¿Cómo desactivo PFS al crear una conexión de VPN?
Puede desactivar Perfect Forward Secrecy (PFS) en algunas regiones de Huawei Cloud. Se recomienda habilitar PFS en su centro de datos local, ya que mejora la seguridad de negociación de IKE en la fase 2.
De forma predeterminada, PFS está deshabilitado en los dispositivos de algunos proveedores. Consulte el manual de configuración del dispositivo para asegurarse de que PFS está habilitado.
- PFS es una característica de seguridad.
La negociación de IKE tiene dos fases, la fase 1 y la fase 2. La clave de la fase 2 (IPsec SA) se deriva de la clave generada en la fase 1. Una vez que se divulga la clave en la fase 1, la seguridad de la VPN IPsec puede verse afectada negativamente. Para mejorar la seguridad de la clave, IKE proporciona PFS. Después de configurar PFS, se realizará un intercambio de DH adicional durante la negociación de SA IPsec y se generará una nueva clave de SA IPsec, lo que mejorará la seguridad de SA IPsec.
- Para garantizar la seguridad, PFS está habilitado en Huawei Cloud de forma predeterminada. Asegúrese de que PFS también esté habilitado en el gateway local. De lo contrario, la negociación no funcionará.