IPsec设置

可在Web Image Monitor上进行本机的 IPsec 设置。下表介绍了各个设置项目。

IPsec设置项目

设置

说明

设置值

IPsec

指定是启用还是禁用IPsec。

  • 有效

  • 无效

排除HTTPS通信

指定是否启用IPsec进行HTTPS传送。

  • 有效

  • 无效

如果不想将 IPsec 用于 HTTPS 传输,指定“有效”。

您还可以从控制面板配置IPsec设置。

加密密钥自动交换安全等级

选择某个安全等级后,就会自动配置一定的安全设置。下表介绍了安全等级特性。

安全等级

安全等级特性

仅验证

如果要验证传送方并防止未经授权篡改数据,但不执行数据包加密,请选择此等级。

由于数据以明文发送,因此数据包易受窃取攻击。如果要交换敏感信息,请勿选择此等级。

验证和低等级的加密

如果要加密数据包和验证传送方,并防止未经授权篡改数据,请选择此等级。数据包加密有助于防止窃取攻击。该等级提供的安全性弱于“验证和高等级的加密”。

验证和高等级的加密

如果要加密数据包和验证传送方,并防止未经授权篡改数据,请选择此等级。数据包加密有助于防止窃取攻击。该等级提供的安全性强于“验证和低等级的加密”。

下表列出了根据安全等级自动配置的设置。

设置

仅验证

验证和低等级的加密

验证和高等级的加密

安全策略

应用

应用

应用

封装模式

传输

传输

传输

IPsec需求等级

当在可能的情况下使用

当在可能的情况下使用

始终需要

验证方式

PSK

PSK

PSK

阶段1 散列算法

MD5

SHA1

SHA256

阶段1 加密算法

DES

3DES

AES-128-CBC

阶段1 Diffie-Hellman组

2

2

2

阶段2 安全协议

AH

ESP

ESP

阶段2 验证算法

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

阶段2 加密算法许可

明文(空加密)

3DES/AES-128/AES-192/AES-256

AES-128/AES-192/AES-256

阶段2 PFS

无效

无效

2

加密密钥自动交换设置项目

指定安全等级后,将自动配置相应的安全设置,但其他设置(如,地址类型、本地地址和远程地址)仍必须手动进行配置。

指定安全等级后,仍可对自动配置的设置进行更改。更改自动配置的设置时,安全性等级会自动切换到“用户设定”。

设置

说明

设置值

地址类型

指定使用IPsec传送的地址类型。

  • 无效

  • IPv4

  • IPv6

  • IPv4/IPv6(仅限默认设置)

本地地址

指定机器的地址。如果使用IPv6中的多个地址,也可以指定地址范围。

机器的IPv4或IPv6地址。

如果未设置地址范围,请在IPv4地址后输入32,或在IPv6地址后输入128。

远程地址

指定IPsec传送方的地址。您也可以指定地址范围。

IPsec传送方的IPv4或IPv6地址。

如果未设置地址范围,请在IPv4地址后输入32,或在IPv6地址后输入128。

安全策略

指定处理IPsec的方式。

  • 应用

  • 手送

  • 废弃

封装模式

指定封装模式。

(自动设置)

  • 传输

  • 通道

如果您指定“通道”,则必须指定“通道端点”,即起始和结束 IP 地址。将起始点的地址设置为您在“本地地址”中设置的地址。

IPsec需求等级

指定是仅使用IPsec传送,还是在无法建立IPsec时允许明文传送。

(自动设置)

  • 当在可能的情况下使用

  • 始终需要

验证方式

指定用于验证传送方的方法。

(自动设置)

  • PSK

  • 证书

如果您指定“PSK”,则必须设置 PSK 文本(使用 ASCII 字符)。

如果您使用“PSK”,则指定 PSK 密码,最多 32 个 ASCII 字符。

如果您指定“证书”,则必须先安装并指定 IPsec 的证书,然后才能使用。

PSK字符串

为PSK验证指定

预共享密钥。

输入PSK验证所需的预共享密钥。

远程ID

指定证书身份验证的远程 ID。

选择为“身份验证方法”选择“证书”时,输入通信方所指示的使用者可分辨名称(DN)。
您可以输入最多 191 个 ASCII 字符的使用者可分辨名称 (DN)。

阶段1

散列算法

指定要在阶段1中使用的散列算法。

(自动设置)

  • MD5

  • SHA1

  • SHA256

  • SHA384

  • SHA512

阶段1

加密算法

指定要在阶段1中使用的加密算法。

(自动设置)

  • DES

  • 3DES

  • AES-128-CBC

  • AES-192-CBC

  • AES-256-CBC

阶段1

Diffie-Hellman组

选择用于生成IKE加密密钥的Diffie-Hellman组编号。

(自动设置)

  • 1

  • 2

  • 14

阶段1

有效期

指定 SA 设置在阶段 1 中生效的时间段。

设置范围(以秒计),从300秒(5分钟)到172800秒(48小时)。

阶段2

安全协议

指定要在阶段2中使用的安全协议。

要对已发送的数据应用加密和身份验证,指定“ESP”或“ESP+AH”。

要仅应用身份验证数据,请指定“AH”。

(自动设置)

  • ESP

  • AH

  • ESP+AH

阶段2

验证算法

指定要在阶段2中使用的验证算法。

(自动设置)

  • HMAC-MD5-96

  • HMAC-SHA1-96

  • HMAC-SHA256-128

  • HMAC-SHA384-192

  • HMAC-SHA512-256

阶段2

加密算法许可

指定要在阶段 2 中使用的加密算法。

(自动设置)

  • 明文(空加密)

  • DES

  • 3DES

  • AES-128

  • AES-192

  • AES-256

阶段2

PFS

指定是否激活PFS。如果激活了PFS,则随后选择Diffie-Hellman群组。

(自动设置)

  • 无效

  • 1

  • 2

  • 14

阶段2

有效期

指定SA设置在阶段2中生效的时间段。

指定时间段(以秒计),从300(5分钟)到172,800(48小时)。

x

QR Code