IPSecの設定 |
本製品では、オプションのIPSecセキュリティボードを装着して、本製品の操作パネル上のIPSec設定画面で<IPSecを使用>を[ON]にするとIPSec通信を使用できます。 IPSecはIPネットワーク上で送受信されるIPパケットを盗聴、改ざん、なりすましなどの脅威から保護してセキュリティを確保するプロトコルです。IPsecが適用されるのは、TCPパケット、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケットです。IPSecが他のセキュリティプロトコルと比較して優れているのは、インターネットの基本プロトコルであるIPにセキュリティ機能が追加されているため、アプリケーションソフトウェアやネットワーク構成に依存しない点です。 ここでは、本製品の操作パネルでセキュリティポリシーを作成してIPSec通信を設定する方法について説明しています。セキュリティポリシーとは、IPSecの処理を適用するパケット、認証と暗号化に使用するアルゴリズムなど、IPSecの設定内容を登録したものです。IPSecのセキュリティポリシーに従いネゴシエーションを行ってトラフィックごとに確立された論理的コネクションをIPSec SA(Security Association)と呼びます。 以下は、本製品のIPSecの特徴です。 |
おことわり |
|
||||||
本製品がサポートしているIPSecの通信モードはトランスポートモードのみのため、認証と暗号化が適用されるのはIPパケットのデータ部分だけです。
本製品では、以下のうち必ず一つを設定する必要があります。両方の方式を同時に設定することはできません。
ISAKMP(Internet Security Association and Key Management Protocol)に基いて鍵の交換を行うIKEv1(Internet Key Exchange version 1)をサポートしています。IKEには2つのフェーズがあり、フェーズ1でIKEで使用するSAを作成(IKE SA)して、フェーズ2ではIPSecで使用するSA(IPSec SA)を作成します。 事前共有鍵方式の認証を設定する場合は、事前共有鍵と呼ばれる、データを送受信するデバイスで共通に使用するキーワード(24文字以内)を事前に決めておく必要があります。IPSec通信を行う接続先と同じ事前共有鍵を本製品の操作パネルで設定して、事前共有鍵方式で認証を行います。 電子署名方式の認証を選択する場合は、PC上で作成した鍵ペアファイルとCA証明書ファイルをリモートUIを使用して事前にインストールしたあと、インストールしたファイルを本製品の操作パネルで登録する必要があります。CA証明書を使用して、IPSec通信の接続先とお互いの認証を行います。 電子署名方式の認証で使用可能な鍵ペアとCA証明書は以下のとおりです。
|
おことわり |
|
|
|||||