フェーズ 2 の設定の詳細を定義する
フェーズ 2 の詳細設定では、フェーズ 2 のプロポーザルの種類、認証方法、暗号化方法、および有効期限を変更できます。使用可能なアルゴリズムの詳細については、次を参照してください: IPSec のアルゴリズムとプロトコルについて。
- Mobile VPN with IPSec の編集 ページで、IPSec トンネル タブを選択します。
- フェーズ 2 の設定 セクションの 詳細 をクリックします。
フェーズ 2 の詳細設定 が表示されます。
- フェーズ 2 のオプション に説明されている手順に従って、フェーズ 2 のオプションを構成します。
デバイスの IPSec VPN クライアントがこれらの設定と互換性がある場合は既定の設定を選択することをお勧めします。iOS、macOS、または Android でネイティブ IPSec VPN クライアントを構成する場合は、macOS または iOS のネイティブ IPSec VPN クライアントを使用する と Mobile VPN with IPSec を Android デバイスで使用する の推奨設定を参照してください。 - OK をクリックします。
- 保存 をクリックします。
- VPN > Mobile VPN > IPSec の順に選択します。
- IPSec 構成を選択して 編集 をクリックします。
- IPSec トンネル タブを選択します。
- プロポーザル をクリックします。
フェーズ 2 のプロポーザル ダイアログ ボックスが表示されます。
- フェーズ 2 のオプション に説明されている手順に従って、設定のオプションを構成します。
デバイスの IPSec VPN クライアントがこれらの設定と互換性がある場合は既定の設定を選択することをお勧めします。iOS、macOS、または Android でネイティブ IPSec VPN クライアントを構成する場合は、macOS または iOS のネイティブ IPSec VPN クライアントを使用する と Mobile VPN with IPSec を Android デバイスで使用する の推奨設定を参照してください。 - 構成を Firebox に保存します。
フェーズ 2 のオプション
種類
ESP プロポーザル方法のみがサポートされています。
認証
ドロップダウン リストから暗号化方法を選択します。暗号化のオプションが、最も簡単で安全性の低いオプションから、最も複雑で安全性の高いオプションの順に表示されています。
- MD5
- SHA1
- SHA2-256 (既定の設定)
- SHA2-384
- SHA2-512
SHA-1 よりも強力な SHA-2 のバリアント、SHA-256、SHA2-384 および SHA-512 をお勧めします。
SHA-2 は XTM
SHA2 は、WatchGuard IPSec Mobile VPN クライアント v11.32 からの VPN 接続でサポートされています。Android または iOS デバイスからの VPN 接続では SHA2 はサポートされておらず、旧バージョンの WatchGuard IPSec VPN クライアントでもサポートされていません。
暗号化
暗号化方法を選択します。最も簡単で安全性の低いオプションから、最も複雑で安全性の高いオプションの順にオプションが表示されています。
- DES
- 3DES
- AES (128-bit)
- AES (192-bit)
- AES (256-bit) (既定の設定)
AES 暗号化をお勧めします。パフォーマンスを優先するには AES (128 ビット) を選択します。強力な暗号化を優先するには AES (256 ビット) を選択します。DES または 3DES はお勧めしません。
キーの期限を強制的に終了する
一定時間が経過するか一定量のトラフィックが通過した後で、ゲートウェイ endpoint で新しいキーを強制的に生成または交換するには、キーの有効期限を強制的に終了する セクションの設定を構成します。
- 時間 チェックボックスを選択すると、一定時間が経過した後にキーの有効期限が切れます。キーの有効期限を強制的に終了するまでの時間を入力または選択します。
- トラフィック チェックボックスを選択すると一定量のトラフィックが通過した後にキーの有効期限が切れます。キーの有効期限を強制的に終了するまでのトラフィックの通過量 (キロバイト) を入力または選択します。
- 両方の キーの有効期限を強制的に終了する オプションを無効にすると、キーの有効期限の間隔は 8 時間に設定されます。