Инструкция по эксплуатации Zyxel P-2602H
Страница 260
Руководство пользователя cерии P-2602H/HW EE
260
Глава 17 Экраны VPN
End В этом поле введите номер порта для определения диапазона портов. Этот
номер порта должен быть больше, чем тот, что указан в предыдущем поле.
Если в поле Local Start Port оставлено значение 0, поле End также примет
значение 0.
Phase 1
Negotiation Mode В раскрывающемся списке выберите Main (основной) или Aggressive
(агрессивный). Несколько SA, соединяющихся через защищённый
межсетевой шлюз, должны иметь одинаковый режим согласования.
Pre-Shared Key Введите ваш ключ для предварительного совместного использования в этом
поле. Ключ для предварительного совместного использования
идентифицирует стороны соединения во время согласования в 1-й фазе IKE.
Термин “предварительное совместное использование” означает, что этот
ключ должен быть сообщен другой стороне прежде чем с ней может быть
установлен защищенный сеанс.
Введите от 8 до 31 символа ASCII (регистр, в котором набраны символы,
учитывается) или от 16 до 62 шестнадцатеричных символов (“0-9”, “A-F”).
Перед шестнадцатеричным кодом необходимо ставить приставку “0x” (ноль
икс). Длина этой приставки не входит в длину ключа (от 16 до 62 символов).
Например, в строке “0x0123456789ABCDEF” приставка “0x” означает, что
ключ указан в шестнадцатеричном виде, а последовательность
“0123456789ABCDEF” является непосредственным ключом.
На обоих концах туннеля VPN должен использоваться один и тот же ключ
для предварительного совместного использования. Если на обоих концах не
используется ключ для предварительного совместного использования, будет
получен пакет “PYLD_MALFORMED” (полезная нагрузка плохо
сформирована).
Encryption
Algorithm
В раскрывающемся списке выберите алгоритм шифрования: DES, 3DES или
AES.
При использовании любого из этих алгоритмов шифрования отправитель и
получатель должны использовать один и тот же секретный ключ, который
может применяться для шифрования и расшифровки сообщений или для
создания и проверки кода аутентификации сообщений. В алгоритме
шифрования DES используется 56-битный ключ. Тройной DES (3DES) –
разновидность DES, где используется 168- битовый ключ. Поэтому3DES
более защищен по сравнению с DES. Для него также требуется больше
вычислительных мощностей, что увеличивает задержки и снижает
производительность. В данной реализации AES используется 128-битный
ключ. AES обладает большим быстродействием, чем 3DES.
Authentication
Algorithm
В раскрывающемся списке выберите SHA1 или MD5. MD5 (свертка
сообщения, реализация 5) и SHA1 (защищенный алгоритм хеширования) –
это алгоритмы хеширования, используемые для аутентификации данных в
пакете. Алгоритм SHA1 обычно считается более надёжным, чем MD5, но он
несколько медленнее. Для минимальной защиты можно применять метод
MD5, а для наибольшей безопасности следует использовать SHA1.
SA Life Time
(Seconds)
Укажите в этом поле период времени, по истечении которого будет
автоматически производиться повторное согласование IKE SA. Допустимый
диапазон – от 60 до 3 000 000 секунд (почти 35 дней).
Короткий период действия SA позволяет усилить безопасность, давая
команду двум межсетевым шлюзам VPN обновлять ключи шифрования и
аутентификации. Однако каждый раз при повторном согласовании туннеля
VPN все пользователи, получающие доступ к удалённым ресурсам,
временно отключаются.
Таб. 88 Расширенная настройка политик VPN
ПОЛЕ
ОПИСАНИЕ