添加第 1 阶段转换
可以定义一个隧道,使其为对等方提供用于协商的多个转换集。 例如,第一个转换集可能包含 SHA1-DES-DF1([认证方法]-[加密方法]-[密钥组]),第二个转换可能包含 MD5-3DES-DF2,其中 SHA1-DES-DF1 转换是优先级别较高的转换集。 在隧道创建后,XTM 设备可使用 SHA1-DES-DF1 或 MD5-3DES-DF2 来匹配另一个 VPN 端点的转换集。
最多可以添加九个转换集。 但必须在“第 1 阶段设置”中指定“主模式”才可以使用多个转换。
- 在“网关”页面中,选择“第 1 阶段设置”选项卡。
- 在“转换设置”部分中,单击“添加”。
将显示“转换设置”对话框。
- 从“身份验证”下拉列表,选择“SHA1”或“MD5”作为身份验证类型。
- 从“加密”下拉列表,选择“AES(128 位)”、“AES(192 位)”、“AES(256 位)”、“DES”或“3DES”作为加密类型。
- 要更改 SA(安全性关联)的有效期,可在“SA 有效期”文本框中键入一个数字,然后从相邻的下拉列表选择“小时”或“分钟”。 SA 有效期必须是小于 596523 小时或 35791394 分钟的数字。
- 从“密钥组”下拉列表中选择一个 Diffie-Hellman 组。 Fireware XTM 支持组 1、2 和 5。
Diffie-Hellman 组确定在密钥交换进程中使用的主密钥的加密强度。 组编号越高,安全性就越高,但生成密钥所需的时间也越长。 有关详细信息,请参阅关于 Diffie-Hellman 组。
- 单击“确定”。
“转换”将显示在“新建网关”页面上(位于“转换设置”列表中)。 最多可以添加九个转换集。
- 重复步骤 2-6 以添加更多转换。 处于列表顶部的转换集会首先被使用。
- 要更改转换集的优先级,请选中该转换集并单击“上移”或“下移”。
- 单击“确定”。
另请参阅
配置模式和转换(第 1 阶段设置)
配置网关
定义网关端点