创建 IPsec 规则

此主题包含以下说明：

• 定义常规规则属性

• 定义规则端点

• 定义[连接模式] 。

• 定义连接模式

• 定义身份验证方法

• 选择 [Internet 密钥交换协议] (IKE)

• 测试规则

• 更改 PRISMAsync Print Server 默认连接行为

什么是 IPsec 规则

IPsec 规则定义允许哪些主机根据所选规则条件使用 IPsec。此外，IPsec 规则可以阻止与一个或多个端点的所有连接——通过 IPsec 和所有其他协议。

IPsec 配置选项适用于 PRISMAsync Print Server 建立的所有 IPsec 连接。

定义至少一个规则后，IPsec 将变为活动状态。

您最多可定义 20 个 PRISMAsync Print Server IPsec 规则。

添加 IPsec 规则

定义常规规则属性

1. 转到：[配置]  → [IPsec 通信] .

   [IPsec 通信] 标签

2. 单击[添加] 或[编辑] 。

   [IPsec 通信] 菜单

3. 在 [规则名称] 字段中输入名称。

   添加 IPsec 规则

定义规则端点

1. 使用 [端点规格] 选项以指示规则是否适用于所有端点或指定的 IP 地址

   • 选择 [规则应用至所有端点] 为所有连接创建一个规则

   • 选择 [规则应用至指定 IP 地址] 创建一个为其指定端点的规则。

2. 要指定 IP 地址，请使用以下准则。

• 您可以使用 IPv4 和 IPv6 地址。

• 用逗号分隔多个地址：10.20.1.1,10.20.1.10.

• 用破折号分隔范围的开头和结尾：10.20.1.10-10.20.1.20.

• 您可以添加子网语法：10.20.2.0/24.

• 您可以使用预定义的位置名称：LocalSubnet, DefaultGateway, DHCP, DNS, WINS.

  注释

  当您使用 PRISMAsync Remote Manager 时，DNS 的免除规则会很有用。DNS 服务器对于将作业从一个 PRISMAsync Remote Manager 打印机转发到另一个 PRISMAsync Remote Manager 打印机至关重要。

添加 IPsec 规则

添加 IPsec 规则

定义连接模式

使用 [连接模式] 选项以指示规则选项如何与端点之间的 IPsec 连接相关。

下图可以帮助确定哪些连接模式适合特定端点。

IPsec 连接模式

PRISMAsync Print Server 提供以下连接模式。

IPsec 连接模式

• [绕过 IPsec] :定义可为其建立连接（但绝不能通过 IPsec）的端点。

• [阻止连接] :定义无法为其建立连接的端点。将不会启动与指定端点的 IPsec 协商。

• [请求 IPsec]: 定义 IPsec 是其首选连接，但也接受其他连接协议的端点。

• [仅对于接收的连接要求 IPsec] :定义 IPsec 是传入流量所需的连接协议的端点。对于传出流量，还会接受其他连接协议。

• [要求 IPsec] :定义 IPsec 是传入和传出流量所需的连接协议的端点。

须知

建议您首先选择并测试 [请求 IPsec] 模式，然后再转到 [要求 IPsec] 模式。

定义身份验证方法

使用 [身份验证方法] 选项以定义端点必须如何进行身份验证：[证书] 、[预共享密钥] 或 [证书，后接共享密钥] 。

• 当您选择 [证书]  时：

  身份验证方法

  1. 检查一个或多个端点的 CA 证书是否已导入受信任证书的列表中。

  2. 使用 [证书签发算法] 选项以选择数字签名算法：[RSA], [ECDSA P256], [ECDSA P384].

     签发算法

  3. 使用 [证书类型] 选项以选择端点的 CA 证书的类型：[中间证书] 或 [根证书] 。

     证书类型

  4. 使用 [证书] 选项以从 PRISMAsync Print Server 的受信任的证书列表中选择证书。

• 当您选择 [预共享密钥]  时：

  1. 使用 [预共享密钥] 选项以输入密钥。

     预共享密钥

• 当您选择 [证书，后接共享密钥]  时：

  1. 指定证书和预共享密钥，如上文所述。

选择 [Internet 密钥交换协议] (IKE)

使用 [Internet 密钥交换协议] 选项以选择协议：[IKEv1], [IKEv1 和 AuthIP], [IKEv1 和 IKEv2], [IKEv2].

IKE 协议

测试规则

单击 [IPsec 配置测试] 选项的 [开始测试] 以检查规则的身份验证属性。

测试 IPsec 规则

更改 PRISMAsync Print Server 默认连接行为

默认情况下，PRISMAsync Print Server 接受 IPsec 不保护的主机连接。您可以反转此默认行为。其次，您只允许进行满足一个或多个规则的主机通信。因此，您首先创建一个阻止规则，以拒绝影响使用或不使用 IPsec 连接的所有连接。您创建的其他规则定义了接受哪些主机，以及在什么条件下连接必须使用 IPsec。

编辑 IPsec 规则

重叠端点

当更多规则应用于相同的端点时，Windows 的优先级机制将生效。这意味着：

• 将会使用具有最具体端点描述的规则。例如，具有一个端点的规则优先于具有一个地址范围的规则。

• 限制性较高的规则优先于限制性较低的规则。当 IPsec 协商失败时，限制性较高的规则将会删除连接。如果 IPsec 协商失败，限制性较低的规则会允许通信回退到另一个连接。

详细信息

• 了解 IPsec

• 配置 IPsec

• 了解身份证书

• (导入受信任的 CA 证书)

• IPsec 安全性的使用案例

• IPsec 密钥管理

• Network Address Translation-Traversal (NAT-T)

• PRISMAsync Print Server 加密和身份验证算法

• 防止 HTTPS 免除问题