In questo argomento sono contenute le istruzioni seguenti:
Definire le proprietà delle regole generali
Definire i punti finali delle regole
Definizione di [Modalità di connessione]
Definizione della modalità connessione
Definizione del metodo di autenticazione
Selezionare [Protocollo Internet Key Exchange] (IKE)
Verificare la regola
Modificare il comportamento di connessione predefinito di PRISMAsync Print Server
Una regola IPsec definisce gli host che possono utilizzare IPsec in base alle condizioni della regola selezionata. Inoltre, le regole IPsec possono bloccare tutte le connessioni a uno o più punti finali, tramite IPsec e tutti gli altri protocolli.
Le opzioni di configurazione di IPsec si applicano a tutte le connessioni IPsec stabilite da PRISMAsync Print Server.
IPsec diventa attivo quando è stata definita almeno una regola.
È possibile definire un massimo di 20 regole IPsec PRISMAsync Print Server.
Aggiungere la regola IPsecAndare a: .
Scheda [Comunicazione IPsec] Fare clic su [Aggiungi] o [Modifica].
Menu [Comunicazione IPsec] Immettere un nome nel campo [Nome della regola].
Aggiungere la regola IPsecUtilizzare l'opzione [Specifica punto finale] per indicare se la regola si applica a tutti i punti finali o agli indirizzi IP specificati
Selezionare [La regola si applica a tutti gli punti finali] per creare una regola per tutte le connessioni
Selezionare [La regola si applica a indirizzi IP specificati] per creare una regola per la quale si specificano i punti finali.
Per specificare gli indirizzi IP, utilizzare le linee guida riportate di seguito.
È possibile utilizzare gli indirizzi IPv4 e IPv6.
Separare più indirizzi con virgole: 10.20.1.1,10.20.1.10.
Separare l'inizio e la fine di un intervallo con un trattino: 10.20.1.10-10.20.1.20.
È possibile aggiungere la sintassi subnet: 10.20.2.0/24.
È possibile utilizzare i nomi di percorsi predefiniti: LocalSubnet, DefaultGateway, DHCP, DNS, WINS.
NOTA
Quando si utilizza PRISMAsync Remote Manager, una regola di esenzione per DNS è utile. Il server DNS è essenziale per l'inoltro lavori da una stampante PRISMAsync Remote Manager a un'altra stampante PRISMAsync Remote Manager.
Aggiungere la regola IPsec
Aggiungere la regola IPsecUtilizzare l'opzione [Modalità di connessione] per indicare come le opzioni regola sono collegate alla connessione IPsec tra i punti finali.
Il diagramma seguente può essere utile per decidere la modalità di connessione appropriata per specifici punti finali.
Modalità di connessione IPsecPRISMAsync Print Server fornisce le seguenti modalità di connessione.
Modalità di connessione IPsec[Ignora IPsec] : definire i punti finali per i quali è possibile stabilire le connessioni, ma mai tramite IPsec.
[Blocca connessioni] : definire i punti finali per i quali non è possibile stabilire connessioni. Le negoziazioni IPsec con i punti finali specificati non verranno avviate.
[Richiesta IPsec]: definire i punti finali per i quali IPsec è la connessione preferita, ma sono accettati anche protocolli di connessione alternativi.
[Richiedi IPsec solo per connessioni in arrivo] : definire i punti finali per i quali IPsec è il protocollo di connessione richiesto per il traffico in entrata. Per quello in uscita, sono accettati anche protocolli di connessione alternativi.
[Richiedi IPsec] : definire i punti finali per i quali IPsec è il protocollo di connessione richiesto per il traffico in entrata e in uscita.
IMPORTANTE
Si consiglia di selezionare e provare innanzitutto la modalità [Richiesta IPsec] prima di passare alla modalità [Richiedi IPsec].
Utilizzare l'opzione [Metodo di autenticazione] per definire la modalità con la quale devono essere autenticati i punti finali: [Certificato], [Chiave pre-condivisa] oppure [Certificato seguito da chiave pre-condivisa].
Quando si seleziona [Certificato] :
Metodo di autenticazioneVerificare se i certificati CA del punto finale o dei punti finali sono stati importati nell'elenco dei certificati attendibili.
Utilizzare l'opzione [Algoritmo di firma del certificato] per selezionare l'algoritmo di firma digitale: [RSA], [ECDSA P256], [ECDSA P384].
Algoritmo di firmaUtilizzare l'opzione [Tipo di certificato] per selezionare il tipo di certificato CA del punto finale: [Certificato intermedio] oppure [Certificato radice].
Tipo di certificatoUtilizzare l'opzione [Certificato] per selezionare il certificato dall'elenco di certificati attendibili di PRISMAsync Print Server.
Quando si seleziona [Chiave pre-condivisa] :
Utilizzare l'opzione [Chiave pre-condivisa] per immettere la chiave.
Chiave pre-condivisaQuando si seleziona [Certificato seguito da chiave pre-condivisa] :
Specificare il certificato e la chiave pre-condivisa come illustrato in precedenza.
Utilizzare l'opzione [Protocollo Internet Key Exchange] per selezionare il protocollo: [IKEv1], [IKEv1 e AuthIP], [IKEv1 e IKEv2], [IKEv2].
Protocollo IKEFare clic su [Avvia la verifica] dell'opzione [Verifica della configurazione IPsec] per verificare le proprietà di autenticazione della regola.
Verificare la regola IPsecPer impostazione predefinita, PRISMAsync Print Server accetta le connessioni host che non sono protette da IPsec. Questo comportamento predefinito può essere invertito. Quindi, è possibile attivare solo comunicazioni host che soddisfino una o più regole. Pertanto, creare innanzitutto una regola di blocco per rifiutare tutte le connessioni che influiscono su quelle con e senza IPsec. Le altre regole create definiscono gli host che vengono accettati e le condizioni in cui la connessione deve utilizzare IPsec.
Modificare la regola IPsecQuando si applicano più regole agli stessi punti finali, viene utilizzato il meccanismo di priorità di Windows. Ciò significa che:
Viene utilizzata la regola con la descrizione del punto finale più specifica. Ad esempio, una regola con un punto finale ha la priorità su una regola con un intervallo di indirizzi.
Una regola restrittiva ha la priorità su una regola permissiva. Una regola restrittiva interrompe la connessione quando la negoziazione IPsec ha esito negativo. Una regola permissiva consente il fallback della comunicazione a un'altra connessione se la negoziazione IPsec ha esito negativo.