在创建 Edge 到 Edge IPSec 隧道时,您可以在客户配置级别修改安全策略配置设置。
过程
- 在操作员门户中,导航到管理客户 (Manage Customers)。
- 选择一个客户,然后单击操作 (Actions) > 修改 (Modify),或单击该客户的链接。
- 在企业门户中,单击配置 (Configure) > 客户 (Customers)。
- 在客户配置 (Customer Configuration) 页面中,在安全策略 (Security Policy) 区域中配置以下安全设置。
- 哈希 (Hash) - 默认情况下,未配置任何安全哈希算法功能。如果禁用 Galois/计数器模式 (Galois/Counter Mode, GCM),您可以从显示的下拉列表中选择以下支持的安全哈希算法功能之一:
- SHA 1
- SHA 256
- 加密 (Encryption) - AES 128-Galois/计数器模式 (Galois/Counter Mode, GCM)、AES 256-GCM、AES 128-密码块链 (Cipher Block Chaining, CBC) 和 AES 256-CBC 是用于提供保密性的加密算法模式。选择 AES 128 或 AES 256 以作为数据加密的 AES 算法密钥大小。如果未选中禁用 GCM (Disable GCM) 复选框,则默认加密算法模式为 AES 128-GCM。
- DH 组 (DH Group) - 选择在交换预共享密钥时使用的 Diffie-Hellman (DH) 组算法。DH 组设置算法强度(以位为单位)。支持的 DH 组为 2、5、14、15 和 16。建议使用 DH 组 14。
- PFS - 选择完美前向保密 (Perfect Forward Secrecy, PFS) 级别以提高安全性。支持的 PFS 级别为 2、5、14、15 和 16。默认情况下,将禁用 PFS。
- 禁用 GCM (Disable GCM) - 默认情况下,将启用 AES 128-GCM。如果需要,请选中该复选框以禁用该模式。如果禁用该复选框,将启用 AES 128-CBC 模式。
- 哈希 (Hash) - 默认情况下,未配置任何安全哈希算法功能。如果禁用 Galois/计数器模式 (Galois/Counter Mode, GCM),您可以从显示的下拉列表中选择以下支持的安全哈希算法功能之一:
- 在配置这些设置后,单击保存更改 (Save Changes)。
注: 在修改安全设置时,所做的更改可能会导致当前服务中断。此外,这些设置可能会降低总体吞吐量并增加 VCMP 隧道设置所需的时间,这可能会影响分支到分支动态隧道设置时间以及从集群上的 Edge 故障中恢复。
