BOVPN セキュリティ設定を構成する

適用：クラウド管理の Fireboxes このトピックは、WatchGuard Cloud で構成する Fireboxes に適用されます。

クラウド管理 Firebox の BOVPN では、セキュリティ設定を使用して、VPN ネゴシエーションのための認証と暗号化の設定を指定します。VPN endpoint を正常に VPN 接続にネゴシエートするには、クラウド管理の Firebox のセキュリティ設定が、リモート endpoint で構成されている設定と一致している必要があります。

同じアカウントに含まれている 2 つのクラウド管理の Fireboxes 間の BOVPN の場合、BOVPN のセキュリティ設定は両方の endpoint で自動的に構成されるため、編集することはできません。

フェーズ 1 の設定

クラウド管理の Firebox からの BOVPN は IKEv2 プロトコルを使用します。VPN endpoint は、フェーズ 1 を使用してセキュリティで保護され認証されたチャネルを構成し、通信に使用できるようにします。フェーズ 1 変換は、VPN データを保護するために使用される一連のセキュリティ プロトコルとアルゴリズムです。IKE ネゴシエーション中に使用される設定について、各 VPN endpoint が合意する必要があります。VPN は、1 つのピアに対し、複数の フェーズ 1 変換を実行できるように構成できます。

ドメイン名で構成されたリモート endpoint を持つすべての BOVPN は、同じフェーズ 1 設定を共有します。

各フェーズ 1 変換には、以下の設定が含まれます。

既定の BOVPN 構成には、以下の設定が指定されているフェーズ 1 変換が 1 つあります。

• 認証 — SHA2-256
• 暗号化 — AES (256)
• SA の有効期限 — 24 時間
• Perfect Forward Secrecy (PFS) — Diffie-Hellman グループ 14

既定のフェーズ 1 変換を削除することはできません。他のフェーズ 1 変換を追加したり、VPN ネゴシエーションで使用される順序を変更したりすることはできます。

フェーズ 1 の設定を構成するには、以下の手順を実行します。

1. BOVPN を追加または編集します。詳細については、ローカル管理の Firebox またはサードパーティ VPN endpoint に対して BOVPN を構成する を参照してください 。
2. BOVPN を追加する場合は、セキュリティ ページで以下の設定を構成します。
   BOVPN を編集する場合は、セキュリティ タブを選択します。

3. フェーズ 1 の設定 セクションの フェーズ 1 の設定の追加 をクリックします。

4. 認証 ドロップダウン リストで、SHA2-256、SHA-384 または SHA-512 を選択します。
5. 暗号化 ドロップダウン リストで、AES-CBC (128-ビット)、AES-CBC (192-ビット)、AES-CBC (256-ビット)、AES-GCM (128-ビット)、ES-GCM (192-ビット)、または AES-GCM (256-ビット) を選択します。
6. SA (セキュリティ アソシエーション) の有効期限を変更するには、SA の有効期限 テキスト ボックスに時間数を入力します。
7. Diffie Hellman グループ ドロップダウン リストから、Diffie-Hellman グループ 14、15、19、または 20 を選択します。
8. 追加 をクリックします。
   フェーズ 1 変換が、フェーズ 1 の設定リストの下部に追加されます。

9. VPN は、設定を記載された順に使用します。設定の順序を変更するには、フェーズ 1 変換の移動ハンドルをクリックして、リスト内で上下にドラッグします。
10. リストからフェーズ 1 変換を削除するには、 をクリックします。

フェーズ 2 の設定

VPN endpoint は、フェーズ 2 を使用して、フェーズ 2 の SA (IPSec SA と呼ばれる場合もある) を確立します。IPSec SA は、一連のトラフィック仕様書であり、VPN に送信するトラフィックおよびそのトラフィックの暗号化および認証方法が指定されています。

クラウド管理の Firebox では、以下のフェーズ 2 の設定をサポートしています。

既定の BOVPN 構成には、以下のフェーズ 2 設定が指定されています。

• 認証 — SHA2-256
• 暗号化 — AES (256-ビット)
• Perfect Forward Secrecy (PFS) — 有効化
• PFS グループ — Diffie-Hellman グループ 14

フェーズ 2 の設定を構成する

1. BOVPN を追加または編集します。
2. BOVPN を編集する場合は、セキュリティ タブを選択します。

3. 認証 ドロップダウン リストで、SHA2-256、SHA-384 または SHA-512 を選択します。
4. 暗号化 ドロップダウン リストで、AES-CBC (128-ビット)、AES-CBC (192-ビット)、AES-CBC (256-ビット)、AES-GCM (128-ビット)、ES-GCM (192-ビット)、または AES-GCM (256-ビット) を選択します。
5. PFS を有効にするには、Perfect Secrecy (PFS) を使用する チェックボックスを選択します。
6. PFS が有効な場合は、PFS グループ ドロップダウン リストから、Diffie-Hellman グループ 14、15、19、または 20 を選択します。
7. VPN キーの有効期限を変更するには、時間 テキスト ボックスに時間数を入力します。
8. トラフィックに基づいて VPN キーを期限切れするよう設定するには、トラフィック　チェックボックスを選択します。
9. トラフィックに基づいて VPN キーを期限切れするよう設定する場合は、トラフィック テキスト ボックスに、トラフィック量を GB 単位で入力します。

キーの期限

キーのの有効期限は、フェーズ 2 の暗号化キーの有効期限を定義します。フェーズ 2 の暗号化キーの使用期間が長くなると、攻撃者がキーに攻撃するために収集できるデータ量も増えます。

既定の設定は 8 時間です。任意で、時間だけでなく、トラフィックに基づいて VPN キーを期限切れにすることができます。トラフィックに基づいて VPN キーを期限切れにする設定を有効にすると、トラフィックまたは時間の制限に達したときにキーが期限切れになります (いずれか早いほう)。

BOVPN のキー有効期限の設定を変更するには、以下の手順を実行します。

1. BOVPN を追加または編集します。
2. BOVPN を編集する場合は、セキュリティ タブを選択します。

3. キーの有効期限を変更するには、時間 テキスト ボックスにキーが有効な時間数を入力します。
4. トラフィックに基づいて VPN キーを期限切れにするには、以下の手順を実行します。
   1. トラフィック チェックボックスを選択します。
   2. トラフィック テキスト ボックスに、キーの有効期限の基準として使用するトラフィック量を GB 単位で指定します。

セキュリティ設定をリセットする

BOVPN のセキュリティ設定を規定値にリセットするには、既定値に戻す をクリックします。

関連情報：

クラウド管理の Firebox を WatchGuard Cloud に追加する