使用IPsec传输
为了增强通信安全,本机支持IPsec协议。应用以后,IPsec将在网络层使用共享密钥加密对数据包进行加密。机器将使用加密密钥交换为发件人和收件人创建共享密钥。要获得更高的安全性,您还可以根据有效期来更新共享密钥。
IPsec不适用于通过DHCP或DNS获取的数据。
与IPsec兼容的操作系统为Windows 7或更新版本、Windows Server 2012或更新版本、macOS 10.13或更新版本、Red Hat Enterprise Linux 6.8、6.9、6.10、7.4、7.5和7.6。但是,不支持部分设置项目,具体取决于操作系统。请确保所指定的IPsec设置与操作系统的IPsec设置一致。
如果由于IPsec配置问题导致您无法访问Web Image Monitor,请在控制面板上的[管理员工具]下禁用IPsec,然后访问Web Image Monitor。
通过IPsec进行加密和认证
IPsec包括两大功能:加密功能和验证功能。前者用于确保数据的机密性,后者用于检验数据的发送者及数据的完整性。本机的IPsec功能支持两项安全协议,即ESP协议和AH协议,前者同时支持IPsec的这两种功能,而后者仅支持验证功能。
ESP协议
ESP协议提供通过加密和验证的安全传送功能。此协议不提供报头验证。
为实现成功加密,发送者和接收者必须指定相同的加密算法和加密密钥。加密算法和加密密钥是自动指定的。
为成功实现验证,发送者和接收者必须指定相同的验证算法和验证密钥。验证算法和验证密钥是自动指定的。
AH协议
AH协议仅通过验证数据包(包括报头)的方式提供安全传送功能。
为成功实现验证,发送者和接收者必须指定相同的验证算法和验证密钥。验证算法和验证密钥是自动指定的。
AH协议+ESP协议
合并之后,ESP和AH协议通过加密和验证提供安全传送功能。这些协议提供报头验证。
为实现成功加密,发送者和接收者必须指定相同的加密算法和加密密钥。加密算法和加密密钥是自动指定的。
为成功实现验证,发送者和接收者必须指定相同的验证算法和验证密钥。验证算法和验证密钥是自动指定的。
某些操作系统使用术语“符合”来代替“验证”。
安全关联
本机使用加密密钥交换作为密钥设置方式。对于此方式,必须为发送者和接收者指定协议(例如IPsec算法)和密钥。此类协议即构成所谓的SA(安全关联)。仅当接收者和发送者的SA设置相同时,才能进行IPsec通信。
系统将在双方的机器上自动配置SA设置。不过,在建立IPsec SA之前,系统必须自动配置ISAKMP SA(阶段1)设置。完成此操作以后,系统将自动配置IPsec SA(阶段2)设置,通过这些设置进行实际IPsec传送。
此外,为了进一步实现安全性,通过为SA设置应用有效期(时间限制)来自动定期更新SA。对于加密密钥交换,本机仅支持IKEv1。
您可以在SA中配置多种设置。
设置1-10
可以配置十套单独的SA详细信息(例如不同的共享密钥和IPsec算法)。
系统将从[编号1]开始逐一搜索IPsec策略。
加密密钥交换设置配置流程
本节介绍指定加密密钥交换设置的步骤。
机器 | PC |
|---|---|
1.在Web Image Monitor上设置IPsec。 | 1.在PC上设定与机器相同的IPsec设置。 |
2.启用IPsec设置。 | 2.启用IPsec设置。 |
3.确认IPsec传送。 | |
配置IPsec以后,可以使用“ping”命令来检查系统是否正确地建立了连接。由于初始密钥交换期间响应缓慢,因此可能需要一些时间来确认系统已经建立了传送。
如果由于IPsec配置问题导致您无法访问Web Image Monitor,请在控制面板上的[管理员工具]下禁用IPsec,然后访问Web Image Monitor。
有关使用控制面板禁用IPsec的详细信息,请参见 管理员工具。
指定加密密钥交换设置
仅当指定了管理员密码时此功能才可用。
启动Web浏览器。
在Web浏览器的地址栏中输入“http://(机器的IP地址或主机名)”。
出现Web Image Monitor的主页。
单击[IPsec设置]。
单击[IPsec策略列表]选项卡。
在列表中选择要修改的设置的编号。
输入管理员密码,然后单击[更改]。
根据需要修改与IPsec相关的设置。
输入管理员密码,然后单击[应用]。
单击[IPsec全局设置]选项卡,然后在[IPsec功能]中选择[有效]。
如果需要,请另外再指定[缺省策略]、[绕过广播和多路广播]以及[绕过所有ICMP]。
输入管理员密码,然后单击[应用]。
在[管理员]选项卡中可以指定管理员密码。
指定计算机上的IPsec设置
指定计算机上的IPsec SA设置,使其与您为机器上的IPsec设置指定的设置完全相同。设置方法因计算机操作系统而异。以下步骤是以IPv4环境中的Windows 10作为示例来进行介绍的。
在[开始]菜单中,单击[控制面板],再单击[系统和安全],然后单击[管理工具]。
双击[本地安全策略],然后单击[IP 安全策略,在本地计算机]。
在“操作”菜单中,单击[创建 IP 安全策略...]。
出现IP安全策略向导。
单击[下一步]。
在“名称”中输入安全策略名称,然后单击[下一步]。
清除“激活默认响应规则”复选框,然后单击[下一步]。
选中“编辑属性”,然后单击[完成]。
在“常规”选项卡中,单击[设置...]。
在“身份验证和生成新密钥间隔”中,输入在[IKE寿命]中指定的机器上的相同有效期(以分钟为单位),然后单击[方法...]。
确认“安全方法首选顺序”中的加密算法(“加密”)、哈希算法(“完整性”)和IKE Diffie-Hellman组(“Diffie-Hellman组”)设置全部与[IKE设置]中指定的机器设置一致。
如果没有显示设置,请单击[添加...]。
单击[确定]两次。
在“规则”选项卡中单击[添加...]。
出现安全规则向导。
单击[下一步]。
选择“此规则不指定通道”,然后单击[下一步]。
选择IPsec的网络类型,然后单击[下一步]。
在IP筛选器列表中单击[添加...]。
在[名称]中,输入IP筛选器名称,然后单击[添加...]。
出现IP筛选器向导。
单击[下一步]。
在[描述:]中,输入IP筛选器的名称或详细说明,然后单击[下一步]。
您可以单击[下一步]并转到下一步,而不在此字段中输入任何信息。
在“源地址”中选择“我的IP地址”,然后单击[下一步]。
在“目标地址”中选择“一个特定的IP地址或子网”,输入机器的IP地址,然后单击[下一步]。
对于IPsec的协议类型,请选择“任何”,然后单击[下一步]。
单击[完成],然后单击[确定]。
选择刚创建的IP筛选器,然后单击[下一步]。
在筛选器操作中单击[添加...]。
此时会出现筛选器操作向导。
单击[下一步]。
在[名称]中,输入筛选器操作名称,然后单击[下一步]。
选择“协商安全”,然后单击[下一步]。
为允许与其通信的计算机选择选项之一,然后单击[下一步]。
选择“自定义”,然后单击[设置...]。
如果在[IPsec设置]下的[安全协议]中为机器选择了[ESP],请选择[数据完整性和加密(ESP)],然后配置以下设置:
将[完整性算法]的值设置为与机器上指定的[ESP验证算法]相同的值。
将[加密算法]的值设置为与机器上指定的[ESP加密算法]相同的值。
如果在[IPsec设置]下的[安全协议]中为机器选择了[AH],请选择[数据和地址不加密的完整性(AH)],然后配置以下设置:
将[完整性算法]的值设置为与机器上指定的[AH验证算法]相同的值。
清除[数据完整性和加密(ESP)]复选框。
如果在[IPsec设置]下的[安全协议]中为机器选择了[ESP和AH],请选择[数据和地址不加密的完整性(AH)],然后配置以下设置:
将[数据和地址不加密的完整性(AH)]下的[完整性算法]的值设置为与机器上指定的[AH验证算法]相同的值。
将[数据完整性和加密(ESP)]下的[加密算法]的值设置为与机器上指定的[ESP加密算法]相同的值。
在会话密钥设置中,选择“生成新密钥间隔”,然后输入在机器上为[寿命]指定的相同有效期(以[秒]或[KB]为单位)。
单击[确定],然后单击[下一步]。
单击[完成]。
如果使用IPv6,则必须重复步骤12至该步骤,并指定ICMPv6为例外。执行到步骤22时,请选择[58]作为“其他”目标协议类型的协议编号,然后将[协商安全]设置为[允许]。
选择刚创建的筛选器操作,然后单击[下一步]。
为验证方法选择选项之一,然后单击[下一步]。
单击[完成],然后单击两次[确定]。
新的IP安全策略(IPsec设置)即被指定。
单击[IP安全策略,在本地计算机]。
选择刚创建的安全策略,右键单击,然后单击[分配]。
启用计算机上的IPsec设置。
要禁用计算机的IPsec设置,请选择安全策略,右键单击,然后单击[取消分配]。
使用控制面板启用和禁用IPsec
仅当指定了管理员密码时此功能才可用。
按[主页]画面上的[设置]图标 (
)。
按[管理员工具]。
如果要求输入密码,则使用数字键输入密码,然后按[确定]。
按[IPsec]。
按[有效]或[无效]。
您可以在[管理员工具锁定]中指定用于访问[管理员工具]菜单的密码。有关[管理员工具锁定]的详细信息,请参见 管理员工具。
您可以按[退出]返回到菜单树的上一层。