Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN

  • パッシブモードトンネリングサポート(SRX4600)—設定ステートメント set security ipsec vpn vpn-name passive-mode-tunnelingを使用して、この機能を有効にします。この機能により、通常のアクティブな IP チェック、TTL チェック、およびフラグメント化をバイパスして、不正なパケットの IPsec トンネリングを実行できます。

    [passive-mode-tunneling (security)]、 show security ipsec security-associations、 show security ipsec inactive-tunnelsを参照してください。

  • ikedプロセス(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、SRX4600、SRX5400、SRX5600、SRX5800、vSRX3.0)によるIPSec VPNにおけるSAあたりの差別化されたサービスコードポイント(DSCP)によるトラフィック分類サポートを提供します。この機能は、PowerMode IPsec(PMI)モード設定なしで IPSec VPN サービスを実行する場合に使用できます。これにより、VPN ゲートウェイは CoS タイプごとに個別の子 SA をネゴシエートできます。

    [ CoS ベースの IPsec VPNshow security ipsec security-associations、 および show security ipsec statistics を参照してください。

  • ジュニパー®セキュアな接続とJIMS(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)との統合—SRXシリーズファイアウォールは、Juniper Secure ConnectのリモートアクセスVPN 接続ステートイベントを、プッシュツーアイデンティティ管理(PTIM)ソリューションを使用して、Juniper® Identity Management Service(JIMS)に送信できます。デフォルトでは、[edit services user-identification]階層レベルでidentity-managementを使用すると、Junos OSこの機能が有効になります。

    次のオプションを使用して、この機能を設定できます。

    • no-push-to-identity-management[edit security ike gateway gateway-name aaa] 階層レベルで を使用して、JIMS との iked プロセス通信を無効にします。

    • user-domain をクリックして [edit security remote-access profile realm-name options] 、オプションでドメインエイリアス名を設定します。

    [Juniper Secure Connect JIMSID管理およびプロファイル(Juniper Secure Connect)との統合]を参照してください。

  • ポリシーベースVPNからルートベースVPN(cSRX、SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、SRX4600、SRX5400、SRX5600、SRX5800、vSRX3.0)への移行—ikedプロセスでIPSec VPNサービスを実行する際に、ポリシーベースVPNをルートベースVPNに移行します。移行を実行するには、共有ポイントツーポイント st0 論理インターフェイス上に複数のVPNオブジェクトを設定する必要があります。

    [ 共有ポイントツーポイントst0インターフェイスポリシーベースVPNからルートベースVPNへの移行を参照してください。

  • Juniper® セキュアな接続(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)のSAMLベースのユーザー認証—Juniper Secure ConnectリモートアクセスVPNは、Security Assertion Markup Language(SAML)バージョン2を使用したユーザー認証をサポートしています。SAMLを使用してリモートユーザー認証を実行するには、ファイアウォールでikedプロセスを使用してVPNサービスを実行し、SAMLがサポートするJuniper Secure Connectアプリケーションがあることを確認します。

    SAMLサービスプロバイダとプロバイダーのの設定を [edit access saml] 階層レベルで構成します。 set access profile profile-name authentication-order saml コマンドを使用して、アクセスプロファイル構成でSAML設定を有効にします。

    [Juniper Secure ConnectのSAML認証samlauthentication-order(access-profile)saml(アクセスプロファイル)、saml-optionsshow network-access aaa saml assertion-cacheshow network-access aaa statisticsrequest network-access aaa saml load-idp-metadatarequest network-access aaa saml export-sp-metadataclear network-access aaa saml assertion-cacheclearnetwork-access aaa saml idp-metadata、および clearnetwork-access aaa statistics

  • IKEv2(cSRX、MX240、MX304、MX480、MX960、MX10004、MX10008、SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)での署名認証—RFC 7427に基づくIKEv2署名認証により、ikedプロセスを使用して実行されるIPSec VPNサービスを保護します。次のオプションを使用して、この機能を有効にします。

    • digital-signature—このオプションを [edit security ike proposal proposal-name authentication-method] 階層レベルで設定して、署名認証方式を有効にします。この方法は、デバイスがピアと署名ハッシュアルゴリズムを交換する場合にのみ使用できます。

    • signature-hash-algorithm- このオプションを [edit security ike proposal proposal-name] 階層レベルで設定すると、ピアデバイスで 1 つ以上の特定のシグネチャ ハッシュ アルゴリズム(SHA1、SHA256、SHA384、および SHA512)を使用できるようになります。IKE ピアは、異なる方向に異なるハッシュ アルゴリズムを使用できることに注意してください。

    IKEv2 での署名認証プロポーザル(セキュリティ IKE)、署名 ハッシュ アルゴリズム(セキュリティ IKE)」を参照してください。