| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第3部 ファイアウォール機能独自環境設定(Solaris版/Windows版) | > 第13章 環境設定(Solaris版) | > 13.4 要素を設定する |
IKE ゲートウェイの動作環境を設定します。IKE ゲートウェイの動作環境は、IKE ゲートウェイ設定画面で設定します。IKE ゲートウェイ設定画面は、以下の手順で起動します。
セットアップ画面で、"IKE ゲートウェイ"の要素アイコンを選択(クリック)または「要素設定」メニューから "IKE ゲートウェイ"を選択します。IKE ゲートウェイ設定画面が表示されます。
以下に、IKE ゲートウェイ設定画面の設定項目について説明します。
IKE ゲートウェイ名を英字で始まる 1 〜 15 文字以内の英数字、" - "(ハイフン)および " _ "(アンダーバー)で指定します。なお、IKE ゲートウェイ名は、定義済のホスト名、ホストグループ名、ネットワーク名、暗号ゲートウェイ名、IPsec ゲートウェイ名、IKE ゲートウェイ名、RADIUS サーバ名、Safegate client 名、アンチウィルスサーバ名、Safegate 集中管理名と重複しないように設定してください。
IKE ゲートウェイの IP アドレスを指定します。なお、アドレスが他の IPsec ゲートウェイおよびIKE ゲートウェイ と重複しないように設定してください。
IKE ゲートウェイ間で使用する IKE 認証方式を以下の2つからどちらかを選択し指定します。
初期値は"共有鍵"です。
|
IKE 認証方式 |
意味 |
|---|---|
|
共有鍵 |
事前に定義した共有鍵を使用 |
|
証明書 |
証明書を使用 |
証明書については、「ファイアウォール機能説明書」の「リファレンスガイド」を参照してください。
IKE ゲートウェイ間で使用する共有鍵を、16 進数表記で 1〜 64 文字で指定します。IKE 認証方式で「共有鍵」が指定された場合のみ有効となり、必ず指定しなければいけません。自動生成ボタンを押すと、共有鍵の自動生成(乱数生成)ができます。
本パラメタは、接続対象となる相手 IKE ゲートウェイの共有鍵と設定を合わせる必要があります。
注共有鍵の自動生成後、OK ボタンをクリックすると" * " になり、その後、自動生成した共有鍵を参照できなくなります。したがって、共有鍵の自動生成を行う場合には、鍵の値を記録しておき、相手側に同じ値を設定するようにしてください。
IKE の動作を AH、ESP、ESP_AUTH、AH+ESP のいずれかから選択します。初期値は "ESP_AUTH" です。本パラメタは、接続対象となる相手暗号ゲートウェイの設定と合わせる必要があります。
AH
認証ヘッダ( AH )を付加します。メッセージ認証機能が使用できます。
ESP
ESP ヘッダを付加します。暗号機能が使用できます。
ESP_AUTH
ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます(RFC2401 プロトコルの場合のみ指定できます)。
AH+ESP
認証ヘッダ( AH )および ESP ヘッダを付加します。暗号機能およびメッセージ認証機能が使用できます。
種別が AH、ESP_AUTH、AH+ESP のいずれかの場合、認証アルゴリズムを指定します。指定できる認証アルゴリズムは以下の通りです。初期値は "MD5" です。
MD5 ( The MD5 Message-Digest Algorithm:RFC1321で規定)
SHA (SECURE HASH STANDARD:FIPS PUB 180-1で規定)
本パラメタは、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。種別が ESP の場合、本項目は設定不要です。
種別によって以下のように指定します。初期値は"DES" です。
|
種別 |
暗号アルゴリズム |
|---|---|
|
認証(AH) |
設定不要 |
|
暗号(ESP) |
DES または 3DES |
|
ESP_AUTH |
DES または 3DES または NULL |
|
AH+ESP |
DES または 3DES |
種別が "ESP"または "AH+ESP" の場合、"NULL" を指定できません。本パラメタは、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。
備考
DES (Data Encryption Standard):鍵長 56ビット( RFC2405 で規定)
3DES (Triple Data Encryption Standard):鍵長 168 ビット( RFC2451で規定)
NULL:暗号化なし( RFC2410 で規定)
IKE 通信時の暗号アルゴリズムを指定します。初期値は"DES"です。
DES
3DES
通信相手のゲートウェイが 「Safegate (Solaris版) 2.1」の場合は、"DES" を選択してください。
IKE ゲートウェイ起動時に、相手 IKE ゲートウェイへの自動接続を行うかどうかを指定します。初期値は"行う"です。
|
設定 |
意味 |
|---|---|
|
行なう |
自動的に接続する |
|
行なわない |
自動接続を行なわない |
相手 IKE ゲートウェイを識別するための文字列を、必要に応じて 63 文字以内の英数字、" _"(アンダースコア)、" - "(ハイフン)、" ."(ピリオド)、" @ "を使用して指定します。初期値は"指定なし"です。
注「Safegate (Solaris版) 2.1」と接続する場合、"S_Safegate2.1"と指定します。それ以外の場合は、指定する必要はありません。
IPSEC SAの 有効期間を指定します。指定できる期間の範囲は1 〜 8759で、単位は「時間」です。有効期間終了後の最初の通信開始時に IPSEC SA が再作成されます.本パラメタはSA 有効期間( IKE )よりも小さい値に設定する必要があります。本パラメタは、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。初期値は "8" です。
自動鍵交換プロトコル( IKE )で使用する ISAKMP SA の有効期間を指定します。指定できる期間の範囲は 2 〜 8760 で、単位は「時間」です。初期値は "24" です。有効期間終了後の最初の通信開始時に ISAKMP SA が再作成されます。本パラメタは SA 有効期間( IPsec )よりも大きい値に設定する必要があります。本パラメタは、接続対象となる相手 IKE ゲートウェイと設定を合わせる必要があります。
注
認証種別、認証アルゴリズムおよび暗号アルゴリズムには、それぞれ以下の関係がありますので、設定時には注意してください。
|
認証種別 |
認証アルゴリズム |
暗号アルゴリズム |
|
AH |
○ |
× |
|
ESP |
× |
○(*1) |
|
AH + ESP |
○ |
○(*1) |
|
ESP_AUTH |
○ |
○ |
*1:DES または 3DES を選択します( NULL は選択できません)。
:選択できる
:選択できない
以下に、IKE ゲートウェイの要素設定の操作手順について説明します。
IKE ゲートウェイの要素に対し、IKE ゲートウェイ名を対応させて定義する場合は、以下の手順で行います。
セットアップ画面で、IKE ゲートウェイの動作環境を設定する要素アイコンを選択(クリック)または「要素設定」メニューから "IKE ゲートウェイ"を選択します。IKE ゲートウェイ設定画面が表示されます。
「ゲートウェイ一覧」リストから、ゲートウェイ名( IKEゲートウェイ名)を選択し、"結合"ボタンをクリックします。選択した相手 IKE ゲートウェイ名と、セットアップ画面で選択した IKEゲートウェイ要素のアイコンが対応して定義されます。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
すでに設定されている相手先 IKE ゲートウェイの定義を参照する場合は、以下の手順で行います。
IKE ゲートウェイ設定画面で、「ゲートウェイ一覧」リストから、定義を参照するゲートウェイ名を選択します。設定値パネルには、現在の設定値が表示されます。
IP セキュリティ通信の相手先となる IKE ゲートウェイの定義を追加する場合、以下の手順で行います。
IKE ゲートウェイ設定画面で、「ゲートウェイ一覧」リストの下の"追加"ボタンをクリックします。[設定値]パネルは、何も設定されていない状態になります。
相手先の IKE ゲートウェイの定義を行います。
"設定"ボタンをクリックします。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
IP セキュリティ通信の相手先となる IKE ゲートウェイの定義を削除する場合、以下の手順で行います。
IKE ゲートウェイ設定画面で、「ゲートウェイ一覧」リストから、削除する相手先の IKE ゲートウェイ名(ゲートウェイ名)を選択し、"削除"ボタンをクリックします。選択した相手先暗号ゲートウェイが削除されます。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
注
IKE ゲートウェイを削除する場合は、事前にパケットフィルタリング条件から該当するIKE ゲートウェイの条件を削除する必要があります。
パケットフィルタリング条件設定画面またはフィルタリング条件パターン設定画面が表示されている場合は、IKE ゲートウェイを削除することはできません。画面を終了させてから IKE ゲートウェイを削除してください。
IKE ゲートウェイが IP セキュリティ自動鍵交換処理において使用する、乱数の種(シード)を指定することができます。乱数の種を指定するには、「編集」メニューから"乱数の種の作成"を選択して表示される IKE 種設定画面を使用します。
「種」のフィールドに、乱数の種を 1 〜 240 文字以内の 16進数表記で指定し、"了解"ボタンをクリックしてください。なお、IKE 種設定画面で指定した乱数の種は、システム起動時およびSA管理起動時に読み込まれます。
注
乱数の種の設定は必須作業ではありません。種が指定されない場合には、独自の方法で乱数を発生させます。
|
目次
索引
|