關(guān)于 Diffie-Hellman 組

Diffie-Hellman (DH) 組確定了在密鑰交換進(jìn)程中使用的密鑰的強(qiáng)度。 組的編號(hào)越大安全性就越高，但是也就需要更多的時(shí)間來(lái)計(jì)算密鑰。

WatchGuard 設(shè)備支持 Diffie-Hellman 組 1、2 和 5。

• DH 組 1： 768 位組
• DH 組 2： 1024 位組
• DH 組 5： 1536 位組

VPN 交換中的兩個(gè)對(duì)等方必須使用同一 DH 組，該組在 IPSec 協(xié)商進(jìn)程的第 1 階段協(xié)商。 當(dāng)您定義手動(dòng) BOVPN 隧道時(shí)，您要在建立 IPSec 連接進(jìn)程中的第 1 階段指定 Diffie-Hellman 組。 兩個(gè)對(duì)等方就是通過(guò)該階段來(lái)建立一個(gè)經(jīng)過(guò)認(rèn)證的安全通道以用于通信。

DH 組和 Perfect Forward Secrecy (PFS)

除了第 1 階段之外，您還可以在 IPSec 連接的第 2 階段指定 Diffie-Hellman 組。 第 2 階段配置包括安全性關(guān)聯(lián) (SA) 設(shè)置，也就是數(shù)據(jù)包在兩個(gè)端點(diǎn)之間傳遞時(shí)，如何對(duì)其加以保護(hù)。 只有當(dāng)您選擇了 Perfect Forward Secrecy (PFS) 時(shí)，您才可以在第 2 階段指定 Diffie-Hellman 組。

PFS 會(huì)增強(qiáng)密鑰的安全性，因?yàn)榇朔椒ú桓鶕?jù)之前的密鑰創(chuàng)建新密鑰。 如果某個(gè)密鑰泄露，新會(huì)話密鑰仍是安全的。 當(dāng)您在第 2 階段指定 PFS 后，每次協(xié)商新 SA 時(shí)都會(huì)出現(xiàn) Diffie-Hellman 交換。

您為第 2 階段選擇的 DH 組不一定要與您為第 1 階段選擇的組匹配。

如何選擇 Diffie-Hellman 組

第 1 階段和第 2 階段的默認(rèn) DH 組都是 Diffie-Hellman 組 1。 該組能夠提供基本的安全保護(hù)和良好的性能。 如果隧道初始化和重新生成密鑰的速度不重要，可使用組 2 和組 5。 初始化和重新生成密鑰的真實(shí)速度取決于很多因素。 您可以嘗試 DH 組 2 或 5 并確定較慢的性能時(shí)間是否會(huì)對(duì)您的網(wǎng)絡(luò)造成問(wèn)題。 如果您不能接受該性能，請(qǐng)改為使用編號(hào)較小的 DH 組。

性能分析

下表顯示了一款生成了 2000 個(gè) Diffie-Hellman 值的軟件應(yīng)用程序的輸出。 這些數(shù)字適用于 1.7GHz Intel Pentium 4 CPU。

另請(qǐng)參閱

配置模式和轉(zhuǎn)換 （第 1 階段設(shè)置）

添加第 1 階段 轉(zhuǎn)換

配置 第 2 階段設(shè)置