IPsec設定
本機器的IPsec設定可以從連接網路的電腦使用網頁瀏覽器指定。(我們使用本機上安裝的Web Image Monitor。)下表說明各個設定項目。
IPsec設定項目
設定 | 說明 | 設定值 |
---|---|---|
IPsec | 指定是否啟用或停用IPsec。 |
|
排除HTTPS通訊 | 指定是否啟用HTTPS傳送的IPsec。 |
如果不使用HTTPS傳送的IPsec,請指定「有效」。 |
也可從控制面板配置IPsec設定。
加密金鑰自動交換安全等級
當您選擇安全等級時,會自動設定某些安全性設定。下表說明安全等級功能。
安全等級 | 安全等級功能 |
---|---|
僅驗證 | 如果要驗證傳送夥伴,並防止資料受到未經授權的篡改,但不執行資料封包加密,請選擇此等級。 因為資料是以純文字傳送,所以,資料封包很容易受到竊聽攻擊。如果您要交換敏感資訊,請勿選擇此等級。 |
驗證和等級低的加密 | 如果要加密資料封包、驗證傳送夥伴,並防止封包受到未經授權的篡改,請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級高的加密」低。 |
驗證和等級高的加密 | 如果要加密資料封包、驗證傳送夥伴,並防止封包受到未經授權的篡改,請選擇此等級。封包加密有助於防止竊聽攻擊。此等級提供的安全性比「驗證和等級低的加密」高。 |
下表列出根據安全等級自動配置的設定。
設定 | 僅驗證 | 驗證和等級低的加密 | 驗證和等級高的加密 |
---|---|---|---|
安全性原則 | 套用 | 套用 | 套用 |
封裝模式 | 傳輸 | 傳輸 | 傳輸 |
IPsec要求等級 | 可用時使用 | 可用時使用 | 總是需要 |
驗證方法 | PSK | PSK | PSK |
階段1Hash演算法 | MD5 | SHA1 | SHA256 |
階段1加密演算法 | DES | 3DES | AES-128-CBC |
階段1Diffie-Hellman群組 | 2 | 2 | 2 |
階段2安全性通訊協定 | AH | ESP | ESP |
階段2驗證演算法 | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
階段2加密演算法權限 | 純文字(無加密) | 3DES/AES-128/AES-192/AES-256 | AES-128/AES-192/AES-256 |
階段2PFS | 無效 | 無效 | 2 |
加密金鑰自動交換設定項目
指定安全等級時,會自動配置對應的安全性設定,但仍須手動配置其他的設定,例如,位址種類、本機位址及遠端位址。
在指定安全等級之後,您仍可以變更自動配置的設定。變更自動配置的設定時,安全等級會自動切換至「使用者設定」。
設定 | 說明 | 設定值 |
---|---|---|
位址種類 | 指定IPsec傳送使用的位址種類。 |
|
本機位址 | 指定機器的位址。如果要使用多個IPv6位址,也可以指定一個位址範圍。 | 機器的IPv4或IPv6位址。 如果不設定位址範圍,請在IPv4位址之後輸入32,或在IPv6位址之後輸入128。 |
遠端位址 | 指定IPsec傳送夥伴的位址。您也可以指定位址範圍。 | IPsec傳送夥伴的IPv4或IPv6位址。 如果不設定位址範圍,請在IPv4位址之後輸入32,或在IPv6位址之後輸入128。 |
安全性原則 | 指定如何處理IPsec。 |
|
封裝模式 | 指定封裝模式。 (自動設定) |
如果指定「通道」,則必須指定「通道終點」,亦即開始IP位址及結束IP位址。將開始點的位址設成與「本機位址」所設的相同。 |
IPsec要求等級 | 指定是否只使用IPsec進行傳送,或無法建立IPsec時,允許純文字傳送。 (自動設定) |
|
驗證方法 | 指定用來驗證傳送夥伴的方式。 (自動設定) |
如果指定「PSK」,則必須設定PSK文字(使用ACSII字元)。 如果使用「PSK」,請使用ASCII字元(最多32個)指定PSK密碼。 如果指定「憑證」,則必須安裝及指定IPsec的憑證後,才能使用。 |
PSK文字 | 指定用於PSK驗證的預先 共用金鑰。 | 輸入PSK驗證所需的預先共用金鑰。 |
階段1 Hash演算法 | 指定用於階段1的Hash演算法。 (自動設定) |
|
階段1 加密演算法 | 指定用於階段1的加密演算法。 (自動設定) |
|
階段1 Diffie-Hellman群組 | 選擇用於產生IKE加密金鑰的Diffie-Hellman群組編號。 (自動設定) |
|
階段1 有效期間 | 指定階段1中SA設定的有效期間。 | 以秒為單位設定,範圍從300秒(5分鐘)到172,800秒(48小時)。 |
階段2 安全性通訊協定 | 指定用於階段2的安全性通訊協定。 若要對傳送的資料同時套用加密及驗證,請指定「ESP」或「ESP+AH」。 若要只套用驗證資料,請指定「AH」。 (自動設定) |
|
階段2 驗證演算法 | 指定用於階段2的驗證演算法。 (自動設定) |
|
階段2 加密演算法權限 | 指定用於階段2的加密演算法。 (自動設定) |
|
階段2 PFS | 指定是否啟用PFS。然後,如果啟用PFS,則請選擇Diffie-Hellman群組。 (自動設定) |
|
階段2 有效期間 | 指定階段2中SA設定的有效期間。 | 以秒為單位指定期間,範圍從300秒(5分鐘)到172,800秒(48小時)。 |