Dette emne indeholder følgende instruktioner:
Definere generelle regelegenskaber
Definere regelslutpunkterne
Definere [Forbindelsestilstand]
Definere forbindelsestilstanden
Definere godkendelsesmetoden
Markér [Internet Key Exchange-protokol] (IKE).
Test reglen
Ændre PRISMAsync Print Server-funktionsmåden for standardforbindelse
En IPsec-regel definerer, hvilke værter der har tilladelse til IPsec i overensstemmelse med de valgte regelbetingelser. Desuden kan IPsec -regler blokere alle forbindelser til et eller flere slutpunkter - via IPsec og alle andre protokoller.
IPsec-konfigurationsindstillingerne gælder for alle IPsec-forbindelser, som PRISMAsync Print Server opretter.
IPsec bliver aktiv, når der er defineret mindst én regel.
Du kan definere maksimalt 20 PRISMAsync Print Server IPsec-regler.
Tilføj IPsec-regelGå til: .
Fanen [IPsec-kommunikation] Klik på [Tilføje] eller [Redigere].
[IPsec-kommunikation] -menuAngiv et navn i [Navn på regel] -feltet.
Tilføj IPsec-regelBrug indstillingen [Slutpunktsspecifikation] til at angive, om reglen gælder for alle slutpunkter eller for angivne IP-adresser
Marker [Reglen gælder for alle slutpunkter] for at oprette en regel for alle forbindelser
Marker [Reglen gælder for angivne IP-adresser] for at oprette en regel, hvortil du angiver slutpunkterne.
Angiv IP-adresserne ved at bruge følgende retningslinjer.
Du kan bruge IPv4 og IPv6-adresser.
Adskille flere adresser med komma: 10.20.1.1,10.20.1.10.
Adskil begyndelsen og slutningen af et område med en bindestreg: 10.20.1.10-10.20.1.20.
Du kan tilføje undernetsyntaksen: 10.20.2.0/24.
Du kan bruge foruddefinerede placeringsnavne: LocalSubnet, DefaultGateway, DHCP, DNS, WINS.
BEMÆRK
Når du bruger PRISMAsync Remote Manager er en undtagelsesregel for DNS nyttig. DNS-serveren er vigtigt til at videresende job fra én PRISMAsync Remote Manager -printer til en anden PRISMAsync Remote Manager-printeren.
Tilføj IPsec-regel
Tilføj IPsec-regelBrug indstillingen [Forbindelsestilstand] til at angive, hvordan regelindstillingerne er relateret til IPsec-forbindelsen mellem slutpunkterne.
Diagrammet nedenfor kan være en hjælp til at afgøre, hvilken forbindelsestilstand der egner sig til specifikke slutpunkter.
IPsec-forbindelsestilstandPRISMAsync Print Server indeholder følgende forbindelsestilstande.
IPsec-forbindelsestilstand[Omgå IPsec] : definer de slutpunkter, der kan oprettes forbindelser til, men aldrig via IPsec.
[Bloker forbindelser] : definer de slutpunkter, der ikke kan oprettes nogen forbindelser til. IPsec-forhandlinger med de angivne slutpunkter startes ikke.
[Anmod om IPsec]: definer de slutpunkter, hvor IPsec er den foretrukne forbindelse, men hvor alternative forbindelsesprotokoller også accepteres.
[Anmod kun om IPsec for indgående forbindelser] : definer de slutpunkter, hvor IPsec er den ønskede forbindelsesprotokol for indgående trafik. Alternativ forbindelsesprotokoller accepteres også for udgående trafik.
[Kræv IPsec] : definer de slutpunkter, hvor IPsec er den ønskede forbindelsesprotokol for ind- og udgående trafik.
VIGTIGT
Det anbefales, at du først vælger og tester [Anmod om IPsec] -tilstanden, før du gå til [Kræv IPsec] -tilstanden.
Brug indstillingen [Godkendelsesmetode] til at definere, hvordan slutpunkter skal godkendes: [Certifikat], [Forhåndsdelt nøgle] eller [Certifikat efterfulgt af forhåndsdelt nøgle].
Når du vælger [Certifikat] :
GodkendelsesmetodeKontrollér, om CA-rodcertifikater for slutpunktet eller slutpunkterne er blevet importeret på listen over pålidelige certifikater.
Brug indstillingen [Certifikatets signeringsalgoritme] til at vælge algoritmen for digital underskrift: [RSA], [ECDSA P256], [ECDSA P384].
SigneringsalgoritmeBrug indstillingen [Certifikattype] til at vælge typen af CA-certifikat for slutpunktet: [Mellemliggende certifikat] eller [Rodcertifikat].
CertifikattypeBrug indstillingen [Certifikat] til at vælge certifikatet fra PRISMAsync Print Server-listen over pålidelige certifikater.
Når du vælger [Forhåndsdelt nøgle] :
Brug indstillingen [Forhåndsdelt nøgle] til at angive nøglen.
Forhåndsdelt nøgleNår du vælger [Certifikat efterfulgt af forhåndsdelt nøgle] :
Angiv certifikatet og den forhåndsdelte nøgle, som beskrevet ovenfor.
Brug indstillingen [Internet Key Exchange-protokol] til at vælge protokollen: [IKEv1], [IKEv1 og AuthIP], [IKEv1 og IKEv2], [IKEv2].
IKE-protokolKlik på [Start testen] for indstillingen [Test af IPsec-konfiguration] for at kontrollere godkendelsesegenskaberne for reglen.
Teste IPsec-reglenSom standard accepterer PRISMAsync Print Serverværtsforbindelser, der ikke er sikret af IPsec. Du kan ændre denne standardfunktionsmåde til det modsatte. Derefter tillader du kun værtskommunikation, der opfylder en eller flere regler. Derfor skal du først oprette en blokeringsregel for at afvise alle forbindelser, der påvirker forbindelser med og uden IPsec. De andre regler, du opretter, definerer, hvilken vært der accepteres, og under hvilke betingelser forbindelsen skal bruge IPsec.
Redigere IPsec-regelNår flere regler anvendes på de samme slutpunkter, træder prioriteringsmekanismen i Windows i kraft. Dette betyder, at:
Den regel, der har den mest specifikke slutpunktsbeskrivelse, anvendes. F.eks. tilsidesætter en regel med et slutpunkt en regel med et adresseinterval.
En restriktiv regel tilsidesætter en tilladende regel. En restriktiv regel dropper forbindelsen, når IPsec-forhandlingen mislykkes. En tilladende regel tillader, at kommunikationen anvender en anden forbindelse, hvis IPsec-forhandlingen mislykkes.