関連トピック
フェーズ 1 の変換を追加する
トンネルは、1 つのピアのネゴシエーションで複数の変換セットを実行できるように定義できます。たとえば、1 つの変換セットを [SHA2-256]-[AES256]-[DF14] ([authentication method]-[encryption method]-[key group]) で構成し、2 番目の変換を [SHA1]-[AES128]-[DF2] で構成したうえで、[SHA2-256]-[AES256]-[DF14] の変換を高い優先順位の変換セットとして指定することが可能です。トンネルが作成されると、Firebox では [SHA2-256]-[AES256]-[DF14] または [SHA1]-[AES128]-[DF2] を使って、他の VPN エンドポイントの変換セットを一致させることができます。最大 9 つの変換セットを加えることができます。
このオプションの詳細については、次を参照してください:IPSec のアルゴリズムとプロトコルについて。
XTM
IKEv1 または IKEv2 を使用するように BOVPN を構成することができます。IKEv2 は、Fireware OS v11.11.2 以降でサポートされています。
- IKEv1 を使用する BOVPN では、フェーズ 1 設定のメイン モードで、複数の変換を使用するように指定する必要があります。
- IKEv2 を使用する BOVPN の場合は、フェーズ 1 変換が、動的 IP アドレスを持つリモートゲートウェイが少なくとも 1 つ備わっているすべての IKEv2 ゲートウェイで共有されます。詳細については、次を参照してください:IKEv2 の共有された設定を構成する。
Fireware Web UI から、フェーズ 1 の変換を追加するには、以下の手順を実行します:
- ゲートウェイを編集または追加する際に、ゲートウェイ ページで、フェーズ 1 の設定 タブを選択します。
- ゲートウェイで IKEv2 が使用され、そのゲートウェイに動的 IP アドレスを持つリモートゲートウェイが備わっている場合は、BOVPN でフェーズ 1 共有設定が使用され、フェーズ 1 変換リストはフェーズ 1 設定タブには表示されません。共有設定を編集するには、VPN > IKEv2 共有設定 の順に選択します。
- 変換の設定 セクションで、追加をクリックします。
[設定の変換] ダイアログ ボックスが表示されます。
- 認証 ドロップダウン リストから、認証方法として SHA1、SHA2-256、SHA2-384、SHA2-512、または MD5 を選択します。 ヒントSHA-1 と MD5 よりも強力な SHA-2 を用いることをお勧めします。
- 暗号化 ドロップダウン リストから、暗号化の種類として AES (128-bit)、AES (192-bit)、AES (256-bit)、DES、または 3DES のいずれかを選択します。 ヒントAES 暗号化を用いることをお勧めします。最高のパフォーマンスを実現するために、AES (128 ビット) を選択してください。暗号化を最も強化するには、AES (256 ビット) を選択します。DES または 3DES はお勧めしません。
- SA (セキュリティ アソシエーション) の有効期限を変更するには、SA の有効期限 テキスト ボックスに数値を入力し、隣のドロップダウン リストで 時間 または 分 を選択します。SA の有効期間 には 596,523 時間または 35,791,394 分未満の数値を指定する必要があります。
- キー グループ ドロップダウン リストから、Diffie-Hellman グループ 1、2、5、14、15、19、または 20 を選択します。
Diffie-Hellman グループによって、キー交換プロセスで使用されるマスタ キーの強度が決定されます。グループの数値が大きいほどセキュリティが強化されますが、キーの作成に時間がかかります。詳細については、次を参照してください:Diffie-Hellman グループについて。 - OK をクリックします。
変換が、設定の変換リストの新しいゲートウェイ ページに表示されます。変換セットは最大 9 つまで追加することができます。 - その他の変換を追加するには、ステップ 2~6 を繰り返します。リストのトップに設定した変換は最初に使用されます。
- 変換セットの優先順位を変更するには、変換セットを選択し、上へ または 下へ をクリックします。
- OK をクリックします。
フェーズ 1 の変換を追加するには、Policy Manager から以下の手順を実行します:
- 新しいゲートウェイ ダイアログ ボックスで、フェーズ 1 の設定 タブを選択します。
- ゲートウェイで IKEv2 が使用され、そのゲートウェイに少なくとも 1 つの動的 IP アドレスを持つリモート ゲートウェイが備わっている場合は、BOVPN でフェーズ 1 の共有設定が使用されます。それを編集するには、共有設定 タブを選択します。
VPN > IKEv2 共有設定 の順に選択して、その共有設定を編集することもできます。 - 変換の設定 セクションで、追加をクリックします。
フェーズ 1 の変換 ダイアログ ボックスが表示されます。
- 認証 ドロップダウン リストから、認証方法として SHA1、SHA2-256、SHA2-384、SHA2-512、または MD5 を選択します。ヒントSHA-1 と MD5 よりも強力な SHA-2 を用いることをお勧めします。
- 暗号化 ドロップダウン リストから、暗号化の種類として AES (128-bit)、AES (192-bit)、AES (256-bit)、DES、または 3DES のいずれかを選択します。ヒントAES 暗号化を用いることをお勧めします。最高のパフォーマンスを実現するために、AES (128 ビット) を選択してください。暗号化を最も強化するには、AES (256 ビット) を選択します。DES または 3DES はお勧めしません。
- SA (セキュリティ アソシエーション) の有効期限を変更するには、SA の有効期限 テキスト ボックスに数値を入力し、隣のドロップダウン リストで 時間 または 分 を選択します。SA の有効期間 には 596,523 時間または 35,791,394 分未満の数値を指定する必要があります。
- キー グループ ドロップダウン リストから、Diffie-Hellman グループ 1、2、5、14、15、19、または 20 を選択します。
Diffie-Hellman グループによって、キー交換プロセスで使用されるマスタ キーの強度が決定されます。グループの数値が大きいほどセキュリティが強化されますが、キーの作成に時間がかかります。詳細については、次を参照してください:Diffie-Hellman グループについて。 - OK をクリックします。
変換が 、設定の変換 リストの新しいゲートウェイ ダイアログ ボックス ページに表示されます。変換セットは最大 9 つまで追加することができます。 - その他の変換を追加するには、ステップ 2~6 を繰り返します。リストのトップに設定した変換は最初に使用されます。
- 変換セットの優先順位を変更するには、変換セットを選択し、上へ または 下へ をクリックします。
- OK をクリックします。