IPsec/IKE 安全性設定
下表提供有關 IPsec/IKE 安全性參數的詳細資訊。
| 參數 | 描述 |
|---|---|
| 加密演算法 | 將用於確保在傳輸中無法檢視資料的加密演算法。預設會選擇所有演算法。您必須在本機閘道裝置上,針對每個 IKE 階段設定至少其中一個所選演算法。 |
| 雜湊演算法 | 將用於驗證資料完整性和真實性的雜湊演算法。預設會選擇所有演算法。您必須在本機閘道裝置上,針對每個 IKE 階段設定至少其中一個所選演算法。 |
| Diffie-Hellman 群組號碼 |
Diffie-Hellman 群組號碼可定義網際網路金鑰交換 (IKE) 程序中使用之金鑰的強度。 群組號碼越高越安全,但是需要額外的時間讓金鑰運算。 預設會選擇所有群組。您必須在本機閘道裝置上,針對每個 IKE 階段設定至少其中一個所選群組。 |
| 存留時間 (秒) |
存留時間值可透過使用者封包的一組加密/驗證金鑰,決定從成功交涉到過期的連線執行個體持續時間。 階段 1 的範圍:900-28800 秒,預設為 28800。 階段 2 的範圍:900-3600 秒,預設為 3600。 階段 2 的存留時間必須小於階段 1 的存留時間。 連線會在過期之前,透過金鑰處理通道進行重新交涉,請參閱重設金鑰寬限時間。如果本機和遠端的存留時間不一致,則存留時間較長的那一端將會發生替換連線的混亂情況。另請參閱重設金鑰寬限時間和重設金鑰模糊資料。 |
| 重設金鑰寬限時間 (秒) | 連線過期或金鑰處理通道過期之前的寬限時間,在此期間內,VPN 連線的本機端會嘗試交涉替換。系統會根據重設金鑰模糊資料的值,隨機選擇重設金鑰的確切時間。僅在本機相關,遠端無需對此達成共識。範圍:900-3600 秒。預設值為 3600。 |
| 重新執行視窗大小 (封包) |
此連線的 IPsec 重新執行視窗大小。 預設值 -1 使用在 strongswan.conf 檔案中,以 charon.replay_window 設定的值。 只有在使用 Netlink 後端時,才支援大於 32 的值。 值為 0 時,會停用 IPsec 重新執行保護。 |
| 重設金鑰模糊資料 (%) |
隨機增加寬限位元組、寬限封包和寬限時間的百分比上限以隨機選擇重設金鑰間隔 (對於具有許多連線的主機很重要)。 重設金鑰模糊資料值可以超過 100%。marginTYPE 的值在隨機增加之後,不得超過 lifeTYPE,其中 TYPE 是其中一個位元組 (封包或時間)。 值為 0% 時,會停用隨機選擇。僅在本機相關,遠端無需對此達成共識。 |
| DPD 逾時 (秒) | 發生無作用對等偵測 (DPD) 逾時前等待的時間。您可以將值指定為 30 或更高。預設值為 30。 |
| 無作用對等偵測 (DPD) 逾時動作 |
無作用對等偵測 (DPD) 逾時發生後採取的動作。 重新啟動 - DPD 逾時發生時,重新啟動工作階段。 清除 - DPD 逾時發生時,結束工作階段。 無 - DPD 逾時發生時,不採取任何動作。 |
| 啟動動作 |
決定哪一端起始連線,並為 VPN 連線建立通道。 新增 - 您的本機 VPN 閘道會起始連線。 啟動 - 雲端 VPN 閘道會起始連線。 路由 - 適用於支援路由選項的 VPN 閘道。只有在存在從本機 VPN 閘道或雲端 VPN 閘道起始的流量時,通道才會啟動。 |