Ez a témakör a következő utasításokat tartalmazza:
A szabály általános jellemzőinek definiálása
Adja meg a szabály végpontjait
A [Csatlakozási mód] megadása
A csatlakozási mód meghatározása
A hitelesítési mód meghatározása
Válassza a [Internet Key Exchange protokoll] (IKE) lehetőséget
A szabály tesztelése
A PRISMAsync Print Server alapértelmezett kapcsolódási viselkedésének módosítása
Az IPsec-szabályok határozzák meg, hogy a kijelölt szabályfeltételek szerint mely állomások kapnak engedélyt az IPsec használatára. Ezenfelül az IPsec-szabályok letilthatják az összes, adott végpontra vagy végpontokra irányuló kapcsolatot – az IPsec protokollal és az összes többi protokollal.
Az IPsec konfigurációs beállításai minden olyan IPsec-kapcsolatra érvényesek, amelyet a PRISMAsync Print Server létrehoz.
Az IPsec legalább egy szabály megadása után válik aktívvá.
Legfeljebb 20 PRISMAsync Print Server IPsec-szabály adható meg.
IPsec-szabály beállításaLépjen ide: .
[IPsec kommunikáció] elválasztólapKattintson az [Felvesz] vagy [Szín] gombra.
[IPsec kommunikáció] menüÍrja be egy nevet az [Szabály neve] mezőbe.
IPsec-szabály beállításaA [Végpont-specifikáció] beállítás segítségével adhatja meg, hogy a szabály minden végpontra vagy csak a meghatározott IP-címekre legyen érvényes.
Válassza a [A szabály az összes végpontra érvényes] lehetőséget, ha az összes kapcsolathoz szeretne létrehozni szabályt
Válassza ki a [A szabály a megadott IP-címekre érvényes] lehetőséget, és hozzon létre egy szabályt, amellyel megadhatja a végpontokat.
Az IP-címek megadása során használja a következő irányelveket.
IPv4- és IPv6-címeket is használhat.
A címeket vesszőkkel válassza el: 10.20.1.1,10.20.1.10.
Egy tartomány elejét és végét kötőjellel válassza el: 10.20.1.10-10.20.1.20.
Megadhatja az alhálózat szintaxisát is: 10.20.2.0/24.
Előre megadott helyneveket is használhat: LocalSubnet, DefaultGateway, DHCP, DNS, WINS.
MEGJEGYZÉS
A PRISMAsync Remote Manager használatakor a DNS mentességi szabálya hasznos lehet. A DNS-kiszolgáló nélkülözhetetlen az egyik PRISMAsync Remote Manager-nyomtatótól a másik PRISMAsync Remote Manager-nyomtatóra történő munkatovábbítás során.
IPsec-szabály beállítása
IPsec-szabály beállításaA [Csatlakozási mód] beállítással adhatja meg, hogyan vonatkoznak a szabálybeállítások a végpontok közötti IPsec-kapcsolatra.
Az alábbi diagram segít annak meghatározásában, hogy melyik kapcsolódási mód megfelelő az adott végpontokhoz.
Az IPsec csatlakozási módjaA PRISMAsync Print Server a következő kapcsolódási módokat kínálja.
Az IPsec csatlakozási módja[IPsec kerülés] : meghatározhatja a végpontokat, amelyekhez kapcsolatok hozhatók létre, de soha nem IPsec-en keresztül.
[Kapcsolatok blokkolása] : meghatározhatja a végpontokat, amelyekhez nem hozhatók létre kapcsolatok. A meghatározott végpontokkal létesített IPsec-kommunikációk nem jönnek létre.
[IPsec kérelem]: meghatározhatja azokat a végpontokat, amelyeknél az IPsec az előnyben részesített kapcsolat, de az alternatív kapcsolódási protokollok is elfogadottak.
[Csak a bejövő csatlakozásoknál van szükség IPsec-re] : meghatározhatja azokat a végpontokat, amelyeknél az IPsec a kötelező kapcsolódási protokoll a beérkező forgalom esetében. A kimenő forgalom esetében az alternatív kapcsolódási protokollok is elfogadottak.
[IPsec szükséges] : meghatározhatja azokat a végpontokat, amelyeknél az IPsec a kötelező kapcsolódási protokoll a beérkező és kimenő forgalom esetében.
FONTOS
Azt javasoljuk, hogy először válassza ki és tesztelje a [IPsec kérelem] módot, mielőtt a [IPsec szükséges] módra váltana.
A [Hitelesítési módszer] beállítással meghatározhatja a végpontok hitelesítésének módját: [Tanúsítvány], [Megosztott kulcs] vagy [Tanúsítvány, melyet megosztott kulcs követ].
A [Tanúsítvány] kiválasztásakor:
Hitelesítési módszerEllenőrizze, hogy megtörtént-e a végpont vagy végpontok CA-tanúsítványainak importálása a megbízható tanúsítványok listájára.
A [Tanúsítvány aláírási algoritmusa] beállítással kiválaszthatja a digitális aláírás algoritmusát: [RSA], [ECDSA P256], [ECDSA P384].
Aláírási algoritmusA [Tanúsítvány típusa] beállítással kiválaszthatja a végpont hitelesítésszolgáltatói tanúsítványának típusát: [Közbenső tanúsítvány] vagy [Gyökér-tanúsítvány].
Tanúsítvány típusaA [Tanúsítvány] beállítással kiválaszthatja a tanúsítványt a PRISMAsync Print Server megbízható tanúsítványainak listájából.
A [Megosztott kulcs] kiválasztásakor:
A [Megosztott kulcs] beállítással megadhatja a kulcsot.
Megosztott kulcsA [Tanúsítvány, melyet megosztott kulcs követ] kiválasztásakor:
Adja meg a tanúsítványt és a megosztott kulcsot a fent leírtak szerint.
A protokoll kiválasztásához használja a [Internet Key Exchange protokoll] beállítást: [IKEv1], [IKEv1 és AuthIP], [IKEv1 és IKEv2], [IKEv2].
IKE protokollA szabályok hitelesítési jellemzőinek ellenőrzéséhez kattintson a [IPsec konfiguráció ellenőrzése] beállítás [Ellenőrzés indítása] lehetőségére.
Az IPsec-szabály teszteléseA PRISMAsync Print Server alapértelmezés szerint elfogadja az IPsec biztonságot nem alkalmazó állomáskapcsolatokat. Ezt az alapértelmezett beállítást átállíthatja. Ezzel csak azokkal az állomásokkal való kommunikációt engedélyezi, amelyek megfelelnek egy vagy több szabálynak. Ilyenkor először létre kell hoznia egy tiltási szabályt, amellyel egyaránt letiltja az IPsec-szabályokat tartalmazó vagy nem tartalmazó összes kapcsolatot. A további szabályok, amelyeket létrehoz, meghatározzák, hogy mely állomások elfogadottak, és mely feltételek teljesülése esetén kell a kapcsolatnak az IPsec biztonságot használnia.
Az IPsec-szabály szerkesztéseHa több szabály érvényes ugyanazokra a végpontokra, a Windows prioritási mechanizmusa érvényesül. Ez azt jelenti, hogy:
A rendszer azt a szabályt használja, amelyiknél a legpontosabb a végpont leírása. Például egy végpontot tartalmazó szabály előnyt élvez egy címtartományt tartalmazó szabállyal szemben.
A korlátozó szabályok előnyt élveznek a megengedő szabályokkal szemben. Egy korlátozó szabály megszünteti a kapcsolatot, amikor az IPsec-kommunikáció sikertelen. A megengedő szabályok lehetővé teszik, hogy a kommunikáció egy másik (tartalékként szolgáló) kapcsolatot használjon, ha az IPsec-kommunikáció sikertelen.