Fortinet FortiGate 300, Инструкция по установке и настройке

Страница: 190 / 282

176
美国飞塔有限公司
手工 密钥 IPSec VPN IPSec VPN
IPSec 提 供了 两种 控制密钥交 换和管理的 方 法 ：手工 密钥 和 IKE 自动 密钥 管理。
· “ 手工 密钥 ”
· “ 使用 预 置 密钥 或证 书 的自动 互联 网 密钥交 换 ( 自动 IKE) ”
手工 密钥
当 选 择了 手工 密钥 之 后 ， 通道 两 端 的安全参 数 必 须 互 相 匹 配。包 括加密 和认证 密钥
在内的 这些 设置 必 须 保 密 ，从 而避免 未经 授 权的人 员对数 据 解密 ， 哪 怕 他们 知 道加密
所使用的 算法 。
使用 预 置 密钥 或证 书 的自动 互联 网 密钥交 换 ( 自动 IKE)
为了 便 于部 署 多个 通道 ，自动 密钥 管理系统 是 必 须 的。 IPSec 支持使用 互联 网 密钥
交 换 协议进 行自动 密钥 生 成 和 协 商。 这种 密钥 管理 方 法 通 常 被 称做 自动 IKE 。 Fortinet
支持 预 置 密钥 的 IKE 和证 书 IKE 。
预 置 密钥 的自动 IKE
通 过在会 话 的 两 端 配置 相 同 的 预 置 密钥 ，可以使他们 通 过 这 一 方 法 彼 此 验 证 对方 。
对等 的 双 方 不 必 真 正 把密钥 发送 给 对方 。取 而代 之的 是 ， 作为 安全 协 商过程的一部 分 ，
他们可以将 密钥 和 Diffie-Hellman 组 结 合 起 来 创建 一个会 话密钥 。 这 个会 话密钥 可以
用于 加密 和认证的目的， 并 且 在 通讯 会 话 的过程中 通 过 IKE 自动 重建 。
预 置 密钥与 手工设置 密钥 相似 的 地方 在于他们 都 需 要 网络管理 员 去 分 配和管理 VPN
通道 两 端 的 匹 配信息。 当 一个 预 置 密钥改 变 时，系统管理 员 必 须 更新 通道 两 端 的设置。
使用证 书 的 自动 IKE
这种 密钥 管理 方 法需 要 一个 受 信任的第 三 方 ，证 书 发布中 心 （ CA ）的参 与 。在一
个 VPN 中 对等 的 双 方 首 先 请 求生 成 一系列 密钥 ， 通 常 被 称做 公 钥 / 私 钥对 。 CA 为 每 一
方 的公 钥签名 ， 创建 一个 签名 的 数 字证 书 。 对等 的 双 方 可以 联 系 CA 以 找回 他们自 己 的
证 书 ， 加上 CA 自 己 的。一 旦 证 书被上载 到 FortiGate 设备， 并 配置 好了 适 当 的 策略 和
IPSec 通道 ， 那 么双 方 就 可以发 起 通讯了 。在 通讯 中， IKE 负责 管理证 书交 换，从一 方
将 签名 的 数 字证 书 传送到 另 一 方 。 这 个 签名 的 数 字证 书 的有 效 性由 每 一 端 的 CA 证 书验
证。 当 认证 完成 时， IPSec 通道 就 建立 起 来 了 。
在 某些 方面 ，证 书 类似 于手工 密钥 管理或 预 置 密钥 。因 此 ，证 书最 适 合 部 署大 型网
络。
手工 密钥 IPSec VPN
使用手工 密钥 时， 必 须 在 通道 的 两 端输 入 补充 的安全参 数 。 除了加密 和认证用的 算
法 和 密钥 之外， 还需 要输 入安全参 数索引 （ SPI ）。 SPI 是 一个任意 值 ，它定 义了 双 方
之 间 的 通讯 的 结 构 。在其他的 方 式中 SPI 是 自动 生 成 的， 但 是 在手工 密钥 配置中它 必
须 作为 VPN 设置的一部 分 事 先输 入。