文档首页/ 虚拟专用网络 VPN/ 常见问题/ 适用于经典版VPN/ Console与页面使用/ 创建VPN连接时如何关闭PFS的Group配置?
更新时间:2024-04-19 GMT+08:00
分享

创建VPN连接时如何关闭PFS的Group配置?

云在部分区域开启了PFS的Disable选项,推荐用户侧数据中心也开启PFS的Group配置。

PFS功能可以增强IKE二阶段协商的安全性,建议用户开启功能。

部分设备厂商默认关闭了PFS功能,请用户查询设备配置手册确保PFS功能打开。

  • PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。

    IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。

  • 为了增强安全性,云默认开启PFS,请用户在配置用户侧数据中心网关设备时确认也开启了该功能,否则会导致协商失败。

相关文档