5.7.3 設定方法

ファイアウォール機能環境設定ガイド

目次索引

第2部統合環境設定

> 第5章ポリシー情報の作成方法

> 5.7 IKE暗号ポリシー(Solaris版/Windows版)

5.7.3 設定方法

IKE暗号ポリシーを利用したサイト間暗号通信の設置方法について説明します。

サーバ本体を IKEを使用した暗号通信ゲートウェイ（以降、IKEゲートウェイと記述）として構築すると、複数の内部ネットワーク間の VPN（ Virtual Private Network）運用が行えます。

IKE による VPN 運用では、IKE ゲートウェイ間で、送受信データの暗号化（ノード間暗号化）を行うことができます。Interstage Security Director では、ファイアウォール機能による内部ネットワークの保護と同時に、インターネットなどのセキュリティ上問題のあるネットワーク経由で接続された VPN 形態の暗号通信が行えます。ここでは、2 つの内部ネットワークの間を IKE により VPN 形態で運用した例について説明します。

以下に、netst8gw の位置にサーバ本体（ファイアウォール機能）を設置した場合の定義例を示します。

インターネットに接続する場合、netst8gw、netst1gwにはIPアドレスとしてグローバルアドレスを使用します。また、双方の内部ネットワークのネットワークアドレスは異なるアドレスを割り振る必要があります。内部ネットワークでローカルアドレスを使用している場合は注意してください。

サービスの利用範囲

サービス	ポリシー	暗号通信
telnet	barnetからfoonetへのアクセスを許可	IKE使用
ftp	barnetからfoonetへのアクセスを許可	IKE使用

■ 定義例

IPアドレス

名前	IPアドレスの入力方法	アドレス
barnet	IPv4:サブネットアドレス	192.168.50.0,255.255.255.0
foonet	IPv4:サブネットアドレス	192.168.10.0,255.255.255.0
netst1gw	IPv4:固有IPアドレス	10.34.168.117

ネットワーク・サーバ設定

名前	動作モード
netst8gw	ルータ

アダプタ設定

名前	IPアドレス	IPアドレスのアクセス
hme0	10.34.168.24	管理用のIPアドレス:ON
hme1	192.168.50.10	管理用のIPアドレス:OFF

フィルタ条件（参照）：条件A（ftp）

項目

（フィルタエントリ）

説明

種類

フィルタエントリをANDで評価（フィルタリスト）

IPプロトコル

6(tcp)

SDFW拡張プロトコル

制御ポート番号：21, データポート番号：20 - 20

フィルタ条件（参照）：条件B（telnet）

項目

（フィルタエントリ）

説明

種類

フィルタエントリをANDで評価（フィルタリスト）

IPプロトコル

6(tcp)

接続先ポート

フィルタ条件：フィルタ条件1

項目（フィルタエントリ）	説明
種類	フィルタエントリをANDで評価（フィルタリスト）
接続元IPアドレス	barnet
接続先IPアドレス	foonet
フィルタ条件（参照）	条件A

フィルタ条件：フィルタ条件2

項目（フィルタエントリ）	説明
種類	フィルタエントリをANDで評価（フィルタリスト）
接続元IPアドレス	barnet
接続先IPアドレス	foonet
フィルタ条件（参照）	条件B

IKE動作：IKE_1

項目		説明
ゲートウェイ名		相手ゲートウェイのホスト名（netst1gw）
IPアドレス		相手ゲートウェイのIPアドレス（10.34.168.117）
相手局タイプ		相手局タイプ
接続		接続
IKE提案	認証方式	認証方式
	暗号アルゴリズム	暗号アルゴリズム
	SA有効期間	SA有効期間
IPsec提案	種別	種別
	認証アルゴリズム	認証アルゴリズム
	暗号アルゴリズム	暗号アルゴリズム
	SA有効期間	SA有効期間

通信フロー

項目	説明
上位階層のアダプタ	暗号パケットを送受信する hme0 の情報が表示されます。
対象となるアダプタ	「通信パケットの中継先を指定する」を選択し、平文パケットの入出力インタフェースとなる hme1 を選択します。

フィルタリング・ルール

ルール項番	項目	説明
1	作成位置	hme0
	フィルタ条件	フィルタ条件1
	動作	IKE（参照）：IKE_1
2	作成位置	hme0
	フィルタ条件	フィルタ条件2
	動作	IKE（参照）：IKE_1

目次索引