目的: IPsecポリシーを追加して、サイト間VPN接続に使用されるIKE暗号化および認証アルゴリズムを設定します。
場所: ゲートウェイ > (ゲートウェイ名) > サイト間VPN > ポリシー
-
[追加] をクリックします。
[IPSecポリシーの追加/編集] 画面が表示されます。
- 新しいIPsecポリシーの名前を指定します。
-
リストから [IKEの暗号化アルゴリズム] を選択します。
注:
DES (Digital Encryption Standard) は、56ビット鍵を使用する64ビットのブロックアルゴリズムです。AES (Advanced Encryption Standard) は、128~256ビットの鍵と可変長のデータブロックをサポートする秘密鍵アルゴリズムです。
オプション 説明 3DES
Triple-DESでは、プレーンテキストが3つの鍵で3回暗号化されます。
AES 128
128ビット鍵を使用する128ビットブロックのCBC (暗号ブロック連鎖) アルゴリズムです。
AES 192
128ビット鍵を使用する192ビットブロックのCBC (暗号ブロック連鎖) アルゴリズムです。
AES 256
128ビット鍵を使用する256ビットブロックのCBC (暗号ブロック連鎖) アルゴリズムです。
-
[IKEの認証アルゴリズム] をリストから 選択します。
-
MD5 - (Message Digestバージョン5) ハッシュアルゴリズム (一方向ハッシュ関数) は、デジタル署名アプリケーション向けにRSA Data Securityが開発したアルゴリズムです。大きなファイルを秘密鍵/公開鍵アルゴリズムを使用して暗号化する前に、安全な方法で圧縮する必要がある場合に使用します。
-
SHA1 - (Secure Hash Algorithm 1) は、160ビットのメッセージダイジェストを生成します。メッセージダイジェストが大きく、ブルートフォースアタックによる衝突や反転攻撃に対するセキュリティが高まります。
-
SHA-256 - (Secure Hash Algorithm 2) は、256ビットのダイジェストを生成します。ブルートフォースアタックによる衝突や反転攻撃に対するセキュリティがさらに高まります。
-
SHA-512 - (Secure Hash Algorithm 2) は、512ビットのメッセージダイジェストを生成します。メッセージダイジェストが最も大きく、ブルートフォースアタックによる衝突や反転攻撃に対するセキュリティが最も高まります。
-
- IKE SAの有効期限 (1~24時間) をリストから選択します。これは、ネゴシエートされたキーが有効な期間です。
-
安全なゲートウェイでサポートされるIKE DHグループをリストから選択します。
-
グループ2: MODP - 1024ビット (初期設定)
-
グループ5: MODP - 1536ビット
-
グループ14: MODP - 2048ビット
上記のグループは、Diffie-Hellman (DH) グループに基づくDiffie-Hellman鍵交換 (指数鍵合意とも呼ばれる) を表しており、IKEおよびIPsec SA (Security Association) のセキュリティゲートウェイでサポートされます。
-
-
IPsecの暗号化アルゴリズムをリストから選択します。
- 暗号化なし - 暗号化アルゴリズムを使用しません。
- 3DES
- AES 128
- AES 192
- AES 256
-
IPSecの認証アルゴリズムをリストから 選択します。
- MD5
- SHA1
- SHA-256
- SHA-512
- IPsecの有効期限 (1~24時間) をリストから選択します。
-
IPsec PFSグループをリストから選択します。
- なし
- グループ2: MODP
- グループ5: MODP
- グループ14: MODP
- [保存] をクリックします。