使用IPsec傳送
為了更安全的通訊,本機支援IPsec通訊協定。套用時,IPsec會使用共用金鑰加密,加密網路層的資料封包。本機使用加密金鑰交換,為傳送者與接收者建立共用金鑰。要達到更高的安全性層級,也可以依照有效期間更新共用金鑰。
IPsec不會套用到透過DHCP或DNS取得的資料。
端視作業系統而定,並不支援部份設定項目。請確保您指定的IPsec設定與作業系統的IPsec設定一致。
如果因為 IPsec 設定問題而無法存取Web Image Monitor,則在控制面板上的[管理員工具]下停用 IPsec,然後存取Web Image Monitor。
IPsec包含兩個主要功能:確保資料機密的加密功能,和驗證資料的傳送者及資料的完整性的驗證功能。本機的IPsec功能支援兩個安全性通訊協定:可同時啟用兩個IPsec功能的ESP通訊協定,以及只能啟用驗證功能的AH通訊協定。
ESP通訊協定
ESP通訊協定透過加密和驗證來提供安全傳送。此通訊協定不提供表頭驗證。
若要順利加密,傳送者和接收者都必須指定相同的加密演算法和加密金鑰。加密演算法和加密金鑰會自動指定。
若要順利驗證,傳送者和接收者都必須指定相同的驗證演算法和驗證金鑰。驗證演算法和驗證金鑰會自動指定。
AH通訊協定
AH通訊協定僅透過包括表頭的封包驗證提供安全傳送。
若要順利驗證,傳送者和接收者都必須指定相同的驗證演算法和驗證金鑰。驗證演算法和驗證金鑰會自動指定。
AH通訊協定+ESP通訊協定
兩者結合時,ESP和AH通訊協定將透過加密和驗證提供安全傳送。這些協定能提供表頭驗證。
若要順利加密,傳送者和接收者都必須指定相同的加密演算法和加密金鑰。加密演算法和加密金鑰會自動指定。
若要順利驗證,傳送者和接收者都必須指定相同的驗證演算法和驗證金鑰。驗證演算法和驗證金鑰會自動指定。
有些作業系統會使用「符合」這個字來取代「驗證」。
本機使用加密金鑰交換當作金鑰設定的方式。使用這種方法,傳送者和接收者必須指定相同的設定,例如,IPsec演算法和金鑰等。這類協議組成所謂的SA(安全性關聯)。唯有接收者及傳送者的SA設定相同時,才可以進行IPsec通訊。
SA設定會在雙方的機器上自動設定。但是,建立IPsec SA前,必須自動配置ISAKMP SA(階段1)設定。完成後,會自動配置允許實際IPsec傳送的IPsec SA(階段2)設定。
此外,為了增加安全性,可對SA的設定套用有效期間(時間限制),以定期自動更新SA。本機只支援IKEv1加密金鑰交換。
在SA中可以配置多個設定。
設定1-10
可以設定10組不同的SA詳細資料(例如,不同的共用金鑰與IPsec演算法)。
會逐個搜尋IPsec原則,從[No.1]開始。
本節說明指定加密金鑰交換設定的步驟。
機器 |
個人電腦 |
---|---|
1. 在Web Image Monitor上設定IPsec設定。 |
1. 在個人電腦上設定和本機相同的IPsec設定。 |
2. 啟用IPsec設定。 |
2. 啟用IPsec設定。 |
3. 確認IPsec傳送。 |
設定IPsec後,可以使用「Ping」命令檢查是否已正確建立連線。因為初始金鑰交換時的回應較慢,所以可能需要一些時間才能確認傳送已建立。
如果因為 IPsec 設定問題而無法存取Web Image Monitor,則在控制面板上的[管理員工具]下停用 IPsec,然後存取Web Image Monitor。
關於使用控制面板停用IPsec的詳細資訊,請參閱管理員工具設定。
此功能只有在指定管理員密碼時才能使用。
啟動網頁瀏覽器,並輸入機器的IP位址來存取機器。
隨即出現Web Image Monitor首頁。按一下[IPsec設定]。
按一下[IPsec原則清單]索引標籤。
在清單中選取您想修改的設定的編號。
輸入管理員密碼,然後按一下[變更]。
視需要修改IPsec相關的設定。
輸入管理員密碼,然後按一下[套用]。
按一下[IPsec全域設定]索引標籤,然後在[IPsec功能]中選擇[有效]。
如有必要,亦請指定[預設原則]、[廣播和多播旁路]和[全ICMP旁路]。
輸入管理員密碼,然後按一下[套用]。
管理員密碼可在[管理員]索引標籤中指定。
在電腦上指定IPsec SA設定,且必需和本機上所指定的IPsec設定相同。設定方式會因電腦的作業系統而有所不同。以下步驟將以IPv4環境中的Windows 10為範例。
在[開始]功能表上,依序按一下[控制台]、[系統及安全性]及[系統管理工具]。
按兩下[本機安全性原則],然後按一下[IP安全性原則(位置:本機電腦)]。
在「執行」選單上,按一下[建立IP安全性原則...]。
隨即出現IP安全性原則精靈。按一下[下一步]。
在「名稱」中輸入安全性原則的名稱,然後按一下[下一步]。
清除「啟動預設的回應規則」核取方塊,然後按一下[下一步]。
選擇「編輯內容」,然後按一下[完成]。
在「一般」索引標籤中,按一下[設定...]。
在「驗證及產生新金鑰間隔」中輸入有效期間(以分鐘為單位),且和 [IKE生命週期]中之本機上所指定的相同,然後按一下 [方法...]。
確認「安全性方法的喜好設定順序」中的加密演算法(「加密」)、雜湊演算法(「完整性」)與IKE Diffie-Hellman群組(「Diffie-Hellman群組」)設定皆符合本機[IKE設定]中的設定。
若未顯示設定,請按一下[新增...]。按兩下[確定]。
按一下「規則」索引標籤中的[新增...]。
即會出現[安全性規則精靈]。按一下[下一步]。
選擇[這個規則並沒有指定通道],然後按一下[下一步]。
選擇IPsec網路的類型,然後按一下[下一步]。
按一下IP篩選器清單中的[新增...]。
在[名稱]中輸入IP篩選器名稱,然後按一下[新增...]。
會出現[IP篩選器精靈]。按一下[下一步]。
在[描述:]中,輸入IP篩選器的詳細說明或名稱,然後按一下[下一步]。
您可以按一下[下一步],然後繼續進行下一步,而不需在本欄位中輸入任何資訊。在「來源位址」中,選擇「我的IP位址」,然後按一下[下一步]。
在「目的地位址」中,選擇「特定IP位址或子網路」,輸入機器的IP位址,然後按一下[下一步]。
為IPsec通訊協定類型選擇「任一」,然後按一下[下一步]。
按一下[完成],然後按一下[確定]。
選擇剛剛建立的IP篩選器,然後按一下[下一步]。
在篩選器動作中,按一下[新增...]。
隨即顯示篩選器動作精靈。按一下[下一步]。
在[名稱]中,輸入篩選器動作名稱,然後按一下[下一步]。
選擇「交涉安全性」,然後按一下[下一步]。
為允許通訊的電腦選擇一個選項,接著按一下[下一步]。
選擇「自訂」,然後按一下[設定...]。
在[IPsec設定]下的 [安全協定]中,當針對本機選擇 [ESP]時,請選擇 [資料完整性及加密 (ESP)],然後配置下列設定:
設定[完整性演算法]的設定值,且必須和[ESP的驗證演算法]所指定的相同。
設定[加密演算法]的設定值,且必須和[ESP的加密演算法]所指定的相同。在[IPsec設定]下的 [安全協定]中,當針對本機選擇 [AH]時,請選擇 [不加密的資料及位址完整性(AH)],然後配置下列設定:
設定[完整性演算法]的設定值,且必須和[AH的驗證演算法]所指定的相同。
取消選取[資料完整性及加密(ESP)]核取方塊。在[IPsec設定]下的 [安全協定]中,當針對本機選擇 [ESP和AH]時,請選擇 [不加密的資料及位址完整性(AH)],然後配置下列設定:
設定[不加密的資料及位址完整性(AH)]下[完整性演算法]的設定值,且必須和 [AH的驗證演算法]所指定的相同值。
設定[資料完整性及加密(ESP)]下[加密演算法]的設定值,且必須和本機 [ESP的加密演算法]所指定的相同。在工作階段金鑰設定中,選擇「產生新金鑰間隔」,然後輸入有效期間(以[秒]或[KB]為單位),且必須和本機的[生命週期]所指定的相同。
按一下[確定],然後按[下一步]。
按一下[完成]。
若使用IPv6,必須從步驟12開始重複此程序,並將ICMPv6指定為例外。當您進行到步驟22時,請選擇[58]作為「其他」目標通訊協定類型的通訊協定號碼,然後將[交涉安全性]設為[允許]。選擇剛剛建立的篩選器執行,然後按一下[下一步]。
針對驗證方法選擇其中一個選項,然後按一下[下一步]。
按一下[完成],然後按兩下[確定]。
即會指定新的IP安全性原則(IPsec設定)。按一下[在本機電腦上的IP安全性原則]。
選擇剛才建立的安全性原則,按一下滑鼠右鍵,然後再按一下[指派]。
即會在電腦上啟用IPsec設定。
若要停用電腦的IPsec設定,請選擇安全性原則,按一下滑鼠右鍵,然後按一下[不要指派]。