セキュリティポリシーの登録 |
ここでは、新しいセキュリティポリシーを登録する方法について説明しています。 |
おことわり |
|
||||||
|
[許可]:IPSec設定画面で設定したセキュリティポリシーに該当しないため暗号化されないパケットの平文での送受信を許可します。 [拒否]:IPSec設定画面で設定したセキュリティポリシーに該当しないパケットの送受信を拒否します。 |
|
IPパケットを受信した場合、パケット中の宛先IPアドレスが本手順で指定したローカルIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。IPパケットを送信する場合、パケット中の発信元IPアドレスが本手順で指定したローカルIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。
|
|
|
|
|
|
IPパケットを受信した場合、パケット中の発信元IPアドレスが本手順で指定したリモートIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。IPパケットを送信する場合、パケット中の宛先IPアドレスが本手順で指定したリモートIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。 |
|
|
|
|
|
IPパケットを受信した場合、パケット中の宛先ポートが本手順で指定したポート番号と一致したときに、登録したセキュリティポリシーを適用します。IPパケットを送信する場合、パケット中の発信元ポート番号が本手順で指定したポートと一致したときに、登録したセキュリティポリシーを適用します。 |
[全ポート]:すべてのローカルポートまたはすべてのリモートポートを指定します。 [単一指定]:1つのローカルポートまたは1つのリモートポートをポート番号で指定します。 |
|
[メイン]:メインモードを設定します。IKEセッション自体を暗号化するため、セキュリティが強固です。 [アグレッシブ]:アグレッシブモードを設定します。暗号化されないためIKEセッションが高速化します。 |
事前共有鍵方式を選択する場合は、事前共有鍵を準備してください。電子署名方式を選択する場合は、PC上で作成した鍵ペアファイルとCA証明書ファイルをリモートUIを使用して事前にインストールしてください。 |
|
「Device Signature Key」(機器署名用鍵ペア)、および「AMS」(アクセス制限用鍵ペア)を使用鍵に設定することはできません。SSLで使用している鍵ペアはIPSecの使用鍵としても使用できます。
|
|
<認証>の[SHA1]:認証アルゴリズムにSHA1(Secure Hash Algorithm 1)を設定します。160ビットのハッシュ値をサポートします。 <認証>の[MD5]:認証アルゴリズムにMD5(Message Digest Algorithm 5)を設定します。128ビットのハッシュ値をサポートします。 <暗号>の[3DES-CBC]:暗号化アルゴリズムに3DES (Triple Data Encryption Standard)、暗号モードにCBC (Cipher Block Chaining)を設定します。3DESは、DESを3回行うため処理時間は長くなりますが、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。 <暗号>の[AES-CBC]:暗号化アルゴリズムにAES(Advanced Encryption Standard)、暗号モードにCBCを設定します。AESは、128、192、および256ビットの鍵長の暗号鍵をサポートします。サポートする鍵長が長いため、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。 <DHグループ>の[Group1(762)]:DH(Diffie-Hellman)鍵交換方式にGroup1を設定します。Group1では、762ビットのMODP(Modular Exponentiation)をサポートします。 <DHグループ>の[Group2(1024)]:DH鍵交換方式にGroup2を設定します。Group2では1024ビットのMODPをサポートします。 <DHグループ>の[Group14(2048)]:DH鍵交換方式にGroup14を設定します。Group14では2048ビットのMODPをサポートします。 |
認証と暗号化のアルゴリズムの優先順位は、以下のとおりです。
|
<有効期間>の[時間]と[サイズ]:生成されるIKE SAとIPSec SAの有効期間を指定します。有効期間内のセキュリティポリシーが適用されたIPSec通信では鍵交換のネゴシエーションを行わずにパケットを送受信することができます。[時間]と[サイズ]のいずれかを必ず設定してください。両方を設定した場合は、[時間]と[サイズ]のどちらか一方が設定値に達したときにSAの有効期限が切れます。 <PFS>を[ON]:PFS機能を有効にすると、1つの暗号鍵が第三者に知られてしまっても、他の暗号鍵には被害が波及しないため、機密性を向上させることができます。 <PFS>を[OFF]:PFS機能を無効にした場合、1つの暗号鍵が第三者に知られると、他の暗号鍵も予測される怖れがあります。<PFS>を「ON」に設定した場合は、通信先のPFSも有効にする必要があります。 |
|
<ESP認証>の[SHA1]:ESP認証方式のアルゴリズムにSHA1を設定します。160ビットのハッシュ値をサポートします。 <ESP認証>の[MD5]:ESP認証方式のアルゴリズムにMD5を設定します。128ビットのハッシュ値をサポートします。 <ESP認証>の[NULL]:ESP認証方式のアルゴリズムを設定しません。 <ESP暗号>の[3DES-CBC]:ESP暗号化方式のアルゴリズムに3DES、暗号モードにCBC を設定します。3DESは、DESを3回行うため処理時間は長くなりますが、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。 <ESP暗号>の[AES-CBC]:ESP暗号化方式のアルゴリズムにAES、暗号モードにCBCを設定します。AESは、128、192、および256ビットの鍵長の暗号鍵をサポートします。サポートする鍵長が長いため、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。 <ESP暗号>の[NULL]:ESP暗号化方式のアルゴリズムを設定しません。 <AH認証>の[SHA1]:AH認証方式のアルゴリズムにSHA1を設定します。160ビットのハッシュ値をサポートします。 <AH認証>の[MD5]:AH認証方式のアルゴリズムにMD5を設定します。128ビットのハッシュ値をサポートします。 |
ESP認証・暗号化方式が設定されます。認証と暗号化のアルゴリズムの優先順位は、以下のとおりです。
|