第 3 章 : 虛擬私人網路準則
10. 完美轉送安全性 : 否或是 ? 是
建議
完美轉送安全性 (PFS): 由於對等方執行第二個 Diffie-Hellman 交換生成用於 IPSec 加密 / 解密的金鑰,因此提供增強的安全性
否
提供更快的通道設定
使「階段 2」IPSec 交涉期間處理開支更少
11. IPSec Diffie-Hellman 群組 : 1 或 2 或 5? Diffie-Hellman 群組 1
使處理開支比 Diffie-Hellman 群組 2 和 5 的更少
加快 Juniper Networks 安全性硬體中提供的處理速度
Diffie-Hellman 群組 2
建議
使處理開支比 Diffie-Hellman 群組 5 的更少
提供比 Diffie-Hellman 群組 1 更高的安全等級
加快 Juniper Networks 安全性硬體中提供的處理速度
Diffie-Hellman 群組 5
提供最高的安全等級 12. IPSec 通訊協定 : ESP 或 AH? ESP
建議
封裝安全性負載 (ESP): 透過加密和封裝原始 IP 封包可提供機密性,同時透過 驗證提供完整性
可提供單獨加密或單獨驗證
AH
驗證標頭 (AH): 提供整個 IP 封包的驗證,包括 IPSec 標頭和外部 IP 標頭 13. 模式 : 通道模式或傳輸模式 ? Tunnel
建議
由於隱藏了初始 IP 標頭,因此增加了私密性
Transport
對於 IPSec 上的 L2TP 通道支援,此模式是必需的
加密選項
55