| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第3部 ファイアウォール機能独自環境設定(Solaris版/Windows版) | > 第13章 環境設定(Solaris版) | > 13.4 要素を設定する |
サイト間暗号通信の IP セキュリティ通信における IPsec ゲートウェイの動作環境を設定します。IPsec ゲートウェイの動作環境は、IPsec ゲートウェイ設定画面で設定します。IPsec ゲートウェイ設定画面は、以下の手順で起動します。
セットアップ画面で、"IPsec ゲートウェイ"の要素アイコンを選択(クリック)または「要素設定」メニューから"IPsec ゲートウェイ"を選択します。IPsec ゲートウェイ設定画面が表示されます。
以下に、IPsec ゲートウェイ設定画面の設定項目について説明します。
IPsec ゲートウェイ名を英字で始まる 1 〜 15 文字以内の英数字で指定します。
なお、定義済のホスト名、ホストグループ名、ネットワーク名、暗号ゲートウェイ名、IPsec ゲートウェイ名、IKE ゲートウェイ名、RADIUS サーバ名、Safegate client 名、アンチウィルスサーバ名、Safegate 集中管理名と重複しないように設定してください。
IPsec ゲートウェイの IP アドレスを指定します。なお、IP アドレスは、他の IPsec ゲートウェイおよび IKE ゲートウェイと重複しないように設定します。
相手ゲートウェイとの通信で使用するプロトコルを選択します。本パラメタは接続対象となる相手暗号ゲートウェイの設定と合わせる必要があります。
RFC2401 プロトコルでは、RFC1825 プロトコルと比較してメッセージ認証方式の変更、鍵交換プロトコル対応追加などが行われています。初期値は、"RFC2401 プロトコル"です。
RFC1825 プロトコルと RFC2401 プロトコルには接続性がありません。RFC1825 プロトコルとRFC2401 プロトコルが記載されている資料を以下に示します。
RFC1825 プロトコル
RFC1825、RFC1826、RFC1827、RFC1828、RFC1829、RFC1852
RFC2401 プロトコル
RFC2401 〜 2406
プロトコルレベルがRFC1825プロトコルの場合、IV サイズを 32または 64 のどちらかで指定します。初期値は "64" です。RFC2401 プロトコルの場合は設定できません( 64 固定)。本パラメタは接続対象となる相手暗号ゲートウェイの設定と合わせる必要があります。
IPsec の動作を AH、ESP、ESP_AUTH、AH+ESP のいずれかから選択します。初期値は "ESP_AUTH" です。RFC1825 プロトコル選択時は、AH、ESP、AH+ESP だけが選択できます( ESP_AUTHは選択できません)。この場合の初期値は "AH+ESP" です。本パラメタは、接続対象となる相手暗号ゲートウェイの設定と合わせる必要があります。
AH
認証ヘッダ( AH )を付加します。メッセージ認証機能が使用できます。
ESP
ESP ヘッダを付加します。暗号機能が使用できます。
ESP_AUTH
ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます
(RFC2401 プロトコルの場合のみ指定できます)。
AH+ESP
認証ヘッダ( AH )および ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます。
SPI 値を 16 進数で 100 から ffffffff の範囲で指定します。本パラメタは接続対象となる相手暗号ゲートウェイの受信 SPIと合わせる必要があります。
種別が AH、ESP_AUTH、AH+ESP のいずれかの場合、認証鍵を指定します。認証のアルゴリズム( MD5 または SHA )および認証鍵を指定します。認証アルゴリズムの初期値は "MD5" です。自動生成ボタンを押すと、認証鍵の自動生成(乱数生成)ができます。指定できる認証鍵の長さは、アルゴリズムによって異なります。
|
アルゴリズム |
認証鍵の長さ |
|---|---|
|
MD5 |
32 けたの 16 進数( 128 ビット) |
|
SHA |
40 けたの 16 進数( 160 ビット) |
種別が ESP の場合、本項目は設定できません。本パラメタは、接続対象となる相手暗号ゲートウェイの受信認証鍵と合わせる必要があります。
注認証鍵の自動生成後、OK ボタンをクリックすると " * " になり、その後、自動生成した認証鍵を参照できなくなります。したがって、認証鍵の自動生成を行う場合に鍵の値を記録しておき、相手側に同じ値を設定するようにしてください。
種別が ESP、ESP_AUTH、AH+ESP のいずれかの場合、暗号鍵を指定します。自動生成ボタンを押すと、暗号鍵の自動生成(乱数生成)ができます。暗号鍵の長さは、16 けたの 16進数( 64 ビット)で指定します。
種別が AH の場合、本項目は設定不要です。
本パラメタは、接続対象となる相手暗号ゲートウェイの受信暗号鍵と合わせる必要があります。
注暗号鍵の自動生成後、OK ボタンをクリックすると " * " になり、その後、自動生成した暗号鍵を参照できなくなります。したがって、暗号鍵の自動生成を行う場合に鍵の値を記録しておき、相手側に同じ値を設定するようにしてください。
SPI 値を 16 進数で 100 から ffffffff の範囲で指定します。本パラメタは、接続対象となる相手暗号ゲートウェイの送信SPI と合わせる必要があります。
また、以下の種別カテゴリ内で一意である必要があります。
AH、AH+ESP
ESP、ESP_AUTH、AH+ESP
種別が AH、ESP_AUTH、AH+ESP のいずれかの場合、認証鍵を指定します。認証のアルゴリズム( MD5 または SHA )および認証鍵を指定します。認証アルゴリズムはの初期値は "MD5" です。自動生成ボタンをクリックすると、認証鍵が自動生成(乱数生成)できます。指定する認証鍵の長さは、アルゴリズムによって異なります。
|
アルゴリズム |
認証鍵の長さ |
|---|---|
|
MD5 |
32 けたの 16 進数( 128 ビット) |
|
SHA |
40 けたの 16 進数( 160 ビット) |
種別が ESP の場合、本項目は設定できません。本パラメタは、接続対象となる相手暗号ゲートウェイの送信認証鍵と合わせる必要があります。
注認証鍵の自動生成後、OK ボタンをクリックすると " * " になり、その後、自動生成した認証鍵を参照できなくなります。したがって、認証鍵の自動生成を行う場合に鍵の値を記録しておき、相手側に同じ値を設定するようにしてください。
種別が ESP、ESP_AUTH、AH+ESP のいずれかの場合、暗号鍵を指定します。自動生成ボタンをクリックすると、暗号鍵が自動生成(乱数生成)できます。暗号鍵の長さは、16 けたの16 進数( 64 ビット)で指定します。
種別が AH の場合、本項目は設定できません。
本パラメタは、接続対象となる相手暗号ゲートウェイの送信暗号鍵と合わせる必要があります。
注暗号鍵の自動生成後、OK ボタンをクリックすると " * " になり、その後、自動生成した暗号鍵を参照できなくなります。したがって、暗号鍵の自動生成を行う場合に鍵の値を記録しておき、相手側に同じ値を設定するようにしてください。
以下に、IPsec ゲートウェイの要素設定の操作手順について説明します。
IPsec ゲートウェイの要素に対し、IPsec ゲートウェイ名を対応させて定義する場合は、以下の手順で行います。
セットアップ画面で、IPsec ゲートウェイの動作環境を設定する要素アイコンを選択(クリック)または「要素設定」メニューから"IPsec ゲートウェイ"を選択します。IPsec ゲートウェイ設定画面が表示されます。
「ゲートウェイ一覧」リストから、ゲートウェイ名( IPsecゲートウェイ名)を選択し、"結合"ボタンをクリックします。選択した相手 IPsec ゲートウェイ名と、セットアップ画面で選択したIPsec ゲートウェイ要素のアイコンが対応して定義されます。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
すでに設定されている相手先 IPsec ゲートウェイの定義を参照する場合は、以下の手順で行います。
IPsec ゲートウェイ設定画面で、「ゲートウェイ一覧」リストから、定義を参照するゲートウェイ名を選択します。設定値パネルには、現在の設定値が表示されます。
IP セキュリティ通信の相手先となる IPsec ゲートウェイの定義を追加する場合、以下の手順で行います。
IPsec ゲートウェイ設定画面で、「ゲートウェイ一覧」リストの下の"追加"ボタンをクリックします。[設定値]パネルは、何も設定されていない状態になります。
相手先の IPsec ゲートウェイの定義を行います。
"設定"ボタンをクリックします。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
IP セキュリティ通信の相手先となる IPsec ゲートウェイの定義を削除する場合、以下の手順で行います。
IPsec ゲートウェイ設定画面で、「ゲートウェイ一覧」リストから、削除する相手先の IPsec ゲートウェイ名(ゲートウェイ名)を選択し、"削除"ボタンをクリックします。選択した相手先暗号ゲートウェイが削除されます。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
注
IPsec ゲートウェイを削除する場合は、事前にパケットフィルタリング条件から該当する IPsec ゲートウェイの条件を削除する必要があります。
パケットフィルタリング条件設定画面またはフィルタリング条件パターン設定画面が表示されている場合は、IPsec ゲートウェイを削除することはできません。画面を終了させてから IPsec ゲートウェイを削除してください。
|
目次
索引
|