Настройки IPsec

Настройки IPsec для этого аппарата могут быть выполнены в Web Image Monitor. Отдельные пункты такой установки поясняются в следующей таблице.

Параметры настроек IPsec

Настройка

Описание

Значение

IPsec

Определяет необходимость включения или отключения IPsec.

Активн.

Неактивн.

Исключая соединение HTTPS

Указать, следует ли включить IPsec для передачи HTTPS.

Активн.

Неактивн.

Укажите "Активн.", если использовать IPsec для передачи HTTPS не требуется.

Параметры IPsec можно также настроить с панели управления.

Настройка	Описание	Значение
IPsec	Определяет необходимость включения или отключения IPsec.	Активн. Неактивн.
Исключая соединение HTTPS	Указать, следует ли включить IPsec для передачи HTTPS.	Активн. Неактивн. Укажите "Активн.", если использовать IPsec для передачи HTTPS не требуется.

Уровень безопасности автоматического обмена ключами шифрования

При выборе уровня безопасности определенные настройки безопасности конфигурируются автоматически. Функции уровня безопасности поясняются в следующей таблице.

Уровень безопасности

Функции уровня безопасности

Только аутентификация

Выберите этот уровень, если требуется аутентификация партнера по передаче и предотвращение неавторизованного изменения данных, но не требуется шифрование пакета данных.
Если данные посланы в открытом тексте, пакеты данных уязвимы для перехвата. Не выбирайте эту функцию, если нужно обмениваться информацией, которую легко перехватить.

Аутентификация и шифрование коротким ключом

Выберите этот уровень, если требуется шифрование пакетов данных, а также аутентификация партнера по передаче и предотвращение неавторизованного изменения пакета данных. Шифрование пакета помогает предотвратить перехват. Этот уровень обеспечивает меньшую безопасность, чем "Аутентификация и шифрование длинным ключом".

Аутентификация и шифрование длинным ключом

Выберите этот уровень, если требуется шифрование пакетов данных, а также аутентификация партнера по передаче и предотвращение неавторизованного изменения пакета данных. Шифрование пакета помогает предотвратить перехват. Этот уровень обеспечивает более высокую безопасность, чем "Аутентификация и шифрование коротким ключом".

В следующей таблицы перечислены настройки, которые конфигурируются автоматически в соответствии с уровнем безопасности

Настройка

Только аутентификация

Аутентификация и шифрование коротким ключом

Аутентификация и шифрование длинным ключом

Политика безопасности

Применить

Применить

Применить

Режим инкапсуляции

Транспортный

Транспортный

Транспортный

Необходимые уровни IPsec

Использовать когда возможно

Использовать когда возможно

Требуется постоянно

Метод аутентификации

PSK

PSK

PSK

Фаза 1 Хэш-алгоритм

MD5

SHA1

SHA256

Фаза 1 Алгоритм шифрования

DES

3DES

AES-128-CBC

Фаза 1 Группа Диффи-Хеллмана

2

2

2

Фаза 2 Протокол безопасности

AH

ESP

ESP

Фаза 2 Алгоритм аутентификации

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

Фаза 2 Разрешения на использование алгоритма шифрования

Незашифр. текст (без шифрования)

3DES/AES-128/AES-192/AES-256

AES-128/AES-192/AES-256

Фаза 2 PFS

Неактивн.

Неактивн.

2

Уровень безопасности	Функции уровня безопасности
Только аутентификация	Выберите этот уровень, если требуется аутентификация партнера по передаче и предотвращение неавторизованного изменения данных, но не требуется шифрование пакета данных. Если данные посланы в открытом тексте, пакеты данных уязвимы для перехвата. Не выбирайте эту функцию, если нужно обмениваться информацией, которую легко перехватить.
Аутентификация и шифрование коротким ключом	Выберите этот уровень, если требуется шифрование пакетов данных, а также аутентификация партнера по передаче и предотвращение неавторизованного изменения пакета данных. Шифрование пакета помогает предотвратить перехват. Этот уровень обеспечивает меньшую безопасность, чем "Аутентификация и шифрование длинным ключом".
Аутентификация и шифрование длинным ключом	Выберите этот уровень, если требуется шифрование пакетов данных, а также аутентификация партнера по передаче и предотвращение неавторизованного изменения пакета данных. Шифрование пакета помогает предотвратить перехват. Этот уровень обеспечивает более высокую безопасность, чем "Аутентификация и шифрование коротким ключом".

Настройка	Только аутентификация	Аутентификация и шифрование коротким ключом	Аутентификация и шифрование длинным ключом
Политика безопасности	Применить	Применить	Применить
Режим инкапсуляции	Транспортный	Транспортный	Транспортный
Необходимые уровни IPsec	Использовать когда возможно	Использовать когда возможно	Требуется постоянно
Метод аутентификации	PSK	PSK	PSK
Фаза 1 Хэш-алгоритм	MD5	SHA1	SHA256
Фаза 1 Алгоритм шифрования	DES	3DES	AES-128-CBC
Фаза 1 Группа Диффи-Хеллмана	2	2	2
Фаза 2 Протокол безопасности	AH	ESP	ESP
Фаза 2 Алгоритм аутентификации	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256	HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
Фаза 2 Разрешения на использование алгоритма шифрования	Незашифр. текст (без шифрования)	3DES/AES-128/AES-192/AES-256	AES-128/AES-192/AES-256
Фаза 2 PFS	Неактивн.	Неактивн.	2

Параметры настройки автоматического обмена ключами шифрования

Если уровень безопасности указан, соответствующие настройки безопасности конфигурируются автоматически, но остальные настройки, такие как тип адреса, местный и удаленный адрес, должны быть настроены вручную.

После настройки уровня безопасности можно изменить параметры автоматической конфигурации. При изменении этих настроек уровень безопасности автоматически переключается в "User Setting".

Настройка

Описание

Значение

Тип адреса

Укажите тип адреса, для которого используется передача IPsec.

Неактивн.

IPv4

IPv6

IPv4/IPv6 (только Настройки по умолчанию)

Локальный адрес

Укажите адрес аппарата. При использовании в IPv6 нескольких адресов можно также указать диапазон адресов.

IPv4- или IPv6-адрес аппарата.
Если вы не используете диапазон адресов, введите 32 после IPv4-адреса или 128 после IPv6-адреса.

Удаленный адрес

Укажите адрес партнера по передаче IPsec. Вы можете также указать диапазон адресов.

IPv4- или IPv6-адрес партнера по передаче IPsec.
Если вы не используете диапазон адресов, введите 32 после IPv4-адреса или 128 после IPv6-адреса.

Политика безопасности

Укажите режим обработки IPsec.

Применить

В обход

Отменить

Режим инкапсуляции

Укажите режим инкапсуляции.
(автоматическая установка)

Транспортный

Туннельный

При выборе "Туннельный", необходимо выбрать "Конечная точка туннеля", которые являются начальными и конечными IP-адресами. Задайте в качестве начальной точки тот же адрес, что и в пункте "Локальный адрес".

Необходимые уровни IPsec

Укажите, следует ли выполнять передачу с IPsec или разрешить передачу обычного текста, если IPsec не может быть установлен.
(автоматическая установка)

Использовать когда возможно

Требуется постоянно

Метод аутентификации

Укажите метод для аутентификации партнеров по передаче.
(автоматическая установка)

PSK

Сертификат

В случае выбора "PSK" необходимо задать текст PSK с помощью символов ASCII.

При использовании "PSK" задайте пароль PSK длиной до 32 символов ASCII.

В случае выбора "Сертификат" необходимо установить и настроить сертификат IPsec до его использования.

Текст PSK

Создание предварительно выданного ключа для
PSK-аутентификации

Введите предварительно выданный ключ, необходимый для аутентификации PSK.

Дистанционный идентификатор

Укажите ИД удаленного устройства для проверки подлинности сертификата.

Если в качестве метода аутентификации был выбран "Сертификат", введите отличительные имена субъектов (DN), указанные взаимодействующей стороной.
Вы можете ввести отличительные имена субъектов (DN), используя до 191 символа ASCII.

Фаза 1

Хэш-алгоритм

Установите алгоритм хеширования для использования в фазе 1.
(автоматическая установка)

MD5

SHA1

SHA256

SHA384

SHA512

Фаза 1

Алгоритм шифрования

Укажите алгоритм шифрования для использования в Фазе 1.
(автоматическая установка)

DES

3DES

AES-128-CBC

AES-192-CBC

AES-256-CBC

Фаза 1

Группа Диффи-Хеллмана

Выберите номер группы Диффи-Хеллмана, используемый для генерации ключа шифрования IKE.
(автоматическая установка)

1

2

14

Фаза 1

Период действия

Укажите период действия настроек SA в Фазе 1.

Задайте в секундах в пределах от 300 сек. (5 мин.) до 172800 сек. (48 часов).

Фаза 2

Протокол безопасности

Укажите протокол защиты для использования в Фазе 2.

Чтобы применить к отправляемым данным и шифрование, и аутентификацию, укажите "ESP" или "ESP+AH".

Чтобы применить только данные аутентификации, укажите "AH".

(автоматическая установка)

ESP

AH

ESP+AH

Фаза 2

Алгоритм аутентификации

Укажите алгоритм аутентификации для использования в Фазе 2.
(автоматическая установка)

HMAC-MD5-96

HMAC-SHA1-96

HMAC-SHA256-128

HMAC-SHA384-192

HMAC-SHA512-256

Фаза 2

Разрешения на использование алгоритма шифрования

Укажите алгоритм шифрования для использования в Фазе 2.
(автоматическая установка)

Незашифр. текст (без шифрования)

DES

3DES

AES-128

AES-192

AES-256

Фаза 2

PFS

Укажите, следует ли активировать PFS. Затем в случае активирования PFS выберите группу Диффи-Хеллмана.
(автоматическая установка)

Неактивн.

1

2

14

Фаза 2

Период действия

Укажите период действия настроек SA в Фазе 2.

Укажите период (в секундах) в пределах от 300 (5 мин.) до 172 800 (48 часов).