フェーズ 2 のプロポーザルを追加する
ピアに対して、IKE のフェーズ 2 の複数のプロポーザルを提供するようにトンネルを構成することができます。たとえば、1 つのプロポーザルに [ESP]-[AES256]-[SHA2-256] を指定し、2 番目のプロポーザルに [ESP]-[AES128]-[SHA1] i を指定することができます。トラフィックがトンネルを通過する際に、セキュリティ アソシエーションは [ESP]-[AES256]-[SHA2-256] か [ESP]-[AES128]-[SHA1] i のいずれかを使用して、ピアの変換設定に一致させることができます。このオプションの詳細については、次を参照してください:IPSec のアルゴリズムとプロトコルについて。
トンネル構成に最大 8 つのプロポーザルを追加することができます。トンネルは、構成されたプロポーザルをトンネル構成に記載された順に使用します。
11 の事前構成されたフェーズ 2 のプロポーザルがあります。これは、編集できません。名前は <タイプ>-<認証>-<暗号化> の形式に従います。6 つのプロポーザルすべてで、キーの有効期限を強制的に終了する 設定の 時間 は、8 時間に構成されています。
フェーズ 2 のプロポーザルでは、カプセル化セキュリティ ペイロード (ESP) または AH (認証ヘッダー) プロトコルを使用することができます。ESP の使用をお勧めします。ESP と AH には、以下のような相違点があります。
- ESP では認証と暗号化が行われます。
- AH では認証のみが行われます。ESP 認証では IP ヘッダーは保護されませんが、AH では保護されます。
- IPSec パススルーでは ESP がサポートされていますが、AH はサポートされていません。IPSec パススルー機能を使用する場合は、プロポーザル方法として ESP を指定する必要があります。IPSec パススルーの詳細については、次を参照してください:グローバル VPN 設定について。
新しいフェーズ 2 のプロポーザルの作成
- VPN > フェーズ 2 のプロポーザル の順に選択します。
- 追加 をクリックします。
Fireware Web UI におけるフェーズ 2 の設定
Policy Manager における新しいフェーズ 2 のプロポーザル ダイアログ ボックス。
- 名前 テキスト ボックスに、新しいプロポーザルの名前を入力します。
- (任意) 説明 テキスト ボックスに、このプロポーザルを識別する説明を入力します 。
- 種類 ドロップダウン リストから、ESP または AH を選択します。
- [認証] ドロップダウン リストで、認証方法を選択します。
オプションは、なし、MD5、SHA1、 SHA2-256、SHA2-384、および SHA2-512 で、最もセキュアでないものから最もセキュアなものの順に並べられています。ヒント!
SHA-2 は XTM
- 種類 ドロップダウン リストから ESP を選択した場合は、暗号化 ドロップダウン リストから暗号化方法を選択します。
DES、3DES 、AES (128 ビット)、AES (192 ビット) および AES (256 ビット) のいずれかを選択できます。Fireware v12.2 以降では、AES-GCM (128 ビット)、AES-GCM (192 ビット) および AES-GCM (256 ビット) を指定することもできます。ヒント! - 一定時間が経過するか一定量のトラフィックが通過した後で、ゲートウェイ endpoint で新しいキーを強制的に生成または交換するには、キーの有効期限を強制的に終了する セクションの設定を構成します。
- 時間 チェックボックスを選択すると、一定時間が経過した後にキーの有効期限が切れます。キーの有効期限を強制的に終了するまでの時間を入力または選択します。
- トラフィック チェックボックスを選択すると一定量のトラフィックが通過した後にキーの有効期限が切れます。キーの有効期限を強制的に終了するまでのトラフィックの通過量 (キロバイト) を入力または選択します。値は最低限 24576KB にする必要があります。
- 両方の キーの有効期限を強制的に終了する オプションを無効にすると、キーの有効期限の間隔は 8 時間に設定されます。
トラフィック のキーの有効期限の強制終了は、既定では有効化されていません。これにより、サードパーティ製デバイスとのより良好な VPN 相互運用性が提供されます。
プロポーザルの編集またはクローン
Fireware Web UI または Policy Manager で、プロポーザルを編集することができます。Policy Manager で、事前定義のプロポーザルまたはユーザー定義のプロポーザルのクローンを作成できます。プロポーザルをクローンしたとき、既存のプロポーザルをコピーし、新しい名前で保存します。変更できるのはユーザー定義のプロポーザルだけであるため、事前定義済みのプロポーザルを編集するには、クローンを行う必要があります。
Fireware Web UI から、プロポーザルを編集するには、以下の手順を実行します:
- VPN > BOVPN の順に選択します。
- フェーズ 2 のプロポーザル セクションで、ユーザー定義のプロポーザルを選択して、編集 をクリックします。
- 前のセクションに説明されているように、設定を更新します。
プロポーザルを編集またはクローン作成するには、Policy Manager から以下の手順を実行します:
- VPN > フェーズ 2 のプロポーザル の順に選択します。
フェーズ 2 のプロポーザル ダイアログ ボックスが表示されます。 - プロポーザルを選択し、編集 または クローン をクリックします。
- 前のセクションに説明されているように、設定を更新します。
- OK をクリックします。
BOVPN トンネルまたは仮想インターフェイスのフェーズ 2 プロポーザルを編集する
それぞれの BOVPN トンネルまたは BOVPN 仮想インターフェイスに、最高 8 つのプロポーザルを追加することができます。複数のフェーズ 2 プロポーザルを追加すると、プロポーザルの優先順位の高いほうから順番にリストに表示されます。
- BOVPN トンネルを編集する場合は、VPN > Branch Office VPN の順に選択します。
BOVPN 仮想インターフェイスを編集する場合は、VPN > BOVPN 仮想インターフェイス の順に選択します。 - 既存のトンネルまたは BOVPN 仮想インターフェイスをダブルクリックして、編集します。
- フェーズ 2 の設定 タブをクリックします。
- IPSec プロポーザル セクションのドロップダウン リストから、このトンネルに追加するプロポーザルを選択します。
- 追加 をクリックします。
- リストのプロポーザルの基本設定を変更するには、プロポーザルを選択し、上に移動 または 下に移動 をクリックします。
- リストからプロポーザルを削除するには、プロポーザルを選択して、削除 をクリックします。
- BOVPN トンネルを編集する場合は、VPN > Branch Office トンネル の順で選択します。
BOVPN 仮想インターフェイスを編集する場合は、VPN > BOVPN 仮想インターフェイス の順に選択します。 - 既存のトンネルまたは BOVPN 仮想インターフェイスをダブルクリックして、編集します。
- フェーズ 2 の設定 タブをクリックします。
- IPSec のプロポーザル セクションで、追加 をクリックします。
新しいフェーズ 2 のプロポーザル ダイアログ ボックスが表示されます。
- 既存のプロポーザルを使用する場合は、ドロップダウン リストからプロポーザルを選択します。
- 新しいフェーズの 2 プロポーザルを作成するには、新しいフェーズ 2 のプロポーザルの作成 を選択して、前のセクションに説明されているように、プロポーザルの設定を構成します。
- OK をクリックして、フェーズ 2 のプロポーザル リストにプロポーザルを追加します。
- リストのプロポーザルの基本設定を変更するには、プロポーザルを選択し、上に移動 または 下に移動 をクリックします。
- リストからプロポーザルを削除するには、プロポーザルを選択して、削除 をクリックします。