Hinzufügen eines IPsec-Profils
Sie können die IKE-Parameter (Internet Key Exchange) der Phase 1 und 2 angeben, um IPsec- und L2TP-Tunnel zwischen zwei Firewalls einzurichten. Sie können auch die Einstellungen für die Schlüsselverhandlung und die Dead-Peer-Erkennung festlegen.
Allgemeine Einstellungen
Konfigurieren Sie die IKE-Version und die Schlüsselverhandlungseinstellungen.
- Gehe zu Profile > IPsec-Profile und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein.
-
Für Schlüsselaustausch, wählen Sie eine IKE-Version für den Austausch in Phase 1 und Phase 2 aus:
- IKEv1
- IKEv2: Es ist schneller und sicherer und bietet zusätzliche Vorteile wie NAT-Traversal.
-
(Nur IKEv1) Für AuthentifizierungsmodusWählen Sie einen Modus für den Diffie-Hellman-Schlüsselaustausch der Phase 1 aus den folgenden Optionen aus:
- Hauptmodus: Führt drei bidirektionale Austausche aus und ist sicher. IKEv2 verwendet immer den Hauptmodus.
-
Aggressiver Modus: Führt den Schlüsselaustausch in drei Nachrichten aus und die Authentifizierungsinformationen werden im Klartext gesendet.
Warnung
Wir empfehlen den aggressiven Modus nicht, da er nicht sicher ist.
-
Für Wichtige VerhandlungsversucheGeben Sie an, wie oft die Firewall versuchen muss, den Schlüsselaustausch für den Tunnel auszuhandeln, bevor sie stoppt. Wir empfehlen, den Wert auf Null zu setzen.
-
Wählen Verbindung neu codieren um die Verhandlung automatisch zu starten, bevor der Schlüssel für den Austausch der Phase 1 und Phase 2 abläuft.
Deaktivieren Sie das Kontrollkästchen, wenn die Firewall die Neuverschlüsselung nur durchführen soll. Um die Sicherheit zu gewährleisten, aktivieren Sie die Neuverschlüsselung auf einer oder beiden Firewalls.
Tipp
Die Firewall unterstützt nur die zeitbasierte Neuverschlüsselung. Wenn Sie Verbindungen mit Firewalls von Drittanbietern herstellen, achten Sie darauf, dass dort die zeitbasierte Neuverschlüsselung aktiviert ist.
-
Wählen Verwenden Sie ein striktes Profil um sicherzustellen, dass der IKE-Austausch nur die konfigurierten Parameter verwendet und Standardwerte ausschließt, die das System möglicherweise verwendet.
Dies gewährleistet einen erfolgreichen Handshake in Situationen, in denen Paketfragmentierung Probleme verursacht, die den Aufbau von Tunneln verhindern.
-
Wählen Daten im komprimierten Format weitergeben um die Nutzlast zu komprimieren und die Bandbreitennutzung zu verringern. Die Daten werden vor der Verschlüsselung komprimiert.
- Wählen SHA2 mit 96-Bit-Kürzung um die HMAC-Hashwerte zur Authentifizierung zu kürzen.
Phase 1
Geben Sie die Einstellungen für Phase 1 an, um einen verschlüsselten Tunnel zwischen den beiden Firewalls einzurichten.
-
Geben Sie die Schlüssellebensdauer und die Einstellungen für die Neucodierung an:
-
Für Schlüssellebensdauer, geben Sie die Zeit in Sekunden ein.
Dies ist die Lebensdauer der Sicherheitszuordnung (SA). Wenn die SA abläuft, beginnt die Schlüsselverhandlung erneut, wenn Sie Verbindung neu kodieren, und eine neue SA wird hergestellt oder die Verbindung wird beendet.
Tipp
Um Kollisionen beim Schlüsselaustausch zu vermeiden, befolgen Sie diese Richtlinien:
Stellen Sie die Schlüssellebensdauer des Initiators kürzer ein als die des Antwortenden.
Stellen Sie die Schlüssellebensdauer der Phase 2 in beiden Firewalls niedriger ein als den Wert der Phase 1.
Siehe beispielsweise die Werte in den Standardprofilen Zweigstelle (IKEv2) für den Initiator und Hauptsitz (IKEv2) für den Antwortenden.
-
Für Nachschlüsselungsspanne, geben Sie die Zeit in Sekunden ein.
Wenn diese Zeit im Schlüsselleben verbleibt, beginnt der Verhandlungsversuch.
-
Für Randomisieren Sie den Neueingabespielraum durchGeben Sie einen Prozentwert ein, um den die Neuschlüsselungsspanne zufällig festgelegt wird.
Beispiel
Tastenlebensdauer: 8 Stunden
Spielraum für die Schlüsselneuvergabe: 10 Minuten. Der Schlüsselverhandlungsversuch sollte nach 7 Stunden und 50 Minuten beginnen.
Randomisierung: 20 Prozent. Der Verhandlungsversuch beginnt bei 7 Stunden 48 Minuten und endet bei 7 Stunden 52 Minuten.
-
-
Geben Sie die Verschlüsselungs- und Authentifizierungseinstellungen an:
-
Unter DH-Gruppe (Diffie-Hellman-Gruppe): Wählen Sie die Gruppen aus, um die Schlüsselstärke beim Schlüsselaustausch zu bestimmen. Wählen Sie die gleichen Optionen in der Remote-Firewall.
Innerhalb eines Gruppentyps (z. B. ECP und Kurve) generieren DH-Gruppen mit höheren Nummern längere Schlüssel und sind stärker.
-
Wählen Sie die Algorithmen für die folgenden Einstellungen aus:
- Verschlüsselung
- Authentifizierung
Tipp
Um die Integrität beim Datenaustausch zu gewährleisten, können Sie bis zu drei Verschlüsselungs- und Authentifizierungsalgorithmen auswählen.
Sie müssen mindestens eine dieser Kombinationen in der Remote-Firewall konfigurieren.
Notiz
Im aggressiven Modus können Sie nur eine Kombination speichern.
-
Phase 2
Geben Sie die Einstellungen für die SAs der Phase 2 an, um die Datenübertragung durch den Tunnel zu sichern.
-
Verwenden PFS-Gruppe (Perfect Forward Secrecy), um für jeden Phase-2-Tunnel einen neuen Schlüsselaustausch zu erzwingen. Die Verwendung von PFS ist sicherer. Wählen Sie aus den folgenden Optionen:
-
Keiner: Schaltet PFS aus.
Warnung
Wir empfehlen, diese Option nicht auszuwählen. Wenn die Schlüssel der Phase 1 kompromittiert werden, können alle Sitzungen der Phase 2 entschlüsselt werden. Verwenden Sie diese Option nur, wenn es sich beim Remote-Peer um eine Firewall eines Drittanbieters handelt, die PFS nicht unterstützt.
-
Wie Phase 1: Verwendet DH-Gruppen der Phase 1 für Verhandlungen der Phase 2.
- Bei den anderen Optionen verwendet die Firewall die von Ihnen angegebene DH-Gruppe für Sitzungsschlüssel der Phase 2. Wir empfehlen die Auswahl einer DH-Gruppe.
-
-
Für SchlüssellebensdauerGeben Sie die Zeit für die SAs der Phase 2 in Sekunden ein.
Tipp
Um Kollisionen beim Schlüsselaustausch zu vermeiden, befolgen Sie diese Richtlinien:
Stellen Sie die Schlüssellebensdauer des Initiators kürzer ein als die des Antwortenden.
Stellen Sie die Schlüssellebensdauer der Phase 2 in beiden Firewalls niedriger ein als den Wert der Phase 1.
Siehe beispielsweise die Werte in den Standardprofilen Zweigstelle (IKEv2) für den Initiator und Hauptsitz (IKEv2) für den Antwortenden.
-
Wählen Sie die Algorithmen für die folgenden Einstellungen aus:
- Verschlüsselung
- Authentifizierung
Tipp
Um die Integrität beim Datenaustausch zu gewährleisten, können Sie bis zu drei Verschlüsselungs- und Authentifizierungsalgorithmen auswählen.
Sie müssen mindestens eine dieser Kombinationen in der Remote-Firewall konfigurieren.
Notiz
Im aggressiven Modus können Sie nur eine Kombination speichern.
Dead-Peer-Erkennung
Geben Sie die Einstellungen an, um nicht reagierende Peers zu erkennen, bevor Daten gesendet werden, wenn der Phase-2-Tunnel inaktiv geblieben ist. Wir empfehlen Ihnen, Folgendes zu aktivieren: Dead-Peer-Erkennung.
- Wählen Dead-Peer-Erkennung um zu prüfen, ob der Peer verfügbar ist.
- Für Überprüfen Sie den Peer nach jedem, geben Sie die Zeit in Sekunden ein.
-
Für Warten auf Antwort bis zuGeben Sie die Antwortzeit in Sekunden für IKEv1 ein. Wenn der Peer nicht innerhalb dieser Zeit antwortet, gilt er als nicht verfügbar.
Notiz
Bei IKEv1 hängt die Anzahl der Prüfungen von der von Ihnen angegebenen Antwortzeit ab.
Bei IKEv2 hängt die Anzahl der Prüfungen vom Standard-Timeout für die erneute IKE-Nachrichtenübertragung ab. Dieser Wert hat daher keine Auswirkungen.
-
Für Wenn der Peer nicht erreichbar istWählen Sie eine Aktion aus den folgenden Optionen aus:
- Halten: Behält die installierten Verkehrsselektoren bei und verhandelt den Tunnel bei Bedarf neu.
- Trennen: Schließt die Verbindung. Verwenden Sie diese Option für die Zentrale.
-
Erneut einleiten: Löst bei einem DPD-Timeout sofort einen Neuverhandlungsversuch der Verbindung aus. Verwenden Sie diese Option für Remote-Büros.
Die Firewall versucht, den Tunnel basierend auf der Anzahl der Wichtige Verhandlungsversuche Sie geben an.
-
Klicken Speichern.