フェーズ 2 の設定を構成する
フェーズ 2 の設定には、セキュリティ アソシエーション (SA) の設定が含まれています。SA は、データ パケットが 2 つの endpoint 間で送信される場合に、どのようにセキュリティが保護されるかを定義するものです。SA では、Firebox で endpoint 間のトラフィックが処理されるために必要なすべての情報が保持されます。SA のパラメータには、たとえば次のものがあります。
- 使用される暗号化および認証アルゴリズム。
- SA の有効期限 (秒数またはバイト数、あるいはその両方)。
- SA が確立されるデバイスの IP アドレス (このデバイスは、トラフィックを送受信する配下のコンピュータではなく、IPSec 暗号化および VPN の反対側の暗号化を処理するデバイスです)。
- SA が適用されるトラフィックの送信元および宛先 IP アドレス。
- SA が適用されるトラフィックの方向 (トラフィックの両方向 (受信および送信) に対してそれぞれ 1 つの SA が適用されます)。
フェーズ 2 の設定 タブに複数のフェーズ 2 プロポーザルを追加することができます。ただし、同じ VPN トンネルにおいては、AH と ESP フェーズ 2 のプロポーザルを IPSec プロポーザル リストに追加することはできません。
IPSec パススルー機能を使用する場合は、プロポーザル方法としてカプセル化セキュリティ ペイロード (ESP) を設定したプロポーザルを使用する必要があります。IPSec パススルーでは ESP がサポートされていますが、AH はサポートされていません。IPSec パススルーの詳細については、次を参照してください:グローバル VPN 設定について。
また、フェーズ 2 の設定には Perfect Forward Secrecy (PFS) の設定が含まれています。Perfect Forward Secrecy により、セッションで作成されたキーのセキュリティ保護が強化されます。PFS で作成されるキーは、以前のキーからは作成されません。セッション後に以前のキーのセキュリティが侵害された場合でも、新しいセッション キーのセキュリティは保護されます。詳細については、Diffie-Hellman グループについて を参照してください。
構成することができるフェーズ 2 の設定は、BOVPN ゲートウェイまたは BOVPN 仮想インターフェイスにおいても同じです。
- トンネルの Branch Office VPN ページまたは BOVPN 仮想インターフェイス ページで、フェーズ 2 の設定 タブを選択します。ヒント!
- 既定では、Perfect Forward Secrecy (PFS) が有効化されており、Diffie-Hellman グループ 14 が指定されています。PFS を無効化する、または別の Diffie-Hellman グループを選択することができます。
- 既定では、VPN トンネルには既定のプロポーザルが 1 つ含まれており、これは IPSec プロポーザル リストに表示されます。このプロポーザルでは、ESP データ保護方法、AES 256 ビット暗号化、および SHA2-256 認証が指定されています。ドロップダウン リストから別のプロポーザルを選び、追加 をクリックします。
使用するプロポーザルがリストにない場合は、次に説明されているように、その他のプロポーザルを追加することができます:フェーズ 2 のプロポーザルを追加する。
- 新しいトンネル ダイアログ ボックスまたは 新しい BOVPN 仮想インターフェイス ダイアログ ボックスで、フェーズ 2 の設定 タブを選択します。ヒント!
- 既定では、Perfect Forward Secrecy (PFS) が有効化されており、Diffie-Hellman グループ 14 が指定されています。PFS を無効化する、または別の Diffie-Hellman グループを選択することができます。
- 既定では、VPN トンネルには既定のプロポーザルが 1 つ含まれており、これは IPSec プロポーザル リストに表示されます。このプロポーザルでは、ESP データ保護方法、AES 256 ビット暗号化、および SHA2-256 認証が指定されています。次のいずれかを行うことができます。
- 規定のプロポーザルを使用します。
- 規定のプロポーザルを削除し、新しいものと取り替えます。
- 次に説明されているように、追加のプロポーザルを追加します:フェーズ 2 のプロポーザルを追加する。