| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第2部 統合環境設定 | > 第5章 ポリシー情報の作成方法 | > 5.6 マニュアルIPsec暗号ポリシー(Solaris版/Windows版) |
ここでは、マニュアルIPsec暗号ポリシーを利用したサイト間暗号通信の設置方法について説明します。
サーバ本体を マニュアルIPsecを使用した暗号通信ゲートウェイ(以降、マニュアルIPsecゲートウェイと記述)として構築すると、複数の内部ネットワーク間の VPN( Virtual Private Network)運用が行えます。
マニュアルIPsec による VPN 運用では、マニュアル IPsec ゲートウェイ間で、送受信データの暗号化(ノード間暗号化)を行うことができます。Interstage Security Director では、ファイアウォール機能による内部ネットワークの保護と同時に、インターネットなどのセキュリティ上問題のあるネットワーク経由で接続された VPN 形態の暗号通信が行えます。ここでは、2 つの内部ネットワークの間を マニュアルIPsecにより VPN 形態で運用した例について説明します。
以下に、netst8gw の位置にサーバ本体(ファイアウォール機能)を設置した場合の定義例を示します。
インターネットに接続する場合、netst8gw、netst1gwにはIPアドレスとしてグローバルアドレスを使用します。また、双方の内部ネットワークのネットワークアドレスは異なるアドレスを割り振る必要があります。内部ネットワークでローカルアドレスを使用している場合は注意してください。
|
サービス |
ポリシー |
暗号通信 |
|---|---|---|
|
telnet |
barnetからfoonetへのアクセスを許可 |
マニュアルIPsec使用 |
|
ftp |
|
名前 |
IPアドレスの入力方法 |
アドレス |
|---|---|---|
|
barnet |
IPv4:サブネットアドレス |
192.168.50.0,255.255.255.0 |
|
foonet |
IPv4:サブネットアドレス |
192.168.10.0,255.255.255.0 |
|
netst1gw |
IPv4:固有IPアドレス |
10.34.168.117 |
|
名前 |
動作モード |
|---|---|
|
netst8gw |
ルータ |
|
名前 |
IPアドレス |
IPアドレスのアクセス |
|---|---|---|
|
hme0 |
10.34.168.24 |
管理用のIPアドレス:ON |
|
hme1 |
192.168.50.10 |
管理用のIPアドレス:OFF |
|
項目 (フィルタエントリ) |
説明 |
|---|---|
|
種類 |
フィルタエントリをANDで評価(フィルタリスト) |
|
IPプロトコル |
6(tcp) |
|
SDFW拡張プロトコル |
制御ポート番号:21, データポート番号:20 - 20 |
|
項目 (フィルタエントリ) |
説明 |
|---|---|
|
種類 |
フィルタエントリをANDで評価(フィルタリスト) |
|
IPプロトコル |
6(tcp) |
|
接続先ポート |
23 |
|
項目 (フィルタエントリ) |
説明 |
|---|---|
|
種類 |
フィルタエントリをANDで評価(フィルタリスト) |
|
接続元IPアドレス |
barnet |
|
接続先IPアドレス |
foonet |
|
フィルタ条件(参照) |
条件A |
|
項目 (フィルタエントリ) |
説明 |
|---|---|
|
種類 |
フィルタエントリをANDで評価(フィルタリスト) |
|
接続元IPアドレス |
barnet |
|
接続先IPアドレス |
foonet |
|
フィルタ条件(参照) |
条件B |
|
項目 |
説明 |
|
|---|---|---|
|
ゲートウェイ名 |
相手ゲートウェイのホスト名(netst1gw) |
|
|
IPアドレス |
相手ゲートウェイのIPアドレス(10.34.168.117) |
|
|
プロトコルレベル |
プロトコルレベル |
|
|
IVサイズ |
IVサイズ |
|
|
種別 |
種別 |
|
|
送信 |
SPI値 |
SPI値 |
|
認証鍵 |
認証鍵 |
|
|
暗号鍵 |
暗号鍵 |
|
|
受信 |
SPI値 |
SPI値 |
|
認証鍵 |
認証鍵 |
|
|
暗号鍵 |
暗号鍵 |
|
|
項目 |
説明 |
|---|---|
|
上位階層のアダプタ |
暗号パケットを送受信する hme0 の情報が表示されます。 |
|
対象となるアダプタ |
「通信パケットの中継先を指定する」を選択し、平文パケットの入出力インタフェースとなる hme1 を選択します。 |
|
ルール項番 |
項目 |
説明 |
|---|---|---|
|
1 |
作成位置 |
hme0 |
|
フィルタ条件 |
フィルタ条件1 |
|
|
動作 |
マニュアルIPsec(参照):ManualIPsec1 |
|
|
2 |
作成位置 |
hme0 |
|
フィルタ条件 |
フィルタ条件2 |
|
|
動作 |
マニュアルIPsec(参照):ManualIPsec1 |
|
目次
索引
|