IPsec Settings

สามารถกำหนดค่า IPsec สำหรับเครื่องนี้ได้ผ่านเว็บเบราว์เซอร์จากคอมพิวเตอร์เครือข่าย (ใช้ Web Image Monitor ที่ติดตั้งในคอมพิวเตอร์) ตารางดังต่อไปนี้อธิบายถึงการตั้งค่าแต่ละรายการ

รายการสำหรับการตั้งค่า IPsec

การตั้งค่า	คำอธิบาย	ค่าสำหรับการตั้งค่า
IPsec	กำหนดว่าจะเปิดหรือปิดใช้ IPsec	Active Inactive
Exclude HTTPS Communication	กำหนดว่าจะเปิด IPsec สำหรับการรับส่งข้อมูลแบบ HTTPS หรือไม่	Active Inactive กำหนด "Active" หากไม่ต้องการใช้ IPsec สำหรับการรับส่งข้อมูลแบบ HTTPS

นอกจากนี้ยังสามารถกำหนดการตั้งค่า IPsec ได้จากแผงควบคุมอีกด้วย

ระดับความปลอดภัยสำหรับการแลกคีย์เข้ารหัสแบบอัตโนมัติ

เมื่อเลือกระดับความปลอดภัย ระบบจะทำการกำหนดค่าความปลอดภัยบางอย่างโดยอัตโนมัติ ตารางดังต่อไปนี้อธิบายถึงฟีเจอร์ต่างๆ ของระดับความปลอดภัย

ระดับความปลอดภัย	ฟีเจอร์สำหรับระดับความปลอดภัย
Authentication Only	เลือกระดับนี้หากต้องการให้มีการรับรองผู้ร่วมรับส่งข้อมูลและป้องกันการเข้าดูข้อมูลโดยไม่ได้รับอนุญาต แต่ไม่ต้องการให้เข้ารหัสแพคเก็ตข้อมูล เนื่องจากเป็นการส่งข้อมูลแบบ cleartext (ไม่มีการเข้ารหัส) ดังนั้นแพคเก็ตข้อมูลจะเสี่ยงต่อการถูกโจมตี ห้ามเลือกตัวเลือกนี้ หากมีการแลกเปลี่ยนข้อมูลที่เป็นความลับ
Authentication and Low Level Encryption	เลือกระดับนี้หากต้องการเข้ารหัสแพคเก็ตข้อมูล ตลอดจนรับรองผู้ร่วมรับส่งข้อมูลและป้องกันการเข้าดูแพคเก็ตข้อมูลโดยไม่ได้รับอนุญาต การเข้ารหัสแพคเก็ตสามารถช่วยป้องกันการโจมตีได้ ระดับนี้จะมีความปลอดภัยน้อยกว่า "Authentication and High Level Encryption"
Authentication and High Level Encryption	เลือกระดับนี้หากต้องการเข้ารหัสแพคเก็ตข้อมูล ตลอดจนรับรองผู้ร่วมรับส่งข้อมูลและป้องกันการเข้าดูแพคเก็ตข้อมูลโดยไม่ได้รับอนุญาต การเข้ารหัสแพคเก็ตสามารถช่วยป้องกันการโจมตีได้ ระดับนี้จะมีความปลอดภัยที่สูงกว่า "Authentication and Low Level Encryption"

ระดับความปลอดภัย

ฟีเจอร์สำหรับระดับความปลอดภัย

Authentication Only

เลือกระดับนี้หากต้องการให้มีการรับรองผู้ร่วมรับส่งข้อมูลและป้องกันการเข้าดูข้อมูลโดยไม่ได้รับอนุญาต แต่ไม่ต้องการให้เข้ารหัสแพคเก็ตข้อมูล

เนื่องจากเป็นการส่งข้อมูลแบบ cleartext (ไม่มีการเข้ารหัส) ดังนั้นแพคเก็ตข้อมูลจะเสี่ยงต่อการถูกโจมตี ห้ามเลือกตัวเลือกนี้ หากมีการแลกเปลี่ยนข้อมูลที่เป็นความลับ

Authentication and Low Level Encryption

เลือกระดับนี้หากต้องการเข้ารหัสแพคเก็ตข้อมูล ตลอดจนรับรองผู้ร่วมรับส่งข้อมูลและป้องกันการเข้าดูแพคเก็ตข้อมูลโดยไม่ได้รับอนุญาต การเข้ารหัสแพคเก็ตสามารถช่วยป้องกันการโจมตีได้ ระดับนี้จะมีความปลอดภัยน้อยกว่า "Authentication and High Level Encryption"

Authentication and High Level Encryption

เลือกระดับนี้หากต้องการเข้ารหัสแพคเก็ตข้อมูล ตลอดจนรับรองผู้ร่วมรับส่งข้อมูลและป้องกันการเข้าดูแพคเก็ตข้อมูลโดยไม่ได้รับอนุญาต การเข้ารหัสแพคเก็ตสามารถช่วยป้องกันการโจมตีได้ ระดับนี้จะมีความปลอดภัยที่สูงกว่า "Authentication and Low Level Encryption"

ตารางดังต่อไปนี้แสดงการตั้งค่าที่ระบบจะกำหนดให้สอดคล้องกับระดับความปลอดภัยโดยอัตโนมัติ

การตั้งค่า	Authentication Only	Authentication and Low Level Encryption	Authentication and High Level Encryption
Security Policy	Apply	Apply	Apply
Encapsulation Mode	Transport	Transport	Transport
IPsec Requirement Level	Use When Possible	Use When Possible	Always Require
Authentication Method	PSK	PSK	PSK
Phase 1Hash Algorithm	MD5	SHA1	SHA256
Phase 1Encryption Algorithm	DES	3DES	AES-128-CBC
Phase 1Diffie-Hellman Group	2	2	2
Phase 2Security Protocol	AH	ESP	ESP
Phase 2Authentication Algorithm	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
Phase 2Encryption Algorithm Permissions	Cleartext (ไม่มีการเข้ารหัส)	3DES/AES-128/AES-192/AES-256	AES-128/AES-192/AES-256
Phase 2PFS	Inactive	Inactive	2

รายการสำหรับการตั้งค่าการแลกคีย์เข้ารหัสแบบอัตโนมัติ

เมื่อกำหนดระดับความปลอดภัย ระบบจะกำหนดค่าความปลอดภัยให้มีความสอดคล้องโดยอัตโนมัติ แต่ยังคงต้องกำหนดค่าอื่นๆ ด้วยตัวเอง เช่น ประเภทของที่อยู่ ที่อยู่ของเครื่อง (local address) และที่อยู่ของเครื่องที่อยู่ระยะไกล (remote address)

หลังจากที่กำหนดระดับความปลอดภัยแล้ว ยังคงสามารถเปลี่ยนแปลงแก้ไขการตั้งค่าที่กำหนดให้โดยอัตโนมัตินี้ได้ เมื่อเปลี่ยนแปลงแก้ไขการตั้งค่าที่กำหนดให้โดยอัตโนมัตินี้ ระดับความปลอดภัยจะสลับไปเป็น "User Setting" โดยอัตโนมัติ

การตั้งค่า	คำอธิบาย	ค่าสำหรับการตั้งค่า
Address Type	กำหนดชนิดของที่อยู่ที่ใช้สำหรับการรับส่งข้อมูล IPsec	Inactive IPv4 IPv6 IPv4/IPv6 (เฉพาะการตั้งค่าเริ่มต้นเท่านั้น)
Local Address	กำหนดที่อยู่ของเครื่อง หากใช้หลายที่อยู่ใน IPv6 จะสามารถกำหนดที่อยู่ให้เป็นแบบช่วงได้	ที่อยู่ IPv4 หรือ IPv6 ของเครื่อง หากไม่ตั้งค่าช่วงที่อยู่ โปรดป้อนค่า 32 ต่อจากที่อยู่ IPv4 หรือป้อนค่า 128 ต่อจากที่อยู่ IPv6
Remote Address	กำหนดที่อยู่ของผู้ร่วมรับส่งข้อมูล IPsec นอกจากนี้ยังสามารถกำหนดที่อยู่ให้เป็นแบบช่วงได้อีกด้วย	ที่อยู่ IPv4 หรือ IPv6 ของผู้ร่วมรับส่งข้อมูล IPsec หากไม่ตั้งค่าช่วงที่อยู่ โปรดป้อนค่า 32 ต่อจากที่อยู่ IPv4 หรือป้อนค่า 128 ต่อจากที่อยู่ IPv6
Security Policy	กำหนดวิธีควบคุม IPsec	Apply Bypass Discard
Encapsulation Mode	กำหนดโหมด Encapsulation (ห่อหุ้ม) (ตั้งค่าโดยอัตโนมัติ)	Transport Tunnel หากกำหนด "Tunnel" จะต้องกำหนด "Tunnel End Point" ซึ่งเป็นช่วงเริ่มต้นและสิ้นสุดของ IP Address ตั้งค่าที่อยู่สำหรับจุดเริ่มต้นให้ตรงกับที่ตั้งค่าใน "Local Address"
IPsec Requirement Level	กำหนดว่าจะให้รับส่งข้อมูลโดยใช้เฉพาะ IPsec เท่านั้นหรืออนุญาตให้มีการรับส่งข้อมูลแบบ cleartext ในกรณีที่ IPsec ไม่สามารถทำงานได้ (ตั้งค่าโดยอัตโนมัติ)	Use When Possible Always Require
Authentication Method	กำหนดวิธีการยืนยันตัวตนผู้ร่วมรับส่งข้อมูล (ตั้งค่าโดยอัตโนมัติ)	PSK Certificate หากกำหนด "PSK" จะต้องกำหนดข้อความ PSK ด้วย (โดยใช้ตัวอักษรแบบ ASCII) หากใช้ "PSK" โปรดกำหนดรหัสผ่าน PSK ด้วยตัวอักษรแบบ ASCII สูงสุดไม่เกิน 32 ตัว หากกำหนด "Certificate" จะต้องมีการติดตั้งและกำหนดใบรับรองสำหรับ IPsec ก่อนที่จะถูกนำไปใช้งาน
PSK Text	กำหนดคีย์ที่แชร์ร่วมกันซึ่งกำหนดไว้ล่วงหน้า (Pre-Shared Key) สำหรับ การยืนยันตัวตนด้วย PSK	ป้อนคีย์ที่แชร์ร่วมกันซึ่งกำหนดไว้ล่วงหน้า (Pre-Shared Key) สำหรับการยืนยันตัวตนด้วย PSK
Phase 1 Hash Algorithm	กำหนดอัลกอริธึมสำหรับการ Hash ที่จะใช้ใน phase 1 (ตั้งค่าโดยอัตโนมัติ)	MD5 SHA1 SHA256 SHA384 SHA512
Phase 1 Encryption Algorithm	กำหนดอัลกอริธึมสำหรับการเข้ารหัสที่จะใช้ใน phase 1 (ตั้งค่าโดยอัตโนมัติ)	DES 3DES AES-128-CBC AES-192-CBC AES-256-CBC
Phase 1 Diffie-Hellman Group	เลือกหมายเลขกลุ่ม Diffie-Hellman ที่จะใช้สร้างคีย์สำหรับเข้ารหัส IKE (ตั้งค่าโดยอัตโนมัติ)	1 2 14
Phase 1 Validity Period	กำหนดระยะเวลาที่การตั้งค่า SA ใน phase 1 สามารถใช้ได้	ตั้งค่าในหน่วยวินาที ตั้งแต่ 300 วินาที (5 นาที) ถึง 172,800 วินาที (48 ชั่วโมง)
Phase 2 Security Protocol	กำหนดโปรโตคอลสำหรับความปลอดภัยที่จะใช้ใน Phase 2 หากต้องการนำทั้งการเข้ารหัสและการยืนยันตัวตนมาใช้กับข้อมูลที่ส่ง โปรดกำหนด "ESP" หรือ "ESP+AH" หากต้องการนำเอาเฉพาะข้อมูลยืนยันตัวตนมาใช้เท่านั้น โปรดกำหนด "AH" (ตั้งค่าโดยอัตโนมัติ)	ESP AH ESP+AH
Phase 2 Authentication Algorithm	กำหนดอัลกอริธึมสำหรับการยืนยันตัวตนที่จะใช้ใน phase 2 (ตั้งค่าโดยอัตโนมัติ)	HMAC-MD5-96 HMAC-SHA1-96 HMAC-SHA256-128 HMAC-SHA384-192 HMAC-SHA512-256
Phase 2 Encryption Algorithm Permissions	กำหนดอัลกอริธึมสำหรับการเข้ารหัสที่จะใช้ใน phase 2 (ตั้งค่าโดยอัตโนมัติ)	Cleartext (ไม่มีการเข้ารหัส) DES 3DES AES-128 AES-192 AES-256
Phase 2 PFS	กำหนดว่าจะเปิดใช้งาน PFS หรือไม่ หากมีการเปิดใช้ PFS โปรดเลือก Diffie-Hellman Group (ตั้งค่าโดยอัตโนมัติ)	Inactive 1 2 14
Phase 2 Validity Period	กำหนดระยะเวลาสำหรับการตั้งค่า SA ใน phase 2 ที่สามารถใช้งานได้	กำหนดระยะเวลา (วินาที) ตั้งแต่ 300 (5 นาที) ถึง 172,800 (48 ชั่วโมง)