Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

Глава 17 Экраны VPN

261

Key Group Для фазы настройки 1 IKE необходимо выбрать группу ключей. DH1

(значение по умолчанию) соответствует 1-й группе ключей Диффи-Хелмана,

768-битному случайному числу. DH2 соответствует 2-й группе ключей

Диффи-Хелмана 2, 1024-битному (1K бит) случайному числу.

Phase 2

Active Protocol В раскрывающемся списке выберите ESP или AH.

Encryption

Algorithm

Это поле доступно в том случае, если в поле Active Protocol выбран

протокол ESP.
В раскрывающемся списке выберите алгоритм шифрования: DES, 3DES,

AES или NULL.
При использовании любого из этих алгоритмов шифрования отправитель и

получатель должны использовать один и тот же секретный ключ, который

может применяться для шифрования и расшифровки сообщений или для

создания и проверки кода аутентификации сообщений. В алгоритме

шифрования DES используется 56-битный ключ. Тройной DES (3DES) –

разновидность DES, использующая 168-битный ключ. Поэтому3DES более

защищен по сравнению с DES. Для него также требуется больше

вычислительных мощностей, что увеличивает задержки и снижает

производительность. В данной реализации AES используется 128-битный

ключ. AES обладает большим быстродействием, чем 3DES.
Чтобы настроить туннель без шифрования, выберите значение NULL. Если

выбран режим NULL, ключ шифрования вводить не требуется.

Authentication

Algorithm

В раскрывающемся списке выберите SHA1 или MD5. MD5 (свертка

сообщения, реализация 5) и SHA1 (защищенный алгоритм хеширования) –

это алгоритмы хеширования, используемые для аутентификации данных в

пакете. Алгоритм SHA1 обычно считается более надёжным, чем MD5, но он

несколько медленнее. Для минимальной защиты можно применять метод

MD5, а для наибольшей безопасности следует использовать SHA1.

SA Life Time

(Seconds)

Укажите в этом поле период времени, по истечении которого будет

автоматически производиться повторное согласование IKE SA. Допустимый

диапазон – от 60 до 3 000 000 секунд (почти 35 дней).
Короткий период действия SA позволяет усилить безопасность, давая

команду двум межсетевым шлюзам VPN обновлять ключи шифрования и

аутентификации. Однако каждый раз при повторном согласовании туннеля

VPN все пользователи, получающие доступ к удалённым ресурсам,

временно отключаются.

Encapsulation Выберите режим в раскрывающемся списке: Tunnel (туннельный) или

Transport (транспортный).

Perfect Forward

Secrecy (PFS)

По умолчанию режим PFS (защита от разглашения использованных ключей)

для 2-й фазы согласования SA отключен (NONE). Это обеспечивает

ускорение настройки IPSec, но снижает уровень безопасности. Чтобы

включить PFS, в раскрывающемся списке выберите DH1 или DH2. DH1 –

группа Диффи-Хелмана 1, случайное число 768 бит. DH2 – группа Диффи-

Хелмана 2, случайное число 1024 бит (1 Кбит) (безопасность повышается,

производительность снижается).

Back

Для возврата к предыдущему экрану нажмите кнопку Back.

Apply

Выберите Apply , чтобы сохранить изменения в P-2602 и возвратиться на

экран VPN-IKE.

Cancel

Нажмите кнопку Cancel, чтобы возвратиться на экран VPN-IKE без

сохранения изменений.

Таб. 88 Расширенная настройка политик VPN

ПОЛЕ

ОПИСАНИЕ