IPsec设置
可在Web Image Monitor上进行本机的 IPsec 设置。下表介绍了各个设置项目。
IPsec设置项目
设置
说明
设置值
IPsec
指定是启用还是禁用IPsec。
有效
无效
排除HTTPS通信
指定是否启用IPsec进行HTTPS传送。
有效
无效
如果不想将 IPsec 用于 HTTPS 传输,指定“有效”。
您还可以从控制面板配置IPsec设置。
加密密钥自动交换安全等级
选择某个安全等级后,就会自动配置一定的安全设置。下表介绍了安全等级特性。
安全等级
安全等级特性
仅验证
如果要验证传送方并防止未经授权篡改数据,但不执行数据包加密,请选择此等级。
由于数据以明文发送,因此数据包易受窃取攻击。如果要交换敏感信息,请勿选择此等级。
验证和低等级的加密
如果要加密数据包和验证传送方,并防止未经授权篡改数据,请选择此等级。数据包加密有助于防止窃取攻击。该等级提供的安全性弱于“验证和高等级的加密”。
验证和高等级的加密
如果要加密数据包和验证传送方,并防止未经授权篡改数据,请选择此等级。数据包加密有助于防止窃取攻击。该等级提供的安全性强于“验证和低等级的加密”。
下表列出了根据安全等级自动配置的设置。
设置
仅验证
验证和低等级的加密
验证和高等级的加密
安全策略
应用
应用
应用
封装模式
传输
传输
传输
IPsec需求等级
当在可能的情况下使用
当在可能的情况下使用
始终需要
验证方式
PSK
PSK
PSK
阶段1 散列算法
MD5
SHA1
SHA256
阶段1 加密算法
DES
3DES
AES-128-CBC
阶段1 Diffie-Hellman组
2
2
2
阶段2 安全协议
AH
ESP
ESP
阶段2 验证算法
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
阶段2 加密算法许可
明文(空加密)
3DES/AES-128/AES-192/AES-256
AES-128/AES-192/AES-256
阶段2 PFS
无效
无效
2
加密密钥自动交换设置项目
指定安全等级后,将自动配置相应的安全设置,但其他设置(如,地址类型、本地地址和远程地址)仍必须手动进行配置。
指定安全等级后,仍可对自动配置的设置进行更改。更改自动配置的设置时,安全性等级会自动切换到“用户设定”。
设置
说明
设置值
地址类型
指定使用IPsec传送的地址类型。
无效
IPv4
IPv6
IPv4/IPv6(仅限默认设置)
本地地址
指定机器的地址。如果使用IPv6中的多个地址,也可以指定地址范围。
机器的IPv4或IPv6地址。
如果未设置地址范围,请在IPv4地址后输入32,或在IPv6地址后输入128。
远程地址
指定IPsec传送方的地址。您也可以指定地址范围。
IPsec传送方的IPv4或IPv6地址。
如果未设置地址范围,请在IPv4地址后输入32,或在IPv6地址后输入128。
安全策略
指定处理IPsec的方式。
应用
手送
废弃
封装模式
指定封装模式。
(自动设置)
传输
通道
如果您指定“通道”,则必须指定“通道端点”,即起始和结束 IP 地址。将起始点的地址设置为您在“本地地址”中设置的地址。
IPsec需求等级
指定是仅使用IPsec传送,还是在无法建立IPsec时允许明文传送。
(自动设置)
当在可能的情况下使用
始终需要
验证方式
指定用于验证传送方的方法。
(自动设置)
PSK
证书
如果您指定“PSK”,则必须设置 PSK 文本(使用 ASCII 字符)。
如果您使用“PSK”,则指定 PSK 密码,最多 32 个 ASCII 字符。
如果您指定“证书”,则必须先安装并指定 IPsec 的证书,然后才能使用。
PSK字符串
为PSK验证指定
预共享密钥。
输入PSK验证所需的预共享密钥。
远程ID
指定证书身份验证的远程 ID。
选择为“身份验证方法”选择“证书”时,输入通信方所指示的使用者可分辨名称(DN)。
您可以输入最多 191 个 ASCII 字符的使用者可分辨名称 (DN)。阶段1
散列算法
指定要在阶段1中使用的散列算法。
(自动设置)
MD5
SHA1
SHA256
SHA384
SHA512
阶段1
加密算法
指定要在阶段1中使用的加密算法。
(自动设置)
DES
3DES
AES-128-CBC
AES-192-CBC
AES-256-CBC
阶段1
Diffie-Hellman组
选择用于生成IKE加密密钥的Diffie-Hellman组编号。
(自动设置)
1
2
14
阶段1
有效期
指定 SA 设置在阶段 1 中生效的时间段。
设置范围(以秒计),从300秒(5分钟)到172800秒(48小时)。
阶段2
安全协议
指定要在阶段2中使用的安全协议。
要对已发送的数据应用加密和身份验证,指定“ESP”或“ESP+AH”。
要仅应用身份验证数据,请指定“AH”。
(自动设置)
ESP
AH
ESP+AH
阶段2
验证算法
指定要在阶段2中使用的验证算法。
(自动设置)
HMAC-MD5-96
HMAC-SHA1-96
HMAC-SHA256-128
HMAC-SHA384-192
HMAC-SHA512-256
阶段2
加密算法许可
指定要在阶段 2 中使用的加密算法。
(自动设置)
明文(空加密)
DES
3DES
AES-128
AES-192
AES-256
阶段2
PFS
指定是否激活PFS。如果激活了PFS,则随后选择Diffie-Hellman群组。
(自动设置)
无效
1
2
14
阶段2
有效期
指定SA设置在阶段2中生效的时间段。
指定时间段(以秒计),从300(5分钟)到172,800(48小时)。