IPsec/IKE 보안 설정

Diffie-Hellman 그룹 번호에 따라 IKE(Internet Key Exchange) 프로세스에서 사용되는 키의 안전성이 정의됩니다.

그룹 번호가 높을수록 안전성도 높아지지만 키 계산 시간은 더 길어집니다.

기본적으로는 모든 그룹이 선택되어 있습니다. 각 IKE 단계용으로 로컬 게이트웨이 장치에서 선택한 그룹 중 하나 이상을 구성해야 합니다.

수명 값에 따라 사용자 패킷용 암호화/인증 키 세트를 사용하는 연결 인스턴스에서 협상 완료부터 만료까지의 기간이 결정됩니다.

1단계의 범위: 900-28800초(기본값: 28800초)입니다.

2단계의 범위는 900-3600초(기본값: 3600초)입니다.

2단계의 수명은 1단계의 수명보다 짧아야 합니다.

연결이 만료되기 전에 키 생성 채널을 통해 다시 협상됩니다. 키 다시 생성 예비 시간을 참조하십시오. 로컬 측과 원격 측이 수명에 동의하지 않으면 수명이 더 긴 측에서 일련의 대체 연결이 설정됩니다. 키 다시 생성 예비 시간 및 키 다시 생성 퍼지도 참조하십시오.

이 연결의 IPsec 재생 창 크기입니다.

기본값인 -1을 적용하면 strongswan.conf 파일의 charon.replay_window를 사용하여 값을 구성합니다.

32보다 큰 값은 Netlink 백엔드 사용 시에만 지원됩니다.

값을 0으로 설정하면 Psec 재생 보호가 비활성화됩니다.

키 다시 생성 간격을 임의로 설정하기 위해 예비 바이트, 예비 패킷 및 예비 시간이 무작위로 증가하는 최대 비율입니다(연결이 많은 호스트에서 중요함).

키 다시 생성 퍼지 값은 100%를 초과할 수 있습니다. 무작위로 증가한 marginTYPE 값은 lifeTYPE을 초과할 수 없습니다. 여기서 TYPE은 바이트, 패킷, 시간 중 하나입니다.

값을 0%로 지정하면 무작위 증가가 비활성화됩니다. 로컬에서만 사용되며 원격 측에서는 이 비율을 사용하지 않아도 됩니다.

DPD(Dead Peer Detection) 시간이 초과된 후에 수행할 작업입니다.

다시 시작 - DPD 시간이 초과되면 세션을 다시 시작합니다.

지우기 - DPD 시간이 초과되면 세션을 종료합니다.

없음 - DPD 시간이 초과되어도 아무런 작업을 수행하지 않습니다.