Como desativar o PFS ao criar uma conexão de VPN?
Você pode desativar o Perfect Forward Secrecy (PFS) em algumas regiões da Huawei Cloud. É aconselhável ativar o PFS em seu data center local, pois ele melhora a segurança da negociação IKE na fase 2.
Por padrão, o PFS é desativado em dispositivos de alguns fornecedores. Verifique o manual de configuração do dispositivo para garantir que o PFS esteja ativado.
- O PFS é um recurso de segurança.
A negociação IKE tem duas fases, fase um e fase dois. A chave da fase dois (AS de IPsec) é derivada da chave gerada na fase um. Uma vez que a chave na primeira fase é divulgada, a segurança da VPN IPsec pode ser afetada negativamente. Para melhorar a segurança da chave, o IKE fornece o PFS. Depois que o PFS for configurado, uma troca de DH adicional será executada durante a negociação da AS do IPsec e uma nova chave da AS do IPsec será gerada, melhorando a segurança da AS do IPsec.
- Para garantir a segurança, o PFS é ativado na Huawei Cloud por padrão. Certifique-se de que o PFS também esteja ativado no gateway local. Caso contrário, a negociação falhará.
