IKEv1-asetukset IPsec-mallille

Valinta Kuvaus
Template Name (Mallin nimi) Kirjoita mallin nimi (enintään 16 merkkiä).
Use Prefixed Template (Käytä esimääritettyä mallia) Valitse Custom (Mukautettu), IKEv1 High Security (IKEv1 Korkea suojaus) tai IKEv1 Medium Security (IKEv1 Keskitason suojaus). Asetukset vaihtelevat valitun mallin mukaan.
Internet Key Exchange (IKE)

IKE on protokolla, jonka avulla voidaan vaihtaa salausavaimia salatun tietoliikenteen käyttämiseksi IPsec-protokollan avulla. Kertaluontoisen salatun tiedonsiirron mahdollistamiseksi protokolla määrittää IPsec-protokollan vaatiman salausalgoritmin ja jakaa salausavaimet. IKE-protokollan salausavaimet vaihdetaan Diffie-Hellman-menetelmän avulla ja IKE-protokollalle rajattu, salattu tiedonsiirto voidaan suorittaa.

Jos valitsit Custom (Mukautettu) kohdassa Use Prefixed Template (Käytä esimääritettyä mallia), valitse IKEv1.

Authentication Type (Todennustyyppi)
  • Diffie_Hellman_Group

    Tämä avaintenvaihtomenetelmä mahdollistaa salaisten avainten vaihdon turvallisesti suojaamattoman verkon yli. Diffie-Hellman-avaintenvaihtomenetelmä käyttää erillistä logaritmiongelmaa (ei salaista avainta) satunnaisella numerolla ja salaisella avaimella luotujen, avoimien tietojen lähettämiseen ja vastaanottamiseen.

    Valitse Group1 (Ryhmä 1), Group2 (Ryhmä 2), Group5 (Ryhmä 5) tai Group14 (Ryhmä 14).

  • Encryption (Salaus)
    Valitse DES, 3DES, AES-CBC 128 tai AES-CBC 256.
  • Hash (Haja-arvo)
    Valitse MD5, SHA1, SHA256, SHA384 tai SHA512.
  • SA Lifetime (SA-käyttöikä)

    Määritä IKE SA -kestoaika.

    Anna aika (sekunteina) ja kilotavujen (kb) määrä.

Encapsulating Security (Kapselointisuojaus)
  • Protocol (Protokolla)
    Valitse ESP, AH tai AH+ESP.
    image
    • ESP on protokolla, jolla suoritetaan salattu tiedonsiirto IPseciä käyttäen. ESP salaa nettotiedot (siirretyn sisällön) ja lisää lisätietoja. IP-paketti koostuu otsakkeesta ja salatuista nettotiedoista, jotka seuraavat otsaketta. Salattujen tietojen lisäksi IP-paketti sisältää myös salausmenetelmää ja salausavainta koskevia tietoja, todennustietoja jne.
    • AH on osa IPsec-protokollaa, joka todentaa lähettäjän ja ehkäisee tietojen manipulointia (varmistaen tietojen eheyden). IP-paketissa tiedot sijaitsevat välittömästi otsikon perässä. Lisäksi paketit sisältävät haja-arvoja, jotka lasketaan siirretystä sisällöstä, salaisesta avaimesta, jne. koostuvalla kaavalla ehkäisten lähettäjän väärentämistä tai tietojen manipulointia. ESP:stä poiketen siirrettyä sisältöä ei salata ja tiedot lähetetään ja vastaanotetaan tavallisena tekstinä.
  • Encryption (Salaus)
    Valitse DES, 3DES, AES-CBC 128 tai AES-CBC 256.
  • Hash (Haja-arvo)
    Valitse None (Ei mitään), MD5, SHA1, SHA256, SHA384 tai SHA512.
  • SA Lifetime (SA-käyttöikä)

    Määritä IKE SA -käyttöikä.

    Syötä aika (sekunteja) ja kilotavujen määrä (KByte).

  • Encapsulation Mode (Kapselointitila)
    Valitse Transport (Siirto) tai Tunnel (Tunneli).
  • Remote Router IP-Address (Etäreitittimen IP-osoite)

    Syötä etäreitittimen IP-osoite (IPv4 tai IPv6). Syötä tiedot ainoastaan Tunnel (Tunneli) -tilan ollessa valittuna.

    image
    SA (Security Association) on IPsec- tai IPv6-pohjainen salattu tiedonsiirtomenetelmä, joka vaihtaa ja jakaa tietoa, kuten salausmenetelmän ja salausavaimen, suojatun tiedonsiirtokanavan luomiseksi ennen tiedonsiirron aloittamista. SA voi myös viitata luotuun, virtuaaliseen suojattuun tiedonsiirtokanavaan. IPsec-protokollaan käytetty SA luo salausmenetelmän, vaihtaa avaimet ja suorittaa kahdenkeskeisen todennuksen IKE (Internet Key Exchange) -vakioprotokollan avulla. Lisäksi SA-menetelmää päivitetään ajoittain.
Perfect Forward Secrecy (PFS) (Täydellinen jatkosalaus)

PFS ei johda avaimia aiemmista viestien salaukseen käytetyistä avaimista. Tämän lisäksi, jos viestin salaamiseen käytetty avain johdettiin pääavaimesta, kyseistä pääavainta ei käytetä muiden avainten johtamiseen. Tästä johtuen, mikäli avaimen luottamuksellisuus vaarantuu, mahdolliset vahingot rajoittuvat vain kyseisellä avaimella salattuihin viesteihin.

Valitse Enabled (Käytössä) tai Disabled (Ei käytössä).

Authentication Method (Todennustapa)

Valitse todennusmenetelmä. Valitse Pre-Shared Key (Esijaettu avain) tai Certificates (Varmenteet).

Pre-Shared Key (Esijaettu avain)

Tiedonsiirtoa salattaessa salausavain vaihdetaan ja jaetaan etukäteen toista kanavaa käyttäen.

Jos valitset Authentication Method (Todennustapa) -tyypiksi Pre-Shared Key (Esijaettu avain), kirjoita Pre-Shared Key (Esijaettu avain) (enintään 32 merkkiä).

  • Local/ID Type/ID (Lähettäjä/Tunnistetyyppi/Tunniste)

    Valitse lähettäjän tunnustyyppi ja kirjoita tunnus.

    Valitse tyypiksi IPv4 Address (IPv4-osoite), IPv6 Address (IPv6-osoite), FQDN, E-mail Address (Sähköpostiosoite) tai Certificate (Sertifikaatti).

    Jos valitset Certificate (Sertifikaatti), syötä varmenteen yleinen nimi ID (Tunniste)-kenttään.

  • Remote/ID Type/ID (Vastaanottaja/Tunnistetyyppi/Tunniste)

    Valitse vastaanottajan tunnustyyppi ja kirjoita tunnus.

    Valitse tyypiksi IPv4 Address (IPv4-osoite), IPv6 Address (IPv6-osoite), FQDN, E-mail Address (Sähköpostiosoite) tai Certificate (Sertifikaatti).

    Jos valitset Certificate (Sertifikaatti), syötä varmenteen yleinen nimi ID (Tunniste)-kenttään.

Certificate (Sertifikaatti) Jos valitsit Certificates (Varmenteet) kohdassa Authentication Method (Todennustapa), valitse varmenne.
image

Voit valita ainoastaan WWW-pohjaisen hallinnan suojausmääritysnäytön Certificate (Sertifikaatti) -sivulla luotuja varmenteita.

Oliko sivu hyödyllinen?