Branch Office VPN 用語
Branch Office VPN を構成する場合、下記の用語を理解しておくことが有用です。WatchGuard Firebox における Branch Office VPN の設定および監視において、一部の用語には特定の意味があります。
インターネット キー交換 (IKE)
RFC 7296 で説明されている IKEv2 は、Fireware v11.11.2 以降でサポートされています。
セキュリティ アソシエーション (SA)
IKEv1 セキュリティ アソシエーションは、ISAKMP (Internet SA とキー管理プロトコル) 標準の一部として RFC 2408 に定義されています。VPN では、暗号化、認証、および 2 つのピア間の安全な通信のために必要な統合チェックを含むすべての情報を含めたコンテクストで SA をとらえています。両方のピア間は、これらの情報について共有と合意を行うことが必要です。SA は、一般的な用語として、さまざまなプロトコルに適用され、SA 構造は、VPN プロトコルとは異なるものです。SA は単方向です。
IKEv1 IPSec VPN トンネルには、2 種類の SA があります。
フェーズ 1 SA
フェーズ 1 設定にもとづいてネゴシエーションを行い、フェーズ 1 SA は、フェーズ 2 ネゴシエーションのためのセキュア トンネルを作成します。Fireware XTM では、Branch Office VPN ゲートウェイを構成する際にフェーズ 1 設定を構成できます。
フェーズ 2 SA
フェーズ 2 設定にもとづいてネゴシエーションを行い、フェーズ 2 SA は、VPN を経由して送信できるトラフィックと、また暗号化と認証化の方法を定義します。Fireware XTM では、Branch Office VPN トンネルを構成する際にフェーズ 2 設定を構成できます。
ゲートウェイ
Firebox については、Branch Office VPN ゲートウェイ により、1 つまたは複数の VPN ゲートウェイ endpoint間の接続の設定が定義されます。各ゲートウェイ endpoint のペアは、ローカル ゲートウェイとリモートゲートウェイからなります。ゲートウェイ endpoint ペアを構成するときに、二つのゲートウェイ endpoint のアドレス、二つのゲートウェイ endpointがキーの交換や暗号化方法のネゴシエーションを行うために使用するフェーズ 1 設定を指定します。一つあるいは両側がマルチ WAN を持っている場合、Branch Office VPN ゲートウェイは、複数のゲートウェイ endpoint ペアを持ち、ゲートウェイ endpoint ペアは、双方に対してフェールオーバーを行います。
複数のトンネルが同じゲートウェイを使用するように構成を行うことができます。ゲートウェイは、それを使用するVPN トンネルのためのセキュア接続を作成します。
トンネル
Firebox については、Branch Office VPN トンネル によりフェーズ 2 の構成設定が定義され、どれがトンネル経由でトラフィックを交換できるかを定義する 1 つまたは複数のトンネル ルートが含まれます。
トンネル ルート
Firebox については、トンネル ルート により、どのホストまたはネットワークがトンネル経由でトラフィックを送信または受信できるかが定義されます。トンネルルートを追加する際に、トンネルの両端のデバイスのローカルとリモート IP アドレスのペアを指定します。トンネルルートのそれぞれの IP アドレスは、ホストあるいはネットワーク用になります。同じドンネルに複数のトンネル ルートを追加することができます。それぞれのトンネル ルートはインバウンドとアウトバウンドについて関連する SA ペアを持っています。
Firebox System Manager で、それぞれのアクティブ化されたトンネル ルートは、別個のトンネルとして表示されます。これにより、それぞれのトンネル ルートのステータスを簡単にモニタリングできます。機能キーにおける Branch Office VPN トンネルの数は、 アクティブ化された Branch Office VPN トンネル ルートの最大数を示しています。
機能キーおよびトンネル ルートの最大数の詳細については、次を参照してください:VPN トンネルの容量およびライセンス。