Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

使用静态 IP 地址的站点到站点 VPN 的建议配置选项

 

表 1列出了两个具有静态 IP 地址的安全设备之间的通用站点到站点 VPN 的配置选项。VPN 可以是基于路由或基于策略的。

配置选项

评论

IKE 配置选项:

带证书的 Autokey IKE

建议不要使用手动密钥。

主模式

当对等方有静态 IP 地址时使用。

RSA 或 DSA 证书

可以在本地设备上使用 RSA 或 DSA 证书。指定对等方上的证书类型(PKCS7 或 x.509)。

Diffie-hellman (DH)组14

与 DH 组1、2或5相比,DH 组14提供更高的安全性。

高级加密标准(AES)加密

当密钥长度相等时,AES 的加密比数据加密标准(DES)和三重 DES (3DES)强。经批准的联邦信息处理标准(FIPS)和通用标准 EAL4 标准加密算法。

安全哈希算法256(SHA-256)身份验证

与 SHA-1 或消息摘要5(MD5)相比,SHA-256 提供更多的加密安全。

IPsec 配置选项:

完全向前保密(PFS) DH 组14

PFS DH 组14提供了更高的安全性,因为对等机器会执行第二次 DH 交换,以生成用于 IPsec 加密和解密的密钥。

封装安全有效负载(ESP)协议

ESP 通过加密以及通过身份验证的原始 IP 数据包和完整性的封装提供机密性。

AES 加密

当密钥长度相等时,AES 比 DES 和3DES 的加密方式强。经批准的 FIPS 加密算法和通用标准 EAL4 标准。

SHA-256 身份验证

与 SHA-1 或 MD5 相比,SHA-256 提供更多的加密安全。

反重放保护

默认情况下启用。禁用此功能可能解决与第三方对等端的兼容性问题。

相关主题