Criteri IPSec da sito a sito

  • Articolo

Questo articolo illustra le combinazioni di criteri IPsec supportate.

Criteri IPsec predefiniti

Nota

Quando si utilizzano criteri predefiniti, Azure può fungere da iniziatore e risponditore durante una configurazione del tunnel IPsec. Mentre rete WAN virtuale VPN supporta molte combinazioni di algoritmi, la raccomandazione è GCMAES256 sia per la crittografia IPSEC che per l'integrità per prestazioni ottimali. AES256 e SHA256 sono considerati meno efficienti e pertanto il degrado delle prestazioni, ad esempio la latenza e le gocce di pacchetti, possono essere previsti per tipi di algoritmo simili. Per altre informazioni sulle rete WAN virtuale, vedere le domande frequenti su Azure rete WAN virtuale.

Iniziatore

Le sezioni seguenti elencano le combinazioni supportate dei criteri quando Azure è l'iniziatore del tunnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE

Risponditore

Le sezioni seguenti elencano le combinazioni supportate dei criteri quando Azure è il risponditore per il tunnel.

Fase 1

  • AES_256, SHA1, DH_GROUP_2
  • AES_256, SHA_256, DH_GROUP_2
  • AES_128, SHA1, DH_GROUP_2
  • AES_128, SHA_256, DH_GROUP_2

Fase 2

  • GCM_AES_256, GCM_AES_256, PFS_NONE
  • AES_256, SHA_1, PFS_NONE
  • AES_256, SHA_256, PFS_NONE
  • AES_128, SHA_1, PFS_NONE
  • AES_256, SHA_1, PFS_1
  • AES_256, SHA_1, PFS_2
  • AES_256, SHA_1, PFS_14
  • AES_128, SHA_1, PFS_1
  • AES_128, SHA_1, PFS_2
  • AES_128, SHA_1, PFS_14
  • AES_256, SHA_256, PFS_1
  • AES_256, SHA_256, PFS_2
  • AES_256, SHA_256, PFS_14
  • AES_256, SHA_1, PFS_24
  • AES_256, SHA_256, PFS_24
  • AES_128, SHA_256, PFS_NONE
  • AES_128, SHA_256, PFS_1
  • AES_128, SHA_256, PFS_2
  • AES_128, SHA_256, PFS_14

Valori di durata SA

Questi valori di tempo di vita si applicano sia per l'iniziatore che per il risponditore

  • Durata SA in secondi: 3600 secondi
  • Durata sa in byte: 102.400.000 KB

Criteri IPsec personalizzati

Quando si riguardano i criteri IPsec personalizzati, tenere presente i requisiti seguenti:

  • IKE: per IKE è possibile selezionare qualsiasi parametro da Crittografia IKE, oltre a qualsiasi parametro da IKE Integrity, oltre a qualsiasi parametro del gruppo DH.
  • IPsec: per IPsec è possibile selezionare qualsiasi parametro da Crittografia IPsec, oltre a qualsiasi parametro dall'integrità IPsec, oltre a PFS. Se uno dei parametri per crittografia IPsec o L'integrità IPsec è GCM, i parametri per entrambe le impostazioni devono essere GCM.

I criteri personalizzati predefiniti includono SHA1, DHGroup2 e 3DES per la compatibilità con le versioni precedenti. Questi sono algoritmi più deboli che non sono supportati durante la creazione di criteri personalizzati. È consigliabile usare solo gli algoritmi seguenti:

Impostazioni e parametri disponibili

Impostazione Parametri
Crittografia IKE GCMAES256, GCMAES128, AES256, AES128
Integrità IKE SHA384, SHA256
Gruppo DH ECP384, ECP256, DHGroup24, DHGroup14
Crittografia IPsec GCMAES256, GCMAES128, AES256, AES128, Nessuno
Integrità IPsec GCMAES256, GCMAES128, SHA256
Gruppo PFS ECP384, ECP256, PFS24, PFS14, Nessuno
Durata dell'associazione di sicurezza Intero; min. 300/default 3600 secondi

Passaggi successivi

Per la procedura per configurare un criterio IPsec personalizzato, vedere Configurare un criterio IPsec personalizzato per rete WAN virtuale.

Per altre informazioni sulla rete WAN virtuale, vedere Informazioni sulla rete WAN virtuale di Azure e Domande frequenti sulla rete WAN virtuale di Azure.