VPN (Virtual Private Network) によって、異なる場所にあるコンピュータまたはネットワーク間に、セキュリティで保護された接続が確立されます。これらの接続はトンネルと呼ばれます。VPN トンネルが作成されると、2 つのトンネル endpoint がお互いに認証されます。トンネル内のデータは暗号化されます。トラフィックの送信者と受信者だけが読み取り可能です。
Branch Office Virtual Private Network (BOVPN) により、企業は地理的に離れたオフィス間で、セキュリティで保護され暗号化された接続を確立できます。BOVPN トンネル上では、企業の本社、支社、リモートユーザー、またはテレコミューターが、ネットワークおよびホストになります。これらの通信では多くの場合、企業のファイアウォール内で交換されるような重要なデータがやりとりされます。このシナリオでは、BOVPN によってオフィス間で機密性の高い接続が提供されます。これにより、通信が効率化され、専用線のコストが軽減され、各 endpoint でのセキュリティが保持されます。
WatchGuard System Manager を使用すれば、認証と暗号化を行う IPSec トンネルを、すばやく簡単に構成することができます。これらのトンネルは、他のトンネルやセキュリティ ポリシーにも対応します。これらのトンネルは、Managed BOVPN トンネルと呼ばれます。もう 1 つの種類のトンネルとしては、Manual BOVPN トンネル があります。これは、ダイアログ ボックスを使用して定義する BOVPN トンネルです。このタイプのトンネルの詳細については、次を参照してください:手動 IPSec Branch Office VPN について。
Managed BOVPN トンネルを作成する方法
次に説明されているように、ドラッグ アンド ドロップ、簡単なウィザードでデバイス間のトンネルを手動で作成することができます:デバイス間で Managed トンネルを作成する。
次に説明されているように、管理対象トンネルを作成する前に、Management Server へのトンネル endpoint となる Firebox デバイスを必ず追加してください:管理対象のデバイスを Management Server に追加する。
サードパーティまたは自己署名証明書がない場合、Management Server の認証機関を使用する必要があります。詳細については、Management Server で認証機関を構成する を参照してください。
Firebox 外部インターフェイスを追加または削除する前、または外部インターフェイスを移動する前に、Managed VPN トンネルを削除する必要があります。外部インターフェイス構成への変更が完了したら、新たな管理トンネルを作成します。
トンネルのオプション
Managed VPN トンネルをカスタマイズするには、いくつかのオプションを使用できます。
- VPN リソースを追加する に説明されているように、いずれかのデバイスの配下にある信頼済みネットワークに、トンネルを経由させたい多くのルーテッド ネットワークまたはセカンダリ ネットワーク (secondary network) がある場合は、デバイスの VPN リソースを手動で追加します。
- 管理対象 BOVPN トンネルで許可するトラフィックの種類を制限する場合、または Log Server にログ メッセージを送信するトラフィックの種類を制限する場合は、VPN ファイアウォール ポリシーテンプレートを使用する必要があります。あるいは、Management Server で既に定義されているポリシーテンプレートを使用することもできます。詳細については、VPN ファイアウォール ポリシーテンプレートを追加する を参照してください。
- Managed BOVPN トンネルの作成に使用するウィザードでは、暗号化設定を複数の設定から選択できます。これらの設定は、ほとんどのトンネルに適しています。ただし、次に説明されているように、ネットワークに特別な要件がある場合は、独自の設定を作成することができます:セキュリティ テンプレートを追加する。
VPN フェールオーバー
VPN フェールオーバーを構成する で説明された VPN フェールオーバーでは、管理 BOVPN トンネルによりサポートされています。複数 WAN 構成で Managed トンネルを作成している場合は、トンネルの両端の外部インターフェイスを含むゲートウェイ ペアが、WSM によって自動的にセットアップされます。その他の構成は不要です。
グローバル VPN 設定
Firebox のグローバル VPN 設定は、すべての手動 BOVPN トンネル、管理対象トンネル、および Mobile VPN トンネルに適用されます。これらの設定を使用して、次のことを実行できます。
- IPSec パススルーを有効にする。
- サービスの種類 (TOS) ビットの設定を使用して、パケットの設定をクリアまたは維持する。
- IPSec を使用するか判断するには、既定以外のルートの使用を有効にします (BOVPN トンネルのみ)。
- LDAP サーバーを使用して証明書を検証する。
- BOVPN トンネルがダウンしている場合、通知を送信するための Firebox を構成します (BOVPN トンネルのみ)。
これらの設定を変更するには、Policy Manager から、VPN > VPN 設定 の順に選択します。これらの設定の詳細については、次を参照してください:グローバル VPN 設定について。
BOVPN トンネル ステータス
Firebox System Manager を使用して、BOVPN トンネルの現在のステータスを確認することができます。この情報は、WatchGuard System Manager のデバイス ステータス タブにも表示されます。詳細については、VPN トンネルのステータスと登録サービス を参照してください。
BOVPN トンネル キーを再生成する
Firebox System Manager を使用することで、BOVPN トンネルの新しいキーを、期限切れを待たずすぐに生成することができます。詳細については、BOVPN トンネル キーを再生成する を参照してください。
管理対象 BOVPN トンネルの詳細については、次を参照してください: