用途:新增 IPsec 策略,以設定用於 Site-to-Site VPN 連線的 IKE 加密和驗證演算法。
位置:「設備 >(設備名稱)> Site-to-Site VPN > 策略」

步驟

  1. 請點選「新增」。
    新增/編輯 IPSec 策略」視窗隨即開啟。
  2. 指定新 IPsec 策略的名稱。
  3. 從下拉式清單方塊中選取「IKE 加密演算法」。
    注意
    注意
    數位加密標準 (DES) 是使用 56 位元金鑰的 64 位元區塊演算法。進階加密標準 (AES) 是一種私密金鑰演算法,可支援 128 到 256 位元的金鑰長度以及變動長度資料區塊。
    選項 說明
    3DES
    三重 DES,純文字會由三個金鑰加密三次。
    AES 128
    使用 128 位元金鑰的 128 位元區塊加密區塊鏈結 (CBC) 演算法。
    AES 192
    使用 128 位元金鑰的 192 位元區塊加密區塊鏈結 (CBC) 演算法。
    AES 256
    使用 128 位元金鑰的 256 位元區塊加密區塊鏈結 (CBC) 演算法。
  4. 從下拉式清單方塊中選取「IKE 驗證演算法」值。
    • MD5 — 訊息摘要(第 5 版)雜湊演算法(以單向雜湊函數為基礎)是由 RSA Data Security 所制訂,旨在數位簽章應用,在此演算法中,較大的檔案必須先透過安全的方式進行壓縮,然後才能使用私密金鑰/公開金鑰演算法進行加密。
    • SHA1 — 安全雜湊演算法 1,此演算法會產生 160 位元的訊息摘要。大型訊息摘要可防範暴力碰撞和反向攻擊。
    • SHA-256 — 包含 256 位元摘要的安全雜湊演算法 2。SHA2 摘要可提供較高的安全性來防範暴力碰撞和反向攻擊。
    • SHA-512 — 包含 512 位元訊息摘要的安全雜湊演算法 2。最大的訊息摘要可提供最高的安全性來防範暴力碰撞和反向攻擊。
  5. 從下拉式清單方塊 (1-24) 中選取「IKE SA 存留時間」值(以小時為單位,最長 24 小時)。這會指定交涉的金鑰保持在有效狀態的時間長度。
  6. 從下拉式清單方塊中選取安全設備支援的「IKE DH 群組」值。
    • 群組 2:MODP — 1024 位元(預設)
    • 群組 5:MODP — 1536 位元
    • 群組 14:MODP — 2048 位元
      上述群組是指 Diffie-Hellman 金鑰運算方式(也稱為指數金鑰協定),這是以 IKE 和 IPsec 安全關聯 (SA) 的安全設備支援的 Diffie-Hellman (DH) 數學群組為基礎。
  7. 從下拉式清單方塊中選取「IPsec 加密」值。
    • 沒有加密 — 不使用加密演算法。
    • 3DES
    • AES 128
    • AES 192
    • AES 256
  8. 從下拉式清單方塊中選取「IPsec 驗證演算法」值。
    • MD5
    • SHA1
    • SHA-256
    • SHA-512
  9. 從下拉式清單方塊 (1-24) 中選取「IPsec 存留時間」值(以小時為單位,最長 24 小時)。
  10. 從下拉式清單中選取「IPsec PFS 群組」值。
    • 群組 2:MODP
    • 群組 5:MODP
    • 群組 14:MODP
  11. 按一下「儲存」。