首页 > 安全指南 > 提升网络安全 > 配置IPsec设置 > IPsec设置

IPsec设置

上一个下一个

本设备的IPsec设置可在Web Image Monitor上进行设置。下表介绍了各个设置项目。

IPsec设置项目

设置	描述	设置值
IPsec	指定是启用还是禁用IPsec。	有效无效
排除HTTPS通信	指定是否支持IPsec进行HTTPS传送。	有效无效如果不想使用IPsec进行HTTPS传送，请指定“有效”。

设置

描述

设置值

IPsec

指定是启用还是禁用IPsec。

有效
无效

排除HTTPS通信

指定是否支持IPsec进行HTTPS传送。

有效
无效

如果不想使用IPsec进行HTTPS传送，请指定“有效”。

您还可以从控制面板配置IPsec设置。

加密密钥自动交换安全等级

选择某个安全等级后，就会自动配置一定的安全设置。下表介绍了安全等级特性。

安全等级	安全等级特性
仅验证	如果要验证传送方并防止未经授权篡改数据，但不执行数据包加密，请选择此等级。由于数据以明文发送，因此数据包易受窃取攻击。如果要交换敏感信息，请勿选择此等级。
验证和低等级的加密	如果要加密数据包和验证传送方，并防止未经授权篡改数据，请选择此等级。数据包加密有助于防止窃取攻击。此等级提供的安全性低于“验证和高等级的加密”。
验证和高等级的加密	如果要加密数据包和验证传送方，并防止未经授权篡改数据，请选择此等级。数据包加密有助于防止窃取攻击。此等级提供的安全性高于“验证和低等级的加密”。

安全等级

安全等级特性

仅验证

如果要验证传送方并防止未经授权篡改数据，但不执行数据包加密，请选择此等级。

由于数据以明文发送，因此数据包易受窃取攻击。如果要交换敏感信息，请勿选择此等级。

验证和低等级的加密

如果要加密数据包和验证传送方，并防止未经授权篡改数据，请选择此等级。数据包加密有助于防止窃取攻击。此等级提供的安全性低于“验证和高等级的加密”。

验证和高等级的加密

如果要加密数据包和验证传送方，并防止未经授权篡改数据，请选择此等级。数据包加密有助于防止窃取攻击。此等级提供的安全性高于“验证和低等级的加密”。

下表列出了根据安全等级自动配置的设置。

设置	仅验证	验证和低等级的加密	验证和高等级的加密
安全策略	应用	应用	应用
封装模式	传输	传输	传输
IPsec需求等级	当在可能的情况下使用	当在可能的情况下使用	始终需要
验证方式	PSK	PSK	PSK
阶段1 散列算法	MD5	SHA1	SHA256
阶段1 加密算法	DES	3DES	AES-128-CBC
阶段1 Diffie-Hellman组	2	2	2
阶段2 安全协议	AH	ESP	ESP
阶段2 验证算法	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
阶段2 加密算法许可	明文（NULL加密）	3DES/AES-128/AES-192/AES-256	AES-128/AES-192/AES-256
阶段2 PFS	无效	无效	2

加密密钥自动交换设置项目

指定安全等级后，将自动配置相应的安全设置，但其他设置（如，地址类型、本地地址和远程地址）仍必须手动进行配置。

指定安全等级后，仍可对自动配置的设置进行更改。更改自动配置的设置后，安全等级会自动切换到“用户设定”。

设置	描述	设置值
地址类型	指定使用IPsec传送的地址类型。	无效 IPv4 IPv6 IPv4/IPv6（仅限默认设置）
本地地址	指定机器的地址。如果使用IPv6中的多个地址，也可以指定地址范围。	机器的IPv4或IPv6地址。如果未设置地址范围，请在IPv4地址后输入32，或在IPv6地址后输入128。
远程地址	指定IPsec传送方的地址。您也可以指定地址范围。	IPsec传送方的IPv4或IPv6地址。如果未设置地址范围，请在IPv4地址后输入32，或在IPv6地址后输入128。
安全策略	指定处理IPsec的方式。	应用手送废弃
封装模式	指定封装模式。（自动设置）	传输通道如果指定“通道”，则必须指定“通道端点”，即起始和结束IP地址。将起始点的地址设置为您在“本地地址”中设置的地址。
IPsec需求等级	指定是仅使用IPsec传送，还是在无法建立IPsec时允许明文传送。（自动设置）	当在可能的情况下使用始终需要
验证方式	指定用于验证传送方的方法。（自动设置）	PSK 证书如果指定“PSK”，则必须设置PSK文本（使用ASCII字符）。如果使用“PSK”，请指定PSK密码（最多使用32个ASCII字符）。如果指定“证书”，则必须先安装并指定IPsec的证书，然后才能使用。
PSK字符串	为PSK验证指定预共享密钥。	输入PSK验证所需的预共享密钥。
阶段1 散列算法	指定要在阶段1中使用的散列算法。（自动设置）	MD5 SHA1 SHA256 SHA384 SHA512
阶段1 加密算法	指定要在阶段1中使用的加密算法。（自动设置）	DES 3DES AES-128-CBC AES-192-CBC AES-256-CBC
阶段1 Diffie-Hellman组	选择用于生成IKE加密密钥的Diffie-Hellman组编号。（自动设置）	1 2 14
阶段1 有效期	指定SA设置在阶段1中生效的时间段。	设置范围（以秒计），从300秒（5分钟）到172800秒（48小时）。
阶段2 安全协议	指定要在阶段2中使用的安全协议。若要向所发送数据同时应用加密和验证，请指定“ESP”或“ESP+AH”。若要仅应用验证数据，请指定“AH”。（自动设置）	ESP AH ESP+AH
阶段2 验证算法	指定要在阶段2中使用的验证算法。（自动设置）	HMAC-MD5-96 HMAC-SHA1-96 HMAC-SHA256-128 HMAC-SHA384-192 HMAC-SHA512-256
阶段2 加密算法许可	指定要在阶段2中使用的加密算法。（自动设置）	明文（NULL加密） DES 3DES AES-128 AES-192 AES-256
阶段2 PFS	指定是否激活PFS。如果激活了PFS，则随后选择Diffie-Hellman群组。（自动设置）	无效 1 2 14
阶段2 有效期	指定SA设置在阶段2中生效的时间段。	指定时间段（以秒计），从300（5分钟）到172800（48小时）。

上一个

下一个