| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.4 ユーザ認証機能(Solaris版/Windows版) | > 2.4.3 運用環境 |
認証が許可された後の通信モードとして、認証ユーザごとに認証クライアントと本製品 との間の通信モードを選択できます。選択できる通信モードには、以下の種類があります。
非暗号
カプセル
SDFW暗号
IPsec 暗号
以下に、各通信モードの詳細、および認証クライアントによって利用できる通信モードについて説明します。
カプセル化/暗号化を行わない通信モードです。
いずれの認証クライアントでも利用することができますが、セキュリティは確保されません。
送受信パケットの IP アドレスは、認証クライアントと内部サーバの IP アドレスがそのまま設定されます。このため、内部ネットワークがプライベートアドレス体系の場合、本製品 上で内部サーバに対する仮想アドレスを設定する必要があります。
認証クライアントからは内部サーバの仮想アドレス宛てに通信を行います。
本機能を利用する場合、環境設定のユーザ設定で、認証後の通信の情報の[通信モード]に[ 非暗号通信(GW アドレス)]または[非暗号通信(実アドレス)]を指定してください。
Safegate client に割り当てられた仮想アドレス、および内部サーバの IP アドレスを、Safegate clientの 実アドレスおよび本製品 の IP アドレスにUDP/IP でカプセル化して通信します。
Safegate client で利用できます。
セキュリティレベルは暗号通信より落ちますが、性能面で効果があります。また、カプセル化して通信が行われるため、従来のゲートウェイ方式では中継が難しかった RPC などのサービスも中継可能となります。マルチキャスト、ブロードキャストを除く TCP/IP上のサービスの中継処理が可能です。
本機能を利用する場合、環境設定のユーザ設定で、認証後の通信の情報の[通信モード]に[カプセル]を指定してください。
また、認証クライアントとなる Safegate client の設定が必要になります。
Safegate client の設定で指定するネットワークアドレスは、アクセス先ネットワークの仮想のサブネットとしてください。
Safegate client に割り当てられた仮想アドレス、内部サーバの IP アドレスおよびユーザデータを、SDFW暗号方式で暗号化し、Safegate client の実アドレスおよび 本製品 の IP アドレスに UDP/IP でカプセル化して通信する方法です。本方式は、従来まで「Safegate暗号」と呼んでいた方式と同等です。
Safegate client で利用できます。
ユーザ認証後の通信において、送受信されるデータを暗号化し、盗聴や改ざんから通信データを保護することができます。また、改ざんを検出した場合には、該当するパケットが破棄され、システムのコンソールやメールなどに通知され、アラートイベントとしてロギングされます。
カプセル化されたデータの中身は、組織内ネットワークで適用する IP アドレスがそのまま埋め込まれているので、外部からアクセスする組織内ネットワーク上のホストに対して仮想アドレスを設定する必要はありません。さらに、本製品上では、カプセル化・暗号化された送受信 IP アドレスを参照しているため、外側送受信IP アドレスが NAT 装置等でアドレス変換された場合でも正常に通信を行うことができます。
本機能を利用する場合、環境設定のユーザ設定で、認証後の通信の情報の[通信モード]に[ SDFW暗号]を指定してください。また、認証クライアントとなるSafegate clientの設定で指定するネットワークアドレスは、アクセス先ネットワークの仮想のサブネットとしてください。
Safegate client に割り当てられた仮想アドレス、内部サーバの IP アドレス、およびユーザデータを IPsec 暗号方式で暗号化し、Safegate client の実アドレスおよび 本製品 の IP アドレスに IP カプセル化して通信する方法です。
また、連携対象となる 本製品 のIKE ゲートウェイ機能を利用し、自動鍵交換による暗号通信を行います。
Safegate client で利用できます。
SDFW暗号同様、盗聴や改ざんから送受信データを保護することができます。また、改ざん検出時のロギング機能や内部サーバに対する仮想アドレス設定が不要な点は SDFW暗号と同様です。しかし、本製品 上では、暗号化されたデータを復号化する場合、NAT 装置等でアドレス変換される場合は正常に通信を行えないので注意が必要です。
本機能で利用する IPsec 通信の動作環境は、環境設定の[ユーザ設定]の[IPsec 通信提案]で設定します。また、認証クライアントとなるSafegate clientの設定で指定するネットワークアドレスは、アクセス先ネットワークの仮想のサブネットとしてください。
認証ユーザごとに、認証クライアントと 本製品 との間の通信方式を選択することができます。
以下、認証クライアントごとに利用できる通信モードについて示します。
|
通信モード |
認証クライアントの種類 |
||
|---|---|---|---|
|
TELNET クライアント |
Web ブラウザ |
Safegate client |
|
|
非暗号 |
○ |
○ |
○ |
|
カプセル |
× |
× |
○ |
|
SDFW暗号 |
× |
× |
○ |
|
IPsec暗号 |
× |
× |
○ |
○:利用できる
*:利用できない
備考リモート端末接続機能
カプセル、SDFW暗号、および IPsec 暗号による通信モードを実現する機能を総称して"リモート端末接続機能"と呼びます。
リモート端末接続機能では、組織外のネットワーク側にも組織内のネットワークの一部があり、リモート端末はこのネットワークに属しているように見せかけることによってアクセスを実現しています。このため、組織内で使用されているネットワークアドレス(プライベートアドレスが望ましい)の一部を、環境設定の Safegate client の設定で設定しておき、各リモート端末には、ここで設定したネットワークアドレスから各リモート端末間で重複しないように IP アドレスを割り当てる必要があります。Safegate client の設定で指定するアドレスは、組織内のホストまたはネットワークに実際に割り当てられていない仮想のアドレスを指定します。
|
目次
索引
|