การตั้งค่า VPN Security Options และ Certificate Management บน IAG

Security Options

ตั้งค่า Security Parameters เมื่อสร้าง Standard IPSec Connection กับ Peer End ก่อนตั้งค่า IPSec Connection กับ Third-party Device จะต้องยืนยัน Connection Policy ที่อุปกรณ์ใช้ โดย Policy ประกอบด้วย Protocol (AH หรือ ESP), Authentication Algorithm (Null, MD5, SHA-1 หรือ SM3) และ Encryption Algorithm (DES, 3DES, AES, SANGFOR_DES, SCB2 หรือ SM4)

การสร้าง Security Option

คลิก Add เพื่อสร้าง Security Option ใหม่:

• Name - กำหนดชื่อ Security Option
• Description - เพิ่มคำอธิบาย
• Protocol - เลือก ESP หรือ AH
• Authentication Algorithm - เลือก Null, MD5, SHA-1 หรือ SM3
• Encryption - เลือก DES, 3DES, AES, SANGFOR_DES, SCB2 หรือ SM4

คลิก Save เพื่อเปิดใช้งาน Policy ที่ตั้งค่าแล้ว SANGFOR VPN Gateway จะใช้ Connection Policy ที่กำหนดเพื่อสร้าง IPSec Connection กับ Peer End

หมายเหตุ:

• Encryption Algorithm ที่กำหนดใน Security Options จะเข้ารหัสข้อมูลที่ใช้ใน Phase II ของ Standard IPSec Connection
• หากมีหลายอุปกรณ์ที่ใช้ Connection Policies แตกต่างกันเชื่อมต่อกัน ให้เพิ่ม Policies เข้าไปใน Security Options
• Source IP Addresses ใน Outbound และ Inbound Policies ตรงกับ Source และ Peer Service
• Outbound Service, Inbound Server และ Time Settings สำหรับ Outbound/Inbound Policies เป็น Extended Rules ของ SANGFOR ซึ่งมีผลเฉพาะ Local Device และจะไม่ถูก Negotiate เมื่อตั้งค่า VPN Connection กับ Third-party Devices

Object - Schedule

กำหนด Period Combinations ทั่วไปที่สามารถใช้ใน User Management และ Intranet Permissions โดยใช้เวลาปัจจุบันของ IAG เป็นหลัก

คลิก Add เพื่อเปิด Schedule Dialog Box:

• Name - กำหนดชื่อ Schedule
• Description - เพิ่มคำอธิบาย
• เลือก Period Combinations จากตารางเวลา (จันทร์-อาทิตย์, 00-23 ชั่วโมง)
• คลิก Select หรือ Deselect เพื่อเลือกหรือยกเลิกช่วงเวลา
• คลิก Invalidate Rule เพื่อกำหนดให้ Rules ไม่มีผลในช่วงเวลาที่เลือก (ค่าเริ่มต้น Rules จะมีผลทุกช่วงเวลา)

Object - Algorithm

ดูและเพิ่ม Data Encryption Algorithms ที่ IAG รองรับ โดย Algorithms จะเข้ารหัสข้อมูลที่ถ่ายโอนผ่าน VPN Network เพื่อรับรองความปลอดภัยของข้อมูล

IAG รองรับ Algorithms ดังนี้:

สามารถเพิ่ม Algorithms อื่นตามต้องการได้ โดยติดต่อ SANGFOR

Certificate Management

หากต้องการใช้ Certificate Authentication ใน User Management จะต้องเพิ่มข้อมูล Certificate ใน Certificate Management

Certificate Request (CSR)

คลิก Add เพื่อสร้าง Certificate Request ใหม่:

• Name - กำหนดชื่อ Certificate Request
• Subject - กรอกข้อมูล Issued To (CN), Country (C), State (ST), City (L), Company (O), Department (OU)
• Others - IP Address, DNS Domain, Email (ข้อมูลเพิ่มเติม)
• Cypher - เลือก Standard (RSA), RSA Key Size (512, 1024, 2048, 4096) และ Algorithm (SHA1, SHA2)

หลังจากตั้งค่าและส่ง Parameters แล้ว จะสร้าง Certificate Application และ Key Files คลิก Download เพื่อดาวน์โหลด Application File ซึ่งเป็น CSR File

Certificate List

ใน Certificate List สามารถ Import Certificates ที่จะใช้ รวมถึง Local Certificate และ Root Certificate

CER Server Certificate (*.cer/*.crt) - Import Local Certificate:

• Name - กำหนดชื่อ Certificate
• Status - Enabled หรือ Disabled
• Certificate Type - เลือก CER Server Certificate
• Select Key - เลือก Key จาก Certificate ที่ Apply ไว้
• CA Root Certificate - Import CA Root Certificate (รูปแบบ *.cer/*.crt, Encoding DER/PEM)
• Server Certificate - Import Certificate ที่สร้าง (นามสกุล *.cer/*.crt)

CER Root Certificate (*.cer/*.crt) - Import Root Certificate:

• Certificate Name - กำหนดชื่อ
• CA Root Certificate - Import Root Certificate โดยทั่วไปจะเป็น Root ที่ใช้สำหรับ Local Certificate หรือ Root ที่ Peer VPN Device ใช้สำหรับ Issuing Certificate

ประเภท Certificate Type อื่น:

• PKCS#12 Certificate (*.pfx/*.p12) - Import PKCS#12 Certificate
• PKCS#7 Certificate (*.p7b) - Import PKCS#7 Certificate