以 IPSec 加密通訊

您可以加密電腦與機器之間的通訊。

通訊由 IPSec 加密。 若啟用 IPSec,則會以 IP 協定將加密套用至所有應用程式。

最多可依主機的 IP 位址指定 50 個主機。 若未登錄的主機試圖存取機器,將會遭到拒絕。 若試圖存取未登錄的主機,嘗試將無效。

設定電腦前,務必先設定機器。

筆記

  • 務必在事先準備好共用金鑰。

設定此機器

要啟用 IPSec,必須先使用網頁設定機器。

注意

  • 當您啟用 IPSec 後,與未在此程序中指定的主機通訊將會遭到拒絕。

  • 若已在機器和主機上設定 IPsec,表示已建立 IPSec 通訊。 若主機未設定 IPSec,則未建立 IPSec 通訊。

  • 務必記下在此步驟中指定的設定值, 這些值在電腦上設定 IPSec 時還需使用。

  1. 開啟此機器的網頁。

    開啟此機器的網頁

  2. 以管理員身份登入。

  3. 選擇 [Admin Setup]。

  4. 選擇 [Network] > [Security] > [IPSec]。

  5. 依照螢幕上的指示指定詳細設定。

    筆記

    • 務必於 [Phase2 Proposal] 中啟用 [AH] 或 [ESP]。

  6. 按一下 [Submit]。

    新設定會在機器的網路功能重新啟動後生效。

注意

  • 若因為指定的參數不一致而無法設定 IPSec,將無法存取網頁,若發生此情況,請從機器的操作面板停用 IPSec,或初始化網路設定。

前往「設定電腦」。

設定電腦

在電腦上設定 IPSec。

請執行以下步驟,且務必依序執行所有步驟。

建立 IP 安全原則

  1. 按一下 [開始],選擇 [控制面板] > [系統及安全性] > [管理工具]。

  2. 按兩下 [本機安全原則]。

  3. 在 [本機安全性原則] 視窗上,按一下 [IP 安全性原則 (位置:本機電腦)]。

  4. 從 [動作] 選單中,選擇 [建立 IP 安全原則]。

  5. 在 [IP 安全原則精靈] 中按一下 [下一步]。

  6. 輸入 [名稱] 與 [描述],然後按一下 [下一步]。

  7. 取消選取 [啟動預設回應規則 (僅適用舊版 Windows)] 核取方塊,然後按一下 [下一步]。

  8. 選取 [編輯內容] 核取方塊,按一下 [完成]。

設定金鑰交換

  1. 在新 IP 安全原則內容視窗上,選擇 [一般] 頁籤。

  2. 按一下 [設定值]。

  3. 在 [金鑰交換設定] 視窗上,輸入 [每分鐘須驗證並產生新金鑰] 的設定值 (分鐘)。

    注意

    • 指定與「設定此機器」的「第 1 階段專案」中出現的 [Lifetime (存留期)] 相同的值。雖然 [Lifetime (存留期)] 的單位為秒鐘,但是請在此步驟中輸入分鐘。

  4. 按一下 [方法]。

  5. 在 [金鑰交換安全方法] 視窗上按一下 [新增]。

  6. 指定 [完整性演算法]、[加密演算法] 及 [Diffie-Hellman 群組]。

    注意

    • 在「設定此機器」的「第 1 階段專案」設定中選擇與 [IKE Encryption Algorithm (IKE 加密演算法)]、[IKE Hush Algorithm (IKE 雜湊演算法)] 和 [Diffie-Hellman group (Diffie-Hellman 群組)] 所指定的相同值。

  7. 按一下 [OK]。

  8. 在 [金鑰交換安全方法] 視窗上選擇 [確定]。

  9. 在 [金鑰交換設定] 視窗上按一下 [確定]。

設定 IP 篩選器

  1. 在 IP 安全原則內容視窗上,選擇 [規則] 頁籤。

  2. 按一下 [新增]。

  3. 在 [安全原則精靈] 中按一下 [下一步]。

  4. 在 [通道端點] 畫面上選擇 [此規則不指定通道],然後按一下 [下一步]。

  5. 在 [網路類型] 畫面上,選擇 [所有網路連線],然後按一下 [下一步]。

  6. 在 [IP 篩選器清單] 畫面上按一下 [新增]。

  7. 在 [IP 篩選器清單] 視窗上按一下 [新增]。

  8. 在 [IP 篩選器精靈] 上按一下 [下一步]。

  9. 在 [IP 篩選器描述和鏡像屬性] 畫面上按一下 [下一步]。

  10. 在 [IP 流量來源] 畫面上按一下 [下一步]。

  11. 在 [IP 流量目的地] 畫面上按一下 [下一步]。

  12. 在 [IP 通訊協定類型] 畫面上按一下 [下一步]。

  13. 按一下 [完成]。

設定篩選器動作

  1. 在 [IP 篩選器清單] 視窗上按一下 [確定]。

  2. 在 [安全規則精靈] 上,從清單中選擇新 IP 篩選器,然後按一下 [下一步]。

  3. 在 [篩選器動作] 畫面上按一下 [新增]。

  4. 在 [篩選器動作精靈] 上按一下 [下一步]。

  5. 在 [Filter Action Name (篩選器動作名稱)] 畫面上輸入 [Name (名稱)] 與 [Description (說明)],然後按一下 [Next (下一步)]。

  6. 在 [篩選器動作一般選項] 畫面上選擇 [交涉安全],然後按一下 [下一步]。

  7. 在 [與不支援 IPsec 的電腦通訊] 畫面上選擇 [不允許不安全的通訊],然後按一下 [下一步]。

  8. 在 [IP 流量安全] 畫面上選擇 [自訂],然後按一下 [設定值]。

  9. 在 [自訂安全方法設定] 視窗上完成設定,然後按一下 [確定]。

    注意

    • 在「設定此機器」的「第 2 階段專案」設定中設定與 [ESP Encryption Algorithm (ESP 加密演算法)]、[ESP Authentication Algorithm (ESP 驗證演算法)]、[AH Authentication Algorithm (AH 驗證演算法)] 和 [LifeTime (存留期)] 所指定的相同值。

  10. 在 [IP 流量安全] 畫面上按一下 [下一步]。

  11. 選取 [編輯內容] 核取方塊,按一下 [完成]。

指派 IP 安全原則

  1. 若要啟用金鑰 PFS,請在 [篩選器動作內容] 視窗上選擇 [使用工作期間金鑰完整轉寄密碼 (PFS)]。

  2. 若要從 IPv6 全域地址執行 IPSec 通訊,請選擇 [接受不安全通訊,但永遠使用 IPsec 回應] 核取方塊。

  3. 按一下 [確定]。

  4. 選擇新篩選器動作,然後按一下 [下一步]。

  5. 在 [驗證方法] 畫面上選擇驗證方法,然後按一下 [下一步]。

    注意

    • 如果在「設定此機器」中設定預先共用金鑰,請啟用 [Authentication Method (驗證方法)] 畫面的「使用此字串保護金鑰交換 (預先共用金鑰)」,並輸入預先共用金鑰。

  6. 按一下 [完成]。

  7. 在新 IP 安全原則內容視窗上,選擇 [確定]。

  8. 在 [本機安全原則] 上選擇新 IP 安全原則。

  9. 從 [動作] 選單中選擇 [指派]。

  10. 檢查新 IP 安全原則的 [指派的原則] 是否已顯示為 [是]。

  11. 在 [本機安全原則] 畫面上按一下 [x]。