配置 第 2 阶段设置
第 2 阶段设置包括 安全关联 (SA) 的设置,SA 用于定义当数据包在两个端点之间传递时保证其安全性的方法。 SA 会保留所有必要的信息,让 XTM 设备知道该如何处理端点之间的流量。 SA 中的参数包括:
- 已用的加密和认证算法。
- SA 的有效期(以秒和/或字节为单位)。
- 建立 SA 的设备的 IP 地址(在 VPN 的另一端处理 IPSec 加密和解密的设备,而不是其后发送或接收流量的计算机)。
- 应用 SA 的流量的源和目标 IP 地址。
- 应用 SA 的流量的方向(传入和传出的流量各有一个 SA)。
配置第 2 阶段设置
- 在“ 中,选择“第 2 阶段设置”选项卡。
- 选中“PFS”复选框以启用 Perfect Forward Secrecy (PFS)。 如果启用了 PFS,请选择 Diffie-Hellman 组。
Perfect Forward Secrecy 可为在会话中创建的密钥提供更多保护。 用 PFS 创建的密钥不是基于上一个密钥生成的。 即使在会话结束后上一密钥被泄露,新的会话密钥也是安全的。 有关详细信息,请参阅“关于 Diffie-Hellman 组”。
- XTM 设备 包含一个默认方案,该方案显示在“IPSec 方案”列表中, 用于指定 ESP 数据保护方法、AES 加密和 SHA-1 认证。 您可以:
-
单击“添加”以添加默认方案。
-
从下拉列表中选择其他方案然后单击“添加”。
- 添加另一个方案,添加方法请参阅“添加 第 2 阶段方案”。
如果您计划使用 IPSec 传递功能,则必须使用以 ESP(封装安全负载)作为方案方法的方案。 IPSec 传递支持 ESP,但不支持 AH。 有关 IPSec 传递的详细信息,请参阅“ 关于 全局 VPN 设置”。