フェーズ 1 の変換を追加する

トンネルは、1 つのピアのネゴシエーションで複数の変換セットを実行できるように定義できます。たとえば、1 つの変換セットを [SHA2-256]-[AES256]-[DF14] ([authentication method]-[encryption method]-[key group]) で構成し、2 番目の変換を [SHA1]-[AES128]-[DF2] で構成したうえで、[SHA2-256]-[AES256]-[DF14] の変換を高い優先順位の変換セットとして指定することが可能です。トンネルが作成されると、Firebox では [SHA2-256]-[AES256]-[DF14] または [SHA1]-[AES128]-[DF2] を使って、他の VPN endpoint の変換セットを一致させることができます。最大 9 つの変換セットを加えることができます。

このオプションの詳細については、次を参照してください:IPSec のアルゴリズムとプロトコルについて

SHA-2 は XTM 21、22、23、505、510、520、530、515、525、535、545、810、820、830、1050 および 2050 デバイスではサポートされていません。これらのモデルのハードウェア暗号化アクセラレーションでは、SHA-2 はサポートされていません。他すべてのモデルでは SHA-2 がサポートされています。

IKEv1 または IKEv2 を使用するように IPSec BOVPN を構成することができます。IKEv2 は、Fireware v11.11.2 以降でサポートされています。

  • IKEv1 を使用する BOVPN では、フェーズ 1 設定のメイン モードで、複数の変換を使用するように指定する必要があります。
  • IKEv2 を使用する BOVPN の場合は、フェーズ 1 変換が、動的 IP アドレスを持つリモートゲートウェイが少なくとも 1 つ備わっているすべての IKEv2 ゲートウェイで共有されます。詳細については、IKEv2 の共有設定を構成する を参照してください。
  1. ゲートウェイを編集または追加する際に、ゲートウェイ ページで、フェーズ 1 の設定 タブを選択します。
  2. ゲートウェイで IKEv2 が使用され、そのゲートウェイに動的 IP アドレスを持つリモートゲートウェイが備わっている場合は、BOVPN でフェーズ 1 共有設定が使用され、フェーズ 1 変換リストはフェーズ 1 設定タブには表示されません。共有設定を編集するには、VPN > IKEv2 共有設定 の順に選択します。
  3. 変換の設定 セクションで、追加をクリックします。
    設定の変換 ダイアログ ボックスが表示されます。

変換の設定ダイアログ ボックスのスクリーンショット

  1. 認証 ドロップダウン リストから、認証方法として SHA1SHA2-256SHA2-384SHA2-512、または MD5 を選択します。ヒント!
  2. 暗号化 ドロップダウン リストから、暗号化の種類として AES (128-bit)、AES (192-bit)AES (256-bit)DES、または 3DES のいずれかを選択します。ヒント!
    Fireware v12.2 以降では、AES-GCM (128 ビット)AES-GCM (192 ビット)、および AES-GCM (256 ビット) は、フェーズ 1 設定 タブで IKEv2 を指定した場合にサポートされます。
  3. SA (セキュリティ アソシエーション) の有効期限を変更するには、SA の有効期限 テキスト ボックスに数値を入力し、隣のドロップダウン リストで 時間 または を選択します。SA の有効期限には 596,523 時間または 35,791,394 分未満の数値を指定する必要があります。
  4. キー グループ ドロップダウン リストから、Diffie-Hellman グループ 1、2、5、14、15、19、または 20 を選択します。
    Diffie-Hellman グループによって、キー交換プロセスで使用されるマスタ キーの強度が決定されます。グループの数値が大きいほどセキュリティが強化されますが、キーの作成に時間がかかります。詳細については、Diffie-Hellman グループについて を参照してください。
  5. OK をクリックします。
    変換が、設定の変換リストの新しいゲートウェイ ページに表示されます。変換セットは最大 9 つまで追加することができます。
  6. さらに変換を追加するにはステップ 2 ~ 6 を繰り返します。リストのトップに設定した変換は最初に使用されます。
  7. 変換セットの優先順位を変更するには、変換セットを選択し、上へ または 下へ をクリックします。
  8. OK をクリックします。
  1. 新しいゲートウェイ ダイアログ ボックスで、フェーズ 1 の設定 タブを選択します。
  2. ゲートウェイで IKEv2 が使用され、そのゲートウェイに少なくとも 1 つの動的 IP アドレスを持つリモートゲートウェイが備わっている場合は、BOVPN でフェーズ 1 の共有設定が使用されます。それを編集するには、共有設定 タブを選択します。
    VPN > IKEv2 共有設定 の順に選択して、その共有設定を編集することもできます。
  3. 変換の設定 セクションで、追加をクリックします。
    フェーズ 1 の変換 ダイアログ ボックスが表示されます。

デフォルト値の フェーズ 1 の変換 ダイアログ ボックスのスクリーンショット

  1. 認証 ドロップダウン リストから、認証方法として SHA1SHA2-256SHA2-384SHA2-512、または MD5 を選択します。ヒント!
  2. 暗号化 ドロップダウン リストから、暗号化の種類として AES (128-bit)、AES (192-bit)AES (256-bit)DES、または 3DES のいずれかを選択します。ヒント!
    Fireware v12.2 以降では、AES-GCM (128 ビット)AES-GCM (192 ビット)、および AES-GCM (256 ビット) は、フェーズ 1 設定 タブで IKEv2 を指定した場合にサポートされます。
  3. SA (セキュリティ アソシエーション) の有効期限を変更するには、SA の有効期限 テキスト ボックスに数値を入力し、隣のドロップダウン リストで 時間 または を選択します。SA の有効期限には 596,523 時間または 35,791,394 分未満の数値を指定する必要があります。
  4. キー グループ ドロップダウン リストから、Diffie-Hellman グループ 1、2、5、14、15、19、または 20 を選択します。
    Diffie-Hellman グループによって、キー交換プロセスで使用されるマスタ キーの強度が決定されます。グループの数値が大きいほどセキュリティが強化されますが、キーの作成に時間がかかります。詳細については、Diffie-Hellman グループについて を参照してください。
  5. OK をクリックします。
    変換が 、設定の変換 リストの新しいゲートウェイ ダイアログ ボックス ページに表示されます。変換セットは最大 9 つまで追加することができます。
  6. さらに変換を追加するにはステップ 2 ~ 6 を繰り返します。リストのトップに設定した変換は最初に使用されます。
  7. 変換セットの優先順位を変更するには、変換セットを選択し、上へ または 下へ をクリックします。
  8. OK をクリックします。

関連情報:

IPSec VPN フェーズ 1 の設定を構成する

手動 BOVPN ゲートウェイを構成する

BOVPN Gateway のゲートウェイ Endpoint を定義する