为 FIPS 兼容操作配置虚拟广域网 IPsec

支持 IPsec 安全设置增强功能,增加了 DH 组和随机数生成器功能,以符合联邦标准。

要配置虚拟路径 IPsec 设置,请执行以下操作:

  • 为需要 FIPS 合规性的所有虚拟路径启用虚拟路径 IPsec 隧道。虚拟路径的 IPsec 设置通过默认集进行控制。
  • 通过将 IPsec 模式更改为 AH 或 ESP+ 身份验证来配置消息身份验证,并使用 FIPS 批准的哈希函数。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。
  • IPsec 生命周期应配置不超过 8 小时(28800 秒)。

虚拟广域网使用 IKE 版本 2 和预共享密钥通过虚拟路径协商 IPsec 隧道,使用以下设置:

  • 卫生署 19 组:ECP256(256 位椭圆曲线)密钥协商
  • 256 位 AES-CBC 加密
  • 用于消息身份验证的 SHA256 哈希
  • 用于消息完整性的 SHA256 哈希
  • DH 组 2:完全向前保密的 MODP-1024

要为第三方配置 IPsec 隧道,请使用以下设置:

  1. 配置 FIPS 批准的 DH 组。根据 FIPS,第 2 组和第 5 组是允许的,但强烈推荐 14 组及以上组。
  2. 配置 FIPS 批准的哈希函数。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。

  3. 如果使用 IKEv2,请配置 FIPS 批准的完整性功能。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。

  4. 将 IKE 生命周期和最大生命周期配置为不超过 24 小时(86,400 秒)。
  5. 通过将 IPsec 模式更改为 AH 或 ESP+ 身份验证来配置 IPsec 消息身份验证,并使用 FIPS 批准的哈希函数。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。

  6. 将 IPsec 生命周期和最大生命周期配置为不超过 8 小时(28800 秒)。

要配置 IPsec 隧道,请执行以下操作:

  1. 在 MCN 设备上,转到 配置 > 虚拟 WAN > 配置编辑器。打开现有配置包。单击高 选项卡。转到连接 > IPsec 隧道本地化后的图片

  2. 展开 IKE 设置。在 DH 组下拉列表中配置组本地化后的图片

  3. 展开 IPsec 设置。在 PFS 组下拉列表中配置组。 本地化后的图片

为 FIPS 兼容操作配置虚拟广域网 IPsec