA384-192

  • HMAC-SHA512-256

階段2

加密演算法權限

指定用於階段2的加密演算法。

(自動設定)

  • 純文字(無加密)

  • DES

  • 3DES

  • AES-128

  • AES-192

  • AES-256

階段2

PFS

指定是否啟用PFS。然後,如果啟用PFS,則請選擇Diffie-Hellman群組。

(自動設定)

  • 無效

  • 1

  • 2

  • 14

階段2

有效期間

指定階段2中SA設定的有效期間。

以秒為單位指定期間,範圍從300秒(5分鐘)到172,800秒(48小時)。