คู่มือการใช้งานและบำรุงรักษาเครื่อง (User Guide)P 501/502

#0084

ก่อนหน้าถัดไป

การกำหนดการตั้งค่า IPsec ของคอมพิวเตอร์

กำหนดการตั้งค่า IPsec SA ของเครื่องคอมพิวเตอร์เพื่อให้ตรงกับระดับความปลอดภัยของเครื่อง วิธีการตั้งค่าจะแตกต่างกันไป ขึ้นอยู่กับระบบปฏิบัติการของเครื่องคอมพิวเตอร์ ขั้นตอนตัวอย่างที่แสดงในที่นี้ใช้ Windows 10 และเลือกระดับความปลอดภัย "Authentication and Low Level Encryption"

1คลิกขวาที่ปุ่ม [Start] คลิก [Control Panel], [System and Security] จากนั้นคลิกที่ [Administrative Tools]

จาก Windows 7 คลิกที่ปุ่ม [Start] จากนั้นคลิกที่ [Control Panel], [System and Security] แล้วเลือก [Administrative Tools]

ภายใต้ Windows 8 ให้วางเมาส์ไว้บริเวณด้านบนสุดหรือมุมขวาล่างของหน้าจอ จากนั้นคลิก [Settings], [Control Panel], [System and Security] จากนั้นคลิก [Administrative Tools]

2คลิกสองครั้งที่ [Local Security Policy]

หากมีหน้าต่าง "User Account Control" ปรากฏขึ้น โปรดคลิก [Yes]

3คลิกขวาที่ [IP Security Policies on Local Computer]

จาก Windows 7/8 ดับเบิลคลิกที่ [IP Security Policies on Local Computer]

4คลิก [Create IP Security Policy]

จาก Windows 7/8 คลิกที่ [Create IP Security Policy] จากเมนู "Action"

IP Security Policy Wizard จะแสดงขึ้น

5คลิก [Next]

6ป้อนชื่อนโยบายด้านความปลอดภัยลงใน "Name" จากนั้นคลิก [Next]

7ล้าง Check Box "Activate the default response rule" จากนั้นคลิก [Next]

8เลือก "Edit properties" จากนั้นคลิก [Finish]

9ในแท็บ "General" โปรดคลิก [Settings]

10ใน "Authenticate and generate a new key after every" โปรดป้อนระยะเวลาที่สามารถใช้งานได้ (นาที) ซึ่งเหมือนกับที่กำหนดไว้บนเครื่องลงใน "Encryption Key Auto Exchange SettingsPhase 1" จากนั้นคลิก [Methods]

11ตรวจสอบดูว่าการตั้งค่าอัลกอริธึมสำหรับการแฮช ("Integrity"), อัลกอริธึมสำหรับเข้ารหัส ("Encryption") และ "Diffie-Hellman Group" ใน "Security method preference order" ทั้งหมดตรงกันกับที่กำหนดไว้บนเครื่อง ใน "Encryption Key Auto Exchange SettingsPhase 1"

หากระบบไม่แสดงการตั้งค่าใดๆ โปรดคลิก [Add]

12คลิก [OK] สองครั้ง

13คลิก [Add] ในแท็บ "Rules"

หน้าจอ Security Rule Wizard จะแสดงขึ้น

14คลิก [Next]

15เลือก "This rule does not specify a tunnel" จากนั้นคลิก [Next]

16เลือกประเภทของเครือข่ายสำหรับ IPsec จากนั้นคลิก [Next]

17คลิก [Add] ใน IP Filter List.

18ใน [Name] โปรดป้อนชื่อ IP Filter จากนั้นคลิก [Add]

หน้าจอ IP Filter Wizard จะแสดงขึ้น

19คลิก [Next]

20หากจำเป็น ให้ป้อนคำอธิบายของ IP Filter จากนั้นคลิก [Next]

21เลือก "My IP Address" ใน "Source address" จากนั้นคลิก [Next]

22เลือก "A specific IP Address or Subnet" ใน "Destination address" และป้อน IP Address ของเครื่อง จากนั้นคลิก [Next]

23เลือกชนิดของโปรโตคอลสำหรับ IPsec จากนั้นคลิก [Next]

หากเลือก "TCP" หรือ "UDP" ให้กำหนดทั้งพอร์ตต้นทางและปลายทาง จากนั้นคลิก [Next]

24คลิก [Finish]

25คลิก [OK]

26เลือก IP Filter ที่เพิ่งสร้างขึ้นมา จากนั้นคลิก [Next]

27คลิก [Add]

หน้าจอ Filter action wizard จะปรากฏขึ้น

28คลิก [Next]

29ใน [Name] ให้ป้อน action name สำหรับ IP Filter จากนั้นคลิก [Next]

30เลือก "Negotiate security" จากนั้นคลิก [Next]

31เลือก "Allow unsecured communication if a secure connection cannot be established." จากนั้นคลิก [Next]

32เลือก "Custom" และคลิก [Settings]

33ใน "Integrity algorithm" เลือกอัลกอริธึมสำหรับการยืนยันตัวตนที่กำหนดไว้บนเครื่อง ใน "Encryption Key Auto Exchange SettingsPhase 2"

34ใน "Encryption algorithm" เลือกอัลกอริธึมสำหรับการเข้ารหัสที่กำหนดไว้บนเครื่อง ใน "Encryption Key Auto Exchange SettingsPhase 2"

35ใน "Session key settings" โปรดเลือก "Generate a new key every" แล้วป้อนระยะเวลาที่สามารถใช้งานได้ (วินาที) ที่กำหนดไว้บนเครื่อง ใน "Encryption Key Auto Exchange SettingsPhase 2"

36คลิก [OK]

37คลิก [Next]

38คลิก [Finish]

39เลือก filter action (การกรอง) ที่เพิ่งสร้างขึ้นมา จากนั้นคลิก [Next]

หากตั้งค่า "Encryption Key Auto Exchange Settings" ให้เป็น "Authentication and High Level Encryption" โปรดเลือกการกรอง IP (filter action) ที่เพิ่งสร้างขึ้นมา คลิก [Edit] จากนั้นเลือก "Use session key perfect forward secrecy (PFS)" บนกล่องคุณสมบัติสำหรับการกรอง (filter action) หากใช้ PFS ใน Windows ระบบจะหาหมายเลขกลุ่มของ PFS ให้จากหมายเลขกลุ่มของ Diffie-Hellman (ได้จากขั้นตอนที่ 11) ใน phase 1 โดยอัตโนมัติ เพื่อนำมาใช้ใน phase 2 หลังจากนั้น หากเปลี่ยนแปลงแก้ไขระดับความปลอดภัยที่ระบบกำหนดในการตั้งค่าให้บนเครื่องโดยอัตโนมัติ และมี “User Setting” แสดงขึ้น จะต้องตั้งหมายเลขกลุ่มให้เหมือนกันทั้งสำหรับ "Phase 1Diffie-Hellman Group" และ "Phase 2PFS" บนเครื่อง เพื่อเริ่มการรับส่งข้อมูลด้วย IPsec

40เลือกวิธีการยืนยันตัวตน จากนั้นคลิก [Next]

หากเลือก "Certificate" เป็นวิธีการยืนยันตัวตน ใน "Encryption Key Auto Exchange Settings" บนเครื่อง โปรดกำหนดใบรับรองอุปกรณ์ หากเลือก "PSK" โปรดป้อนข้อความ PSK เหมือนกับที่กำหนดไว้บนเครื่องที่มีคีย์ที่แชร์ร่วมกันซึ่งกำหนดไว้ล่วงหน้า (Pre-Shared Key)

41คลิก [Finish]

หากใช้ IPv6 จะต้องทำขั้นตอนนี้ซ้ำตั้งแต่ขั้นตอนที่ 13 จากนั้นเพิ่ม ICMPv6 เป็นข้อยกเว้น

เมื่อถึงขั้นตอนที่ 23 ให้เลือก [58] เป็นหมายเลขโปรโตคอลสำหรับประเภทโปรโตคอลเป้าหมาย "Other" จากนั้นกำหนด [Negotiate security] เป็น [Permit]

42คลิก [OK]

ระบบได้กำหนดนโยบายความปลอดภัย (Security Policy) ใหม่ของ IP (หรือตั้งค่า IPsec) เรียบร้อยแล้ว

43เลือกนโยบายความปลอดภัยที่เพิ่งสร้างขึ้นมา คลิกขวา จากนั้นคลิก [Assign]

ระบบได้เปิดใช้การตั้งค่า IPsec ของเครื่องคอมพิวเตอร์เรียบร้อยแล้ว หากคลิก [Un-assign] ค่า IPsec ของคอมพิวเตอร์จะถูกปิดใช้งาน

คู่มือการใช้งานเครื่อง บนสุดหน้าแรก>คู่มือด้านความปลอดภัย>การกำหนดค่า IPsec>กระบวนการกำหนดค่า Encryption Key Auto Exchange Settings>การกำหนดการตั้งค่า IPsec ของคอมพิวเตอร์
วิธีใช้คู่มือนี้
หน้าแรก

Copyright © 2019, 2020, 2021

หน้าแรก