Чтобы настроить дополнительные параметры IPsec для Phase II, выполните следующие действия.

  1. В дереве консоли управления Forefront TMG щелкните Виртуальные частные сети.

  2. В области сведений перейдите на вкладку Удаленные сети и выберите допустимую удаленную сеть IPsec.

  3. На вкладке Задачи нажмите кнопку Изменить выбранную сеть.

  4. На вкладке Подключение выберите команду Параметры IPSec.

  5. На вкладке Phase II в разделе Алгоритм шифрования выберите один из следующих параметров.

    • Для использования алгоритма DES и одного 56-разрядного ключа выберите DES.

    • Для использования алгоритма тройного шифрования и трех уникальных 56-разрядных ключей выберите 3DES. Этот параметр обеспечивает более высокий уровень безопасности.

    • Для использования алгоритма AES со 128-разрядным ключом выберите AES 128.

    • Для использования алгоритма AES со 192-разрядным ключом выберите AES 192.

    • Для использования алгоритма AES с 256-разрядным ключом выберите AES 256.

    • Для использования алгоритма AES со 128-разрядным ключом и алгоритма GCM проверки подлинности на основе секретного ключа выберите GCM_AES 128.

    • Для использования алгоритма AES со 192-разрядным ключом и алгоритма GCM проверки подлинности на основе секретного ключа выберите GCM_AES 192.

    • Для использования алгоритма AES с 256-разрядным ключом и алгоритма GCM проверки подлинности на основе секретного ключа выберите GCM_AES 256.

  6. В разделе Алгоритм проверки целостности выберите один из следующих параметров.

    • Для использования 128-разрядного ключа (работает быстрее) выберите MD5.

    • Для использования 160-разрядного ключа (работает надежнее) выберите SHA1.

    • Для использования 256-разрядного ключа (работает быстрее) выберите SHA256.

  7. Выберите параметр Смена ключа каждые, чтобы задать интервал времени для повторного использования ключа, по истечении которого требуется повторная проверка подлинности. Укажите ограничение по времени, введя соответствующее значение в поле КБ, поле сек. либо в оба поля.

  8. Выберите параметр Использовать безопасную пересылку (PFS), если материал главного ключа не должен использоваться для генерирования более чем одного ключа сеанса. Включение PFS требует повторной проверки подлинности и, следовательно, может негативно повлиять на производительность системы. Далее в разделе Группа Диффи-Хелмана выберите один из следующих параметров.

    • Чтобы использовать группу Диффи-Хелмана ECP 256, выберите Группа ECP 256 (256 байтов).

    • Чтобы использовать группу Диффи-Хелмана ECP 384, выберите Группа ECP 384 (384 байтов).

    • Для создания 768 разрядов материала главного ключа выберите Группа 1 (768 битов).

    • Для создания 1024 разрядов материала главного ключа (более высокий уровень безопасности) выберите Группа 2 (1024 бита).

    • Для создания 2048 разрядов материала главного ключа (самый высокий уровень безопасности) выберите Группа 3 (2048 битов).

Важно.
Если задано ограничение для ключа сеанса в поле КБ или сек., при достижении первого интервала будет создаваться новый ключ.

При использовании более безопасной группы Диффи-Хелмана секретный ключ, полученный в результате обмена информацией по методу Диффи-Хелмана, будет более безопасным. При необходимости обеспечить совместимость с операционными системами Microsoft Windows Server 2003, Windows 2000 Server и Windows XP используйте группу 2.