IPsec
Fitur dari beberapa Cisco: Jika dalam koneksi site2site sisi aktif diwakili oleh Cisco dan Child_SA ditutup, maka sisi pasif tidak akan dapat mengirim paket ke Cisco sampai Cisco membuat Child_SA baru.
Pilihan antarmuka eksternal untuk koneksi IPsec bergantung pada prioritas antarmuka pada tabel di bagian Penyeimbangan dan Redundansi. Prioritas suatu antarmuka ditentukan oleh posisinya dalam tabel: semakin tinggi antarmuka, semakin tinggi prioritasnya.
Antarmuka tanpa akses Internet memiliki prioritas lebih rendah dibandingkan antarmuka dengan akses Internet.
Terowongan dibuat di semua antarmuka dengan gateway default.
Perangkat
Menghubungkan perangkat menggunakan IPsec akan memastikan koneksi jaringan yang aman dan melindungi data yang ditransfer antar perangkat.
Gunakan konfigurator koneksi untuk MikroTik atau Cisco. Mereka memungkinkan Anda membuat konfigurasi, yang, ketika diluncurkan pada perangkat jarak jauh, akan menginstal pengaturan IPsec yang telah disiapkan sebelumnya.
Koneksi keluar
Konfigurasikan koneksi keluar jika Ideco NGFW adalah pemrakarsa koneksi dan perangkat jarak jauh adalah pihak penerima.
Untuk mengkonfigurasi koneksi keluar, siapkan:
Jenis autentikasi | Parameter yang diperlukan |
---|---|
Sertifikat | - Sertifikat root perangkat jarak jauh; - Daftar jaringan lokal rumah NGFW yang akan terlihat di sisi berlawanan; - Daftar semua jaringan lokal perangkat jarak jauh yang akan terlihat oleh sisi yang berlawanan -> Kunci PSK. Dihasilkan di NGFW saat membuat koneksi; - ID kunci yang diperlukan perangkat jarak jauh untuk mengidentifikasi koneksi; - Daftar jaringan lokal NGFW yang akan terlihat sebaliknya side; - Daftar jaringan lokal perangkat jarak jauh yang akan terlihat di sisi berlawanan. |
Koneksi masuk
Konfigurasikan koneksi masuk jika perangkat jarak jauh adalah pemrakarsa koneksi dan TKMTRM NGFW adalah pihak penerima.
Untuk mengatur koneksi masuk, siapkan:
Jenis autentikasi | Parameter yang diperlukan |
---|---|
Sertifikat | - Permintaan penandatanganan sertifikat ( - Daftar lokal rumah Jaringan NGFW yang akan terlihat di sisi berlawanan; - Daftar semua jaringan lokal perangkat jarak jauh yang akan terlihat di sisi berlawanan. |
PSK | - Kunci PSK dihasilkan pada perangkat jarak jauh; - Pengidentifikasi pihak jarak jauh untuk mengidentifikasi koneksi masuk; - Daftar jaringan lokal NGFW yang akan terlihat di sisi berlawanan; - Daftar jaringan lokal perangkat jarak jauh yang akan terlihat di sisi berlawanan. |
Memilih algoritma enkripsi pada perangkat jarak jauh
Saat menyiapkan perangkat pihak ketiga, Anda harus secara eksplisit menentukan algoritma enkripsi yang digunakan untuk koneksi. NGFW tidak mendukung algoritma yang ketinggalan jaman dan tidak aman (MD5, SHA1, AES128, DES, 3DES, blowfish, dll.). Saat mengonfigurasi perangkat pihak ketiga, Anda dapat menentukan beberapa algoritme yang didukung secara bersamaan, karena tidak semua perangkat mendukung algoritme modern.
Mengubah pengaturan koneksi IPsec yang dibuat
Mulai dari versi 16 di Ideco NGFW, pengaturan Jaringan lokal rumah dan Jaringan lokal jarak jauh dapat diubah untuk koneksi IPsec. Setelah mengedit subnet, semua koneksi IPsec yang menggunakan subnet yang diubah akan dimulai ulang.
Anda dapat mengubah pengaturan subnet di pengaturan koneksi IPsec dan di bagian Aturan Lalu Lintas -> Objek -> Subnet.
Last updated