| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第2部 統合環境設定 | > 第4章 リソースを作成する | > 4.2 動作リソース |
IKE暗号動作リソースは、送受信されるパケットに対する暗号化(IKE方式)動作を行う設定を行います。
「SDFWルール」又は、ネーム・スペースから、IKE暗号の動作リソースを作成したい「ポリシー」配下のフォルダを選択し、「編集」メニューから「新規作成」を選択し、「IKE」を選択します。
同じ「動作」を同一の相手ゲートウェイに対して複数のルールに適用する場合は、動作に「IKE(参照)」を設定し、リソース配下の「IKE」を参照するようにします。
本リソースは、相手暗号ゲートウェイの台数分、作成します。
作成するIKE暗号ポリシーの名前を指定します。
ファイアウォール機能の場合、ここで設定した名前は、管理コンソール上の識別名としてだけ利用されます。
必要に応じて、IKE暗号ポリシーの注釈を入力します。
IKE ゲートウェイ名を英字で始まる 1 〜 15 文字以内の英数字、" - "(ハイフン)および " _ "(アンダーバー)で指定します。なお、IKE ゲートウェイ名は、定義済のホスト名、ホストグループ名、ネットワーク名、暗号ゲートウェイ名、マニュアルIPsec ゲートウェイ名、IKE ゲートウェイ名、RADIUS サーバ名、Safegate client 名、アンチウィルスサーバ名と重複しないように設定してください。
相手 IKE ゲートウェイの IP アドレスを、再利用可能な IP アドレスリソースから設定します。IP アドレスは、マニュアルIPsec ゲートウェイおよび他の IKE ゲートウェイと重複しないように設定します。
注
相手ゲートウェイのIPアドレスとして指定できるIPアドレスは、種別が「IPv4:固有IPアドレス」でIPアドレスを1つのみ設定しているアドレスのみです。
IKE ゲートウェイ間で使用する共有鍵を、16 進数表記で 1〜 64 文字で指定します。「IKE提案」の認証方式で「共有鍵」が指定された場合のみ有効となり、必ず指定しなければいけません。
本パラメタは、接続対象となる相手 IKE ゲートウェイの共有鍵と設定を合わせる必要があります。
Mainモード固定です。本VLにおいて、IKE交換モードの選択はできません。
相手 IKE ゲートウェイを識別するための文字列を、必要に応じて 63 文字以内の英数字、" _"(アンダースコア)、" - "(ハイフン)、" ."(ピリオド)、" @ "を使用して指定します。
注
「Safegate (Solaris版) 2.1 」と接続する場合、"S_Safegate2.1"と指定します。それ以外の場合は、指定する必要はありません。
IKE ゲートウェイ起動時に、相手 IKE ゲートウェイへの自動接続を行うかどうかを指定します。
自動接続を行う場合は「起動時に接続する」チェックボックスをONにします。初期値はONです。
注
相手局タイプの設定がされている場合、本パラメタはOFF固定のため選択できません。
PFS機能を「サポートする」固定です。本VLにおいて、PFS機能サポート有無の指定はできません。
「トンネルモード」固定です。本VLにおいて、モード設定の選択はできません。
IKEの提案(IKE鍵交換で相手ゲートウェイに提案するフェーズ1の提案属性)を一覧表示します。表示できる提案は1つのみです。
提案内容を変更する場合、「編集」をクリックし、内容を編集します。
「IKE提案」の名前を指定します。
必要に応じて、「IKE提案」の注釈を入力します。
IKE ゲートウェイ間で使用する認証方式を、以下の2つから選択し指定します。
初期値は"共有鍵"です。
|
IKE認証方式 |
意味 |
|
共有鍵 |
「ゲートウェイ」タブで指定した共有鍵を使用 |
|
証明書 |
証明書を使用 |
証明書の環境設定については、「ファイアウォール機能 リファレンスマニュアル」の「ファイアウォール機能証明書の運用」を参照してください。
”MD5”固定です。本VLにおいて、認証アルゴリズムの選択はできません。
IKE 通信時の暗号アルゴリズムを指定します。初期値は"DES"です。
DES
3DES
AES(128bit)
AES(192bit)
AES(256bit)
通信相手のゲートウェイが 「Safegate (Solaris版)2.1」 の場合は、"DES" を選択してください。
”768bit"固定です。本VLにおいて、DHグループの選択はできません。
ISAKMP SA の有効期間を指定します。指定できる期間の範囲は 2 〜 8760 で、単位は「時間」です。初期値は "24" です。
有効期間終了後の最初の通信開始時に ISAKMP SA が再作成されます。本パラメタは SA 有効期間( IPsec提案 )よりも大きい値に設定する必要があり、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。
IPsecの提案(IKE鍵交換で相手ゲートウェイに提案するフェーズ2の提案属性)を一覧表示します。表示できる提案は1つのみです。
提案内容を変更する場合、「編集」をクリックし、内容を編集します。
「IPsec提案」の名前を指定します。
必要に応じて、「IPsec提案」の注釈を入力します。
AH、ESP、ESP_AUTH、AH+ESP のいずれかから選択します。初期値は "ESP_AUTH" です。
本パラメタは、接続対象となる相手 IKE ゲートウェイの設定と合わせる必要があります。
|
種別 |
説明 |
|
AH |
認証ヘッダ( AH )を付加します。メッセージ認証機能が使用できます。 |
|
ESP |
ESP ヘッダを付加します。暗号機能が使用できます。 |
|
ESP_AUTH |
ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます。 |
|
AH+ESP |
認証ヘッダ( AH )および ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます。 |
種別が AH、ESP_AUTH、AH+ESP のいずれかの場合、認証アルゴリズムを指定します。種別がESPの場合、本項目は設定できません。
指定できる認証アルゴリズムは以下の通りです。初期値は "MD5" です。
MD5 ( The MD5 Message-Digest Algorithm:RFC1321で規定)
SHA (SECURE HASH STANDARD:FIPS PUB 180-1で規定)
本パラメタは、接続対象となる相手 IKE ゲートウェイの設定と合わせる必要があります。
種別によって以下のように指定します。初期値は"DES" です。
|
種別 |
暗号アルゴリズム |
|
認証(AH) |
設定不可 |
|
暗号(ESP) |
DES、3DES、AES(128bit)、AES(192bit)、またはAES(256bit) |
|
ESP_AUTH |
DES、3DES、NULL、AES(128bit)、AES(192bit)、またはAES(256bit) |
|
AH+ESP |
DES、3DES、AES(128bit)、AES(192bit)、またはAES(256bit) |
種別が "ESP"または "AH+ESP" の場合、"NULL" を指定できません。本パラメタは、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。
備考
DES (Data Encryption Standard):鍵長 56ビット( RFC2405 で規定)
3DES (Triple Data Encryption Standard):鍵長 168 ビット( RFC2451で規定)
NULL:暗号化なし( RFC2410 で規定)
AES(128bit/192bit/256bit):鍵長128ビットまたは鍵長192ビットまたは鍵長256ビット(RFC3602で規定)
IPSEC SAの 有効期間を指定します。指定できる期間の範囲は1 〜 8759で、単位は「時間」です。初期値は "8" です。
有効期間終了後の最初の通信開始時に IPSEC SA が再作成されます。本パラメタはSA 有効期間( IKE提案 )よりも小さい値に設定する必要があります。本パラメタは、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。
注
認証種別、認証アルゴリズムおよび暗号アルゴリズムには、それぞれ以下の関係がありますので、設定時には注意してください。
認証種別
認証アルゴリズム
暗号アルゴリズム
AH
○
×
ESP
× ○(*1) AH + ESP
○
○(*1)
ESP_AUTH
○
○
*1:DES、3DES、AES(128bit)、AES(192bit)、AES(256bit)から選択します。NULL は選択できません。
○:選択できる
×:選択できない
|
目次
索引
|