| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 |
暗号通信機能は、通信経路上での盗聴や改ざんなどのセキュリティ問題を解決するために、暗号技術を用いてネットワークを流れるパケットを暗号化して通信する機能です。
データは送信側ゲートウェイで暗号化され、受信側ゲートウェイで復号されます。この暗号化/復号を行うゲートウェイを“暗号ゲートウェイ”といいます。暗号ゲートウェイ間では、盗聴や改ざんの危険のない安全な通信路(暗号通信路)を確立できます。
本製品 の暗号通信機能は、IP フィルタ機能を利用し、設定されたゲートウェイ向けのパケットを暗号ゲートウェイに中継することで、暗号通信機能を実現しています。
暗号通信機能は、IPv4環境でのみ利用できます。
以下に、暗号通信のネットワーク接続例を示します。
以下に、上図をもとに、暗号通信の概要について説明します。
暗号ゲートウェイで接続されたネットワーク間の通信(クライアント (a1) からサーバ (b3) へのアクセスなど)は、すべて暗号化することができます。このため、インターネットなど外部ネットワークでの盗聴、改ざんなどの行為から通信データを保護できます。
指定したホスト間の通信だけを暗号通信の対象とします。このため、内部ネットワークに位置するクライアント (a1, a2, b1, b2) からインターネット上に公開されている公開サーバ (c1)へのアクセスなどは指定外となり、インターネットを利用した既存の運用には影響しません。
なお、本製品 の暗号通信では、指定した IP アドレス、サービスの組合せで暗号化する通信を判断します。したがって、暗号通信を利用する場合、IP フィルタ機能が活性化されている必要があります。
また、暗号通信機能を利用できるIPパケットは、IPv4のみです。
インターネットなどの外部ネットワークで、第三者からの盗聴、改ざんなどの行為から通信データを保護するためには、通信データを第三者にとって無意味なデータに変換する必要があります。
暗号とは、意味のあるデータ(平文)を暗号アルゴリズムや鍵と呼ばれるパラメタを用いて、無意味なデータ(暗号文)に変換する手法です。この変換を"暗号化"といいます。
暗号化の逆にあたる、暗号文の平文への変換を"復号"といいます。
以下に、データの暗号化/復号を示します。
本製品 の暗号通信方式には、以下の種類があります。
本製品独自の暗号通信方式です(従来まで「Safegate暗号」と呼んでいた暗号方式です)。このため、復号を行うゲートウェイ側でも 本製品 が必要になります。
SDFW暗号通信機能の詳細は、SDFW暗号通信を参照してください。
IP セキュリティプロトコルを利用した暗号通信方式です。IPセキュリティプロトコルは業界標準プロトコルであるため、IP セキュリティプロトコルをサポートしている本製品 以外のファイアウォールとも通信できます。
IP セキュリティ通信機能の詳細は、IPセキュリティ通信を参照してください。
暗号ゲートウェイとは、SDFW暗号通信において、内部ネットワークに接続されたホストが送信したパケットを暗号化または復号するゲートウェイです。
同様に、IP セキュリティ通信を行う場合の暗号ゲートウェイを "IP セキュリティゲートウェイ"(又は、IPsecゲートウェイ、IKEゲートウェイ)と呼びます。
暗号ゲートウェイ/IP セキュリティゲートウェイでは、パケットを暗号化/復号する以外に、改ざんを検出するための情報をパケットに付加する機能があります。そのため、暗号化されたデータに改ざんが行われた場合に改ざんを検出できます。
以下に、暗号ゲートウェイ/ IP セキュリティゲートウェイの役割を示します。
2.3.1 SDFW暗号通信2.3.2 IP セキュリティ通信|
目次
索引
|