| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第2部 統合環境設定 | > 第4章 リソースを作成する | > 4.2 動作リソース |
マニュアルIPsec暗号動作リソースは、送受信されるパケットに対する暗号化(マニュアルIPsec方式)動作を行う設定を行います。
「SDFWルール」又は、ネーム・スペースから、マニュアルIPsec暗号の動作リソースを作成したい「ポリシー」配下のフォルダを選択し、「編集」メニューから「新規作成」を選択し、「マニュアルIPsec」を選択します。
同じ「動作」を同一の相手ゲートウェイに対して複数のルールに適用する場合は、動作に「マニュアルIPsec(参照)」を設定し、リソース配下の「マニュアルIPsec」を参照するようにします。
本リソースは、相手暗号ゲートウェイの台数分、作成します。
作成するマニュアルIPsec暗号ポリシーの名前を指定します。
ファイアウォール機能の場合、ここで設定した名前は、管理コンソール上の識別名としてだけ利用されます。
必要に応じて、マニュアルIPsec暗号ポリシーの注釈を入力します。
相手ゲートウェイ名を英字で始まる 1 〜 15 文字以内の英数字、" - "(ハイフン)および " _ "(アンダーバー)で指定します。なお、マニュアルIPsec ゲートウェイ名は、定義済のホスト名、ホストグループ名、ネットワーク名、暗号ゲートウェイ名、マニュアルIPsec ゲートウェイ名、IKE ゲートウェイ名、RADIUS サーバ名、Safegate client 名、アンチウィルスサーバ名と重複しないように設定してください。
相手ゲートウェイのIPアドレスを、再利用可能なIPアドレスリソースから設定します。IP アドレスは、他のマニュアルIPsec ゲートウェイおよび IKE ゲートウェイと重複しないように設定します。
注
相手ゲートウェイのIPアドレスとして指定できるIPアドレスは、種別が「IPv4:固有IPアドレス」でIPアドレスを1つのみ設定しているアドレスのみです。
相手ゲートウェイとの通信で使用するプロトコルを選択します。本パラメタは接続対象となる相手ゲートウェイの設定と合わせる必要があります。
RFC2401 プロトコルでは、RFC1825 プロトコルと比較してメッセージ認証方式の変更、鍵交換プロトコル対応追加などが行われています。初期値は、"RFC2401 プロトコル"です。RFC1825 プロトコルと RFC2401 プロトコルには接続性がありません。RFC1825 プロトコルと RFC2401 プロトコルが記載されている資料を以下に示します。
|
プロトコルレベル |
説明資料 |
|
RFC2401 |
RFC2401 〜 2406 |
|
RFC1825 |
RFC1825、RFC1826、RFC1827、RFC1828、RFC1829、RFC1852 |
プロトコルレベルがRFC1825プロトコルの場合、IV サイズを 32または 64 のどちらかで指定します。初期値は "64" です。RFC2401 プロトコルの場合は設定できません( 64 固定)。本パラメタは接続対象となる相手ゲートウェイの設定と合わせる必要があります。
IPsec の動作を AH、ESP、ESP_AUTH、AH+ESP のいずれかから選択します。初期値は "ESP_AUTH" です。RFC1825 プロトコル選択時は、AH、ESP、AH+ESP だけが選択できます( ESP_AUTH は選択できません)。この場合の初期値は "AH+ESP" です。本パラメタは、接続対象となる相手ゲートウェイの設定と合わせる必要があります。
|
種別 |
説明 |
|
AH |
認証ヘッダ( AH )を付加します。メッセージ認証機能が使用できます。 |
|
ESP |
ESP ヘッダを付加します。暗号機能が使用できます。 |
|
ESP_AUTH |
ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます。(RFC2401 プロトコルの場合のみ指定できます)。 |
|
AH+ESP |
認証ヘッダ( AH )および ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます。 |
SPI 値を 16 進数で 100 から ffffffff の範囲で指定します。
本パラメタは接続対象となる相手ゲートウェイの受信 SPI値と合わせる必要があります。
種別が AH、ESP_AUTH、AH+ESP のいずれかの場合、認証鍵を指定します。認証のアルゴリズム( MD5 または SHA )および認証鍵を指定します。認証アルゴリズムの初期値は "MD5" です。指定できる認証鍵の長さは、アルゴリズムによって異なります。
|
アルゴリズム |
認証鍵の長さ |
|
MD5 |
32 けたの 16 進数( 128 ビット) |
|
SHA |
40 けたの 16 進数( 160 ビット) |
種別が ESP の場合、本項目は設定できません。本パラメタは、接続対象となる相手ゲートウェイの受信認証鍵と合わせる必要があります。
種別が ESP、ESP_AUTH、AH+ESP のいずれかの場合、暗号鍵を指定します。
暗号鍵の長さは、16 けたの 16進数( 64 ビット)で指定します。 種別が AH の場合、本項目は設定できません。
本パラメタは、接続対象となる相手ゲートウェイの受信暗号鍵と合わせる必要があります。
SPI 値を 16 進数で 100 から ffffffff の範囲で指定します。
本パラメタは、接続対象となる相手ゲートウェイの送信SPI値と合わせる必要があります。
種別が AH、ESP_AUTH、AH+ESP のいずれかの場合、認証鍵を指定します。認証アルゴリズム( MD5 または SHA )および認証鍵を指定します。認証アルゴリズムの初期値は "MD5" です。指定できる認証鍵の長さは、アルゴリズムによって異なります。
種別が ESP の場合、本項目は設定できません。本パラメタは、接続対象となる相手ゲートウェイの送信認証鍵と合わせる必要があります。
種別が ESP、ESP_AUTH、AH+ESP のいずれかの場合、暗号鍵を指定します。
暗号鍵の長さは、16 けたの 16進数( 64 ビット)で指定します。 種別が AH の場合、本項目は設定できません。
本パラメタは、接続対象となる相手ゲートウェイの送信暗号鍵と合わせる必要があります。
|
目次
索引
|