Этот раздел содержит следующие инструкции:
Определение общих свойств правила
Определение конечных точек правила
Определите [Режим подключения]
Определение режима соединения
Определение способа проверки подлинности
Выберите [Протокол Internet Key Exchange (Oбмена ключами по Интернету)] (IKE)
Тестирование правила
Изменение поведения PRISMAsync Print Server по умолчанию при подключении
Правило IPsec определяет, у каких узлов есть разрешение использовать IPsec, в соответствии с выбранными условиями. Кроме того, правила IPsec могут блокировать все подключения к одной или нескольким конечным точкам через IPsec или любые другие протоколы.
Параметры конфигурации IPsec применяются ко всем подключениям IPsec, которые устанавливает PRISMAsync Print Server.
IPsec становится активным, если определено по крайней мере одно правило.
Для PRISMAsync Print Server можно задать не более 20 правил IPsec.
Добавление правила IPsecВыберите: .
Вкладка [Связь по IPsec] Нажмите [Добав.] или [Измен.].
Меню [Связь по IPsec] Введите имя в поле [Имя правила].
Добавление правила IPsecС помощью параметра [Характеристика конечной точки] укажите, требуется ли применять правило ко всем конечным точкам или к определенным IP-адресам
Чтобы создать правило для всех подключений, выберите [Правило применяется ко всем конечным точкам].
Чтобы создать правило, для которого указываются конечные точки, выберите [Правило применяется к указанным IP-адресам].
Определите IP-адреса в соответствии со следующими указаниями.
Можно использовать адреса IPv4 и IPv6.
Разделяйте адреса запятыми: 10.20.1.1,10.20.1.10.
Разделяйте начало и конец диапазона дефисом: 10.20.1.10-10.20.1.20.
Можно добавить синтаксис маски подсети: 10.20.2.0/24.
Можно использовать предварительно заданные названия местоположений: LocalSubnet, DefaultGateway, DHCP, DNS, WINS.
ПРИМЕЧАНИЕ
В случае использования PRISMAsync Remote Manager может быть полезно создать правило исключения для DNS. Сервер DNS необходим для передачи заданий с одного принтера PRISMAsync Remote Manager на другой принтер PRISMAsync Remote Manager.
Добавление правила IPsec
Добавление правила IPsecС помощью параметра [Режим подключения] укажите, как параметры правила должны применяться к подключению IPsec между конечными точками.
Следующая диаграмма поможет выбрать для различных конечных точек подходящий режим подключения.
Режим подключения IPsecPRISMAsync Print Server поддерживает следующие режимы подключения.
Режим подключения IPsec[Обход IPsec] : определите конечные точки, к которым можно подключаться, но не через IPsec.
[Блокировать подключения] : определите конечные точки, к которым нельзя подключаться. Согласование IPsec с указанными конечными точками не инициируется.
[Запрашивать IPsec]: определите конечные точки, для которых подключение IPsec является предпочтительным, но также допустимы и альтернативные подключения.
[Требовать IPsec только для входящих подключений] : определите конечные точки, для которых входящий трафик допустим только по протоколу IPsec. Для исходящего трафика также допустимы альтернативные подключения.
[Требовать IPsec] : определите конечные точки, для которых входящий и исходящий трафик допустим только по протоколу IPsec.
ВАЖНО
Прежде чем включать режим [Требовать IPsec], рекомендуется выбрать и протестировать режим [Запрашивать IPsec].
С помощью параметра [Метод проверки подлинности] определите порядок проверки подлинности конечных точек: [Сертификат], [Общий ключ] или [Сертификат, а также общий ключ].
При выборе параметра [Сертификат] :
Метод проверки подлинностиПроверьте, импортированы ли в список доверенных сертификатов сертификаты CA для одной или нескольких конечных точек.
С помощью параметра [Алгоритм подписи сертификата] выберите алгоритм электронной подписи: [RSA], [ECDSA P256], [ECDSA P384].
Алгоритм подписиС помощью параметра [Тип сертификата] выберите тип сертификата CA для конечной точки: [Промежуточный сертификат] или [Корневой сертификат].
Тип сертификатаС помощью параметра [Сертификат] выберите сертификат в списке доверенных сертификатов PRISMAsync Print Server.
При выборе параметра [Общий ключ] :
С помощью параметра [Общий ключ] введите ключ.
Общий ключПри выборе параметра [Сертификат, а также общий ключ] :
Укажите сертификат и общий ключ, как было описано выше.
Используйте параметр [Протокол Internet Key Exchange (Oбмена ключами по Интернету)] для выбора протокола: [IKEv1], [IKEv1 и AuthIP], [IKEv1 и IKEv2], [IKEv2].
Протокол IKEС помощью параметра [Запустить тест.] функции [Проверка конфигурации IPsec] проверьте свойства проверки подлинности правила.
Тестирование правила IPsecПо умолчанию PRISMAsync Print Server принимает от узлов подключения, не защищенные с помощью IPsec. Это поведение по умолчанию можно инвертировать. Затем можно включить подключения от узлов, соответствующие одному или нескольким правилам. Таким образом, сначала вы создаете правило блокировки, отклоняющее все подключения, использующие и не использующие IPsec. Другие созданные вами правила определяют, какие узлы допустимы и при каких условиях подключение должно использовать IPsec.
Изменение правила IPsecЕсли к одним и тем же конечным точками применяется несколько правил, действует механизм приоритетов Windows. Это означает следующее:
Используется правило с наиболее конкретным описанием конечной точки. Например, правило с одной конечной точкой имеет более высокий приоритет, чем правило с диапазоном адресов.
Ограничительное правило имеет более высокий приоритет, чем разрешающее правило. Ограничительное правило разрывает подключение в случае неудачного согласования IPsec. Разрешающее правило в случае неудачного согласования IPsec включает связь через другое подключение.