Параметры безопасности IPsec/IKE
В следующей таблице предоставлена дополнительная информация о параметрах безопасности IPsec/IKE.
| Параметр | Описание |
|---|---|
| Алгоритм шифрования | Алгоритм шифрования, который обеспечит недоступность данных для просмотра при передаче. По умолчанию выбраны все алгоритмы. На устройстве локального шлюза для каждой фазы IKE должен быть настроен как минимум один из выбранных алгоритмов. |
| Алгоритм хэша | Алгоритм хэша, который будет использоваться для проверки целостности и подлинности данных. По умолчанию выбраны все алгоритмы. На устройстве локального шлюза для каждой фазы IKE должен быть настроен как минимум один из выбранных алгоритмов. |
| Участники группы Diffie-Hellman |
Участники группы Diffie-Hellman определяют надежность ключа, который используется в процессе Internet Key Exchange (IKE). Чем выше участник в группе, тем выше его уровень безопасности и больше время для вычисления ключа. По умолчанию выбраны все группы. На устройстве локального шлюза для каждой фазы IKE должна быть настроена как минимум одна из выбранных групп. |
| Время существования (секунды) |
Значение времени существования определяет срок действия экземпляра подключения с набором ключей шифрования/проверки подлинности для пакетов пользователя (от согласования до истечения срока действия). Диапазон для фазы 1:900–28800 с (по умолчанию используется 28800). Диапазон для фазы 2:900–3600 с (по умолчанию используется 3600). Время существования для фазы 2 должно быть меньше аналогичного значения для фазы 1. Данное подключение должно быть заново согласовано через канал обмена ключами до истечения срока действия. См. раздел Предельное время повторного создания ключей. Если локальная и удаленная стороны не согласуют время существования, то на стороне с более продолжительным временем существования останется несколько незавершенных подключений. См. также разделы Предельное время повторного создания ключей и Предельное отклонение при повторном создании ключей. |
| Предельное время повторного создания ключей (секунды) | Предельное время до истечения срока действия подключения или истечения срока действия канала обмена ключами, в течение которого локальная сторона подключения VPN пытается согласовать замену ключей. Точное время повторного создания ключей случайно выбирается в зависимости от значения Предельное отклонение при повторном создании ключей. Действует только локально, для удаленной стороны нет необходимости в согласовании. Диапазон: 900–3600 с. По умолчанию задано значение 3600. |
| Размер окна повтора (пакеты) |
Размер окна повтора IPsec для этого подключения. Заданное по умолчанию значение «-1» означает, что используется значение, настроенное с charon.replay_window в файле strongswan.conf. Значения выше 32 поддерживаются только при использовании серверной части Netlink. Значение 0 отключает защиту от повтора IPsec. |
| Предельное отклонение при повторном создании ключей (%) |
Максимальное процентное значение для случайного повышения предельного количества байтов, предельного количества пакетов и предельного времени, которое используется для рандомизации интервалов повторного создания ключей (важно для хостов с большим количеством подключений). Значение для предельного отклонения при повторном создании ключей может превышать 100%. Значение marginTYPE после увеличения случайным образом не должно превышать lifeTYPE, где TYPE — это один из байтов, пакетов или одно из значений времени. Значение 0% отключает рандомизацию. Действует только локально, для удаленной стороны нет необходимости в согласовании. |
| Тайм-аут DPD (секунды) | Время до наступления тайм-аута в секундах для определения недоступных узлов (Dead peer detection, DPD). Можно указать значение 30 или больше. По умолчанию используется значение 30. |
| Действие после тайм-аута DPD |
Действие, которое будет выполнено по истечении тайм-аута DPD. Перезапустить: перезапустить сеанс по истечении тайм-аута DPD. Очистить: завершить сеанс по истечении тайм-аута DPD. Нет: не выполнять никаких действий по истечении тайм-аута DPD. |
| Действия при запуске |
Определяет сторону, которая инициирует подключение и устанавливает туннель для подключения VPN. Добавить: подключение инициирует локальный шлюз VPN. Запустить: подключение инициирует облачный шлюз VPN. Маршрут: подходит для шлюзов VPN, которые поддерживают функцию маршрутизации. туннель активируется только в том случае, если от облачного VPN-шлюза или локального VPN-шлюза инициирован трафик. |