Loading

Creazione di una regola IPsec

In questo argomento sono contenute le istruzioni seguenti:

  • Definire le proprietà delle regole generali

  • Definire i punti finali delle regole

  • Definizione di [Modalità di connessione]

  • Definizione della modalità connessione

  • Definizione del metodo di autenticazione

  • Selezionare [Protocollo Internet Key Exchange] (IKE)

  • Verificare la regola

  • Modificare il comportamento di connessione predefinito di PRISMAsync Print Server

Le regole IPsec

Una regola IPsec definisce gli host che possono utilizzare IPsec in base alle condizioni della regola selezionata. Inoltre, le regole IPsec possono bloccare tutte le connessioni a uno o più punti finali, tramite IPsec e tutti gli altri protocolli.

Le opzioni di configurazione di IPsec si applicano a tutte le connessioni IPsec stabilite da PRISMAsync Print Server.

IPsec diventa attivo quando è stata definita almeno una regola.

È possibile definire un massimo di 20 regole IPsec PRISMAsync Print Server.

Aggiungere la regola IPsec

Definire le proprietà delle regole generali

  1. Andare a: [Configurazione]  → [Comunicazione IPsec].

    Scheda [Comunicazione IPsec]
  2. Fare clic su [Aggiungi] o [Modifica].

    Menu [Comunicazione IPsec]
  3. Immettere un nome nel campo [Nome della regola].

    Aggiungere la regola IPsec

Definire i punti finali delle regole

  1. Utilizzare l'opzione [Specifica punto finale] per indicare se la regola si applica a tutti i punti finali o agli indirizzi IP specificati

    • Selezionare [La regola si applica a tutti gli punti finali] per creare una regola per tutte le connessioni

    • Selezionare [La regola si applica a indirizzi IP specificati] per creare una regola per la quale si specificano i punti finali.

  2. Per specificare gli indirizzi IP, utilizzare le linee guida riportate di seguito.

  • È possibile utilizzare gli indirizzi IPv4 e IPv6.

  • Separare più indirizzi con virgole: 10.20.1.1,10.20.1.10.

  • Separare l'inizio e la fine di un intervallo con un trattino: 10.20.1.10-10.20.1.20.

  • È possibile aggiungere la sintassi subnet: 10.20.2.0/24.

  • È possibile utilizzare i nomi di percorsi predefiniti: LocalSubnet, DefaultGateway, DHCP, DNS, WINS.

    NOTA

    Quando si utilizza PRISMAsync Remote Manager, una regola di esenzione per DNS è utile. Il server DNS è essenziale per l'inoltro lavori da una stampante PRISMAsync Remote Manager a un'altra stampante PRISMAsync Remote Manager.

Aggiungere la regola IPsec
Aggiungere la regola IPsec

Definizione della modalità connessione

Utilizzare l'opzione [Modalità di connessione] per indicare come le opzioni regola sono collegate alla connessione IPsec tra i punti finali.

Il diagramma seguente può essere utile per decidere la modalità di connessione appropriata per specifici punti finali.

Modalità di connessione IPsec

PRISMAsync Print Server fornisce le seguenti modalità di connessione.

Modalità di connessione IPsec
  • [Ignora IPsec]: definire i punti finali per i quali è possibile stabilire le connessioni, ma mai tramite IPsec.

  • [Blocca connessioni]: definire i punti finali per i quali non è possibile stabilire connessioni. Le negoziazioni IPsec con i punti finali specificati non verranno avviate.

  • [Richiesta IPsec]: definire i punti finali per i quali IPsec è la connessione preferita, ma sono accettati anche protocolli di connessione alternativi.

  • [Richiedi IPsec solo per connessioni in arrivo]: definire i punti finali per i quali IPsec è il protocollo di connessione richiesto per il traffico in entrata. Per quello in uscita, sono accettati anche protocolli di connessione alternativi.

  • [Richiedi IPsec]: definire i punti finali per i quali IPsec è il protocollo di connessione richiesto per il traffico in entrata e in uscita.

IMPORTANTE

Si consiglia di selezionare e provare innanzitutto la modalità [Richiesta IPsec] prima di passare alla modalità [Richiedi IPsec].

Definizione del metodo di autenticazione

Utilizzare l'opzione [Metodo di autenticazione] per definire la modalità con la quale devono essere autenticati i punti finali: [Certificato], [Chiave pre-condivisa] oppure [Certificato seguito da chiave pre-condivisa].

  • Quando si seleziona [Certificato]:

    Metodo di autenticazione
    1. Verificare se i certificati CA del punto finale o dei punti finali sono stati importati nell'elenco dei certificati attendibili.

    2. Utilizzare l'opzione [Algoritmo di firma del certificato] per selezionare l'algoritmo di firma digitale: [RSA], [ECDSA P256], [ECDSA P384].

      Algoritmo di firma
    3. Utilizzare l'opzione [Tipo di certificato] per selezionare il tipo di certificato CA del punto finale: [Certificato intermedio] oppure [Certificato radice].

      Tipo di certificato
    4. Utilizzare l'opzione [Certificato] per selezionare il certificato dall'elenco di certificati attendibili di PRISMAsync Print Server.

  • Quando si seleziona [Chiave pre-condivisa]:

    1. Utilizzare l'opzione [Chiave pre-condivisa] per immettere la chiave.

      Chiave pre-condivisa
  • Quando si seleziona [Certificato seguito da chiave pre-condivisa]:

    1. Specificare il certificato e la chiave pre-condivisa come illustrato in precedenza.

Selezionare [Protocollo Internet Key Exchange] (IKE)

Utilizzare l'opzione [Protocollo Internet Key Exchange] per selezionare il protocollo: [IKEv1], [IKEv1 e AuthIP], [IKEv1 e IKEv2], [IKEv2].

Protocollo IKE

Verificare la regola

Fare clic su [Avvia la verifica] dell'opzione [Verifica della configurazione IPsec] per verificare le proprietà di autenticazione della regola.

Verificare la regola IPsec

Modificare il comportamento di connessione predefinito di PRISMAsync Print Server

Per impostazione predefinita, PRISMAsync Print Server accetta le connessioni host che non sono protette da IPsec. Questo comportamento predefinito può essere invertito. Quindi, è possibile attivare solo comunicazioni host che soddisfino una o più regole. Pertanto, creare innanzitutto una regola di blocco per rifiutare tutte le connessioni che influiscono su quelle con e senza IPsec. Le altre regole create definiscono gli host che vengono accettati e le condizioni in cui la connessione deve utilizzare IPsec.

Modificare la regola IPsec

Sovrapposizione di punti finali

Quando si applicano più regole agli stessi punti finali, viene utilizzato il meccanismo di priorità di Windows. Ciò significa che:

  • Viene utilizzata la regola con la descrizione del punto finale più specifica. Ad esempio, una regola con un punto finale ha la priorità su una regola con un intervallo di indirizzi.

  • Una regola restrittiva ha la priorità su una regola permissiva. Una regola restrittiva interrompe la connessione quando la negoziazione IPsec ha esito negativo. Una regola permissiva consente il fallback della comunicazione a un'altra connessione se la negoziazione IPsec ha esito negativo.