Инструкция по эксплуатации Zyxel P-2602H
Страница 261
Руководство пользователя cерии P-2602H/HW EE
Глава 17 Экраны VPN
261
Key Group Для фазы настройки 1 IKE необходимо выбрать группу ключей. DH1
(значение по умолчанию) соответствует 1-й группе ключей Диффи-Хелмана,
768-битному случайному числу. DH2 соответствует 2-й группе ключей
Диффи-Хелмана 2, 1024-битному (1K бит) случайному числу.
Phase 2
Active Protocol В раскрывающемся списке выберите ESP или AH.
Encryption
Algorithm
Это поле доступно в том случае, если в поле Active Protocol выбран
протокол ESP.
В раскрывающемся списке выберите алгоритм шифрования: DES, 3DES,
AES или NULL.
При использовании любого из этих алгоритмов шифрования отправитель и
получатель должны использовать один и тот же секретный ключ, который
может применяться для шифрования и расшифровки сообщений или для
создания и проверки кода аутентификации сообщений. В алгоритме
шифрования DES используется 56-битный ключ. Тройной DES (3DES) –
разновидность DES, использующая 168-битный ключ. Поэтому3DES более
защищен по сравнению с DES. Для него также требуется больше
вычислительных мощностей, что увеличивает задержки и снижает
производительность. В данной реализации AES используется 128-битный
ключ. AES обладает большим быстродействием, чем 3DES.
Чтобы настроить туннель без шифрования, выберите значение NULL. Если
выбран режим NULL, ключ шифрования вводить не требуется.
Authentication
Algorithm
В раскрывающемся списке выберите SHA1 или MD5. MD5 (свертка
сообщения, реализация 5) и SHA1 (защищенный алгоритм хеширования) –
это алгоритмы хеширования, используемые для аутентификации данных в
пакете. Алгоритм SHA1 обычно считается более надёжным, чем MD5, но он
несколько медленнее. Для минимальной защиты можно применять метод
MD5, а для наибольшей безопасности следует использовать SHA1.
SA Life Time
(Seconds)
Укажите в этом поле период времени, по истечении которого будет
автоматически производиться повторное согласование IKE SA. Допустимый
диапазон – от 60 до 3 000 000 секунд (почти 35 дней).
Короткий период действия SA позволяет усилить безопасность, давая
команду двум межсетевым шлюзам VPN обновлять ключи шифрования и
аутентификации. Однако каждый раз при повторном согласовании туннеля
VPN все пользователи, получающие доступ к удалённым ресурсам,
временно отключаются.
Encapsulation Выберите режим в раскрывающемся списке: Tunnel (туннельный) или
Transport (транспортный).
Perfect Forward
Secrecy (PFS)
По умолчанию режим PFS (защита от разглашения использованных ключей)
для 2-й фазы согласования SA отключен (NONE). Это обеспечивает
ускорение настройки IPSec, но снижает уровень безопасности. Чтобы
включить PFS, в раскрывающемся списке выберите DH1 или DH2. DH1 –
группа Диффи-Хелмана 1, случайное число 768 бит. DH2 – группа Диффи-
Хелмана 2, случайное число 1024 бит (1 Кбит) (безопасность повышается,
производительность снижается).
Back
Для возврата к предыдущему экрану нажмите кнопку Back.
Apply
Выберите Apply , чтобы сохранить изменения в P-2602 и возвратиться на
экран VPN-IKE.
Cancel
Нажмите кнопку Cancel, чтобы возвратиться на экран VPN-IKE без
сохранения изменений.
Таб. 88 Расширенная настройка политик VPN
ПОЛЕ
ОПИСАНИЕ