Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN プロファイルの作成と管理

VPN 接続確立時にセキュリティパラメーターを定義するVPNプロファイルを設定します。同じプロファイルを再利用して、さらに VPN トンネルを作成できます。VPN プロファイルには、VPN プロポーザル、VPN モード、認証、および IPSec VPN で使用されるその他のパラメーターが含まれます。VPNプロファイルが作成されると、 Juniper Security Director Cloud は、VPNプロファイルを表すオブジェクトをデータベースに作成します。このオブジェクトを使用して、ルートベースまたはポリシーベースの IPsec VPN を作成できます。

手記:

ジュニパーネットワークスが定義したVPNプロファイルを変更または削除することはできません。プロファイルを複製し、新しいプロファイルを作成することしかできません。

VPN プロファイルでは、フェーズ 1 およびフェーズ 2 設定と呼ばれる IKE ネゴシエーション フェーズを構成することもできます。SRXシリーズファイアウォールは、IPSec VPNのIKEネゴシエーションで次の認証方法をサポートしています。

  • 事前共有鍵

  • ECDSA証明書

  • RSA 証明書

  • DSA 証明書

定義済みの VPN プロファイルは、RSA 証明書ベースの認証に使用できます。デバイスからの PKI 証明書リストは、デバイスの検出中に自動的に取得されます。

  1. [SRX > IPsec VPNs > VPN Profiles]をクリックします。

    [VPN プロファイル(VPN Profiles)] ページが開きます。

  2. [作成] をクリックして新しい VPN プロファイルを作成し、次のオプションのいずれかを選択します。

    • ポリシーベース サイトツーサイト

    • サイトツーサイト
    • ハブ アンド スポーク(すべてのピアの確立)
    • ハブアンドスポーク(スポークによる確立)
    • ハブアンドスポーク(ADVPN - 自動検出 VPN)
    • リモートアクセス Juniper Secure Connect
  3. 次のガイドラインに従って設定を完了します。
    表 1:VPN プロファイル設定

    設定

    ガイドライン

    名前

    スペースを入れずに最大 255 文字の英数字の一意の文字列を入力します。

    文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。

    形容

    VPN プロファイルの説明に最大 1024 文字で入力します。

    認証タイプ

    必要な認証タイプを選択します。

    • 事前共有ベース

    • RSA シグネチャ

    • DSA シグニチャ

    • ECDSA-シグネチャ-256

    • ECDSA-シグネチャ-384

    IKE バージョン

    IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用するIKEバージョン(V1またはV2)を選択します。デフォルトでは、IKEv1が使用されます。

    Juniper Security Director Cloudでは、IKEv2メッセージフラグメント化により、IPフラグメントがブロックされ、ピアがIPsecセキュリティアソシエーション(SA)を確立できないような環境でもIKEv2を動作させることができます。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。

    モード

    VPNモードを選択します。

    • メイン:サイトツーサイト VPN を構築する際に VPN を確立する最も一般的で安全な方法です。IKE ID は暗号化されており、盗聴者が特定することはできません。

    • アグレッシブ—これは、メインモードIPsecネゴシエーションの代替手段です。これは、クライアントワークステーションからVPNゲートウェイにVPNを構築する場合に最も一般的なモードで、クライアントのIPアドレスが事前にわからず、固定もされません。

    暗号化アルゴリズム

    適切な暗号化メカニズムを選択します。

    認証アルゴリズム

    アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

    デフィー・ヘルマン・グループ

    グループを選択します。

    Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

    存続期間の秒数

    有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。

    有効範囲は 180 秒から 86400 秒です。

    デッド ピアの検出

    このオプションを有効にすると、2 つのゲートウェイが、ピア ゲートウェイが起動していて、IPsec 確立中にネゴシエートされたデッド ピア検出(DPD)メッセージに応答しているかどうかを判断できます。

    DPD モード

    DPDモードを選択します。

    • [最適化(Optimized)]:デバイスがピアに発信パケットを送信した後、設定された間隔内に IKE または IPsec トラフィックがない場合、R-U-THERE メッセージがトリガーされます。これはデフォルトのモードです。

    • プローブアイドルトンネル:設定された間隔内に着信または発信IKEまたはIPsec トラフィックがない場合、R-U-THEREメッセージがトリガーされます。R-U-THERE メッセージは、トラフィック アクティビティがあるまで、ピアに定期的に送信されます。

    • Always-send:R-U-THERE メッセージは、ピア間のトラフィック アクティビティに関係なく、設定された間隔で送信されます。

    DPD 間隔

    検出メッセージを送信する間隔を秒単位で選択しを送信する間隔を秒単位で選択します。

    デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。

    DPD しきい値

    失敗 DPD しきい値を選択します。

    これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。
    詳細設定

    一般 - IkeID

    このオプションを有効にすると、一般的にピアIKE IDが受け入れられます。

    このオプションはデフォルトで無効になっています。[General IKE ID] が有効になっている場合、[IKE ID] オプションは自動的に無効になります。

    • このオプションは、アグレッシブ VPN モードでは使用できません。

    • 自動 VPN と ADVPN に対して [一般 IKE ID] オプションが有効になっている VPN プロファイルを使用することはできません。

    IKEv2再認証

    再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にできます。

    有効範囲は 0 から 100 です。

    IKEv2 Re フラグメント化のサポート

    このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルでフラグメント化が発生しなくなります。

    IKEv2 再フラグメント サイズ

    メッセージがフラグメント化されるパケットのサイズを選択します。

    デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。

    IKE ID

    以下のIKE識別子を設定します。

    • [ホスト名(Hostname)]:ホスト名または FQDN は、エンド システムを識別する文字列です。

    • User@hostname - 電子メール アドレスと同じ形式の単純な文字列。

      [ユーザ(User)]:ユーザの電子メール アドレスを入力します。管理を容易にするために、ユーザーの有効な電子メール アドレスを使用することをお勧めします。

    • IPAddress—これは、サイト間 VPN の IKE ID の最も一般的な形式です。

      これは、IPv4 アドレスまたは IPv6 アドレスのいずれかです。このオプションは、VPN モードが [アグレッシブ] で、認証タイプが [事前共有キー] の場合にのみ使用できます。

    • DN:証明書で一意のユーザーを識別するために証明書で使用される識別名。

      このオプションは、RSA、DSA、および ECDSA 署名認証タイプでのみ使用できます。

    手記:

    • [事前共有キー(Preshared Key)] 認証タイプの場合:

      • [General IKE ID] オプションを有効にしている場合、[IKE ID] オプションは自動的に [なし] に設定され、このオプションを編集することはできません。

      • IPSec VPNを変更するときに、[一般的なIKE ID]オプションを有効にしてVPNプロファイルを選択した場合、[トンネルの表示/編集]ページの[IKE ID]列を編集できません。

    • 証明書ベースの認証タイプの場合:

      • 証明書の認証には local-identity CLI が使用されるため、[General IKE ID] オプションを有効にしている場合でも、[IKE ID] オプションを編集できます。

      • IPSec VPN を変更するときに、[General IKE ID] オプションを有効にして VPN プロファイルを選択している場合は、[トンネルの表示/編集(View/Edit Tunnel)] ページの [IKE ID] 列を編集できます。

    NAT-T

    動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

    キープアライブ

    接続を維持するための期間を秒単位で選択します。

    NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。有効な範囲は 1 から 300 秒です。

    IPsec 設定

    議定書

    VPNを確立するために必要なプロトコルを選択します。

    • ESP—ESP(セキュリティ ペイロードのカプセル化)プロトコルが、暗号化と認証の両方を提供します。

    • AH—AH(認証ヘッダー)プロトコルは、データの整合性とデータ認証を提供します。

    暗号化アルゴリズム

    必要な暗号化方式を選択します。

    これは、プロトコルが ESP の場合に適用されます。

    認証アルゴリズム

    アルゴリズムを選択します。

    デバイスは、これらのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

    完全転送機密保持

    デバイスが暗号化キーの生成に使用する方法として、Perfect Forward Secrecy(PFS)を選択します。

    PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。

    トンネルの確立

    IKE をいつアクティブにするかを指定するオプションを選択します。

    • [即時(Immediately)]:vpn 設定の変更がコミットされた直後に IKE がアクティブになります。

    • オントラフィック—IKEは、データトラフィックフロー時にのみアクティブになり、ピア ゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

    詳細設定

    VPN モニター

    このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信してVPNが稼働しているかどうかを判別できます。

    最適化

    VPN監視を最適化し、VPNトンネルを介して設定されたピアからの発信トラフィックがあり、受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれる)を送信するようにSRXシリーズファイアウォールを設定するには、このオプションを有効にします。

    VPNトンネルを経由する受信トラフィックがある場合、SRXシリーズファイアウォールはトンネルをアクティブとみなし、ピアにpingを送信しません。

    アンチリプレイ

    IPsec パケットに組み込まれた一連の番号を使用する VPN 攻撃から保護するために、IPsec メカニズムのためにこのオプションを有効にします。

    IPsec は、同じシーケンス番号が既に確認されているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。

    IPsec メカニズムでエラーが発生し、パケットの順序が乱れ、適切な機能が妨げられる場合は、このオプションを無効にします。

    デフォルトでは、アンチリプレイ検出は有効になっています。

    インストール間隔

    キーを再設定したアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

    アイドル時間

    適切なアイドル時間間隔を選択します。

    通常、セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

    DF ビット

    IP メッセージの DF(Don't Fragment)ビットを処理するオプションを選択します。

    • [クリア(Clear)]:IP メッセージからの DF ビットを無効にします。これはデフォルトのオプションです。

    • コピー—IP メッセージに DF ビットをコピーします。

    • [設定(Set)]:IP メッセージの DF ビットを有効にします。

    外部 DSCP をコピー

    このオプションを有効にすると、差別化されたサービス コード ポイント(DSCP)フィールドを、外部 IP ヘッダー暗号化パケットから復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージにコピーできるようになります。

    この機能を有効にするメリットは、IPsec 復号化後、クリア テキスト パケットが内部 CoS(サービス クラス)ルールに従うことができることです。

    存続期間の秒数

    有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。

    有効範囲は 180 秒から 86400 秒です。

    ライフタイム キロバイト

    IPsec セキュリティ アソシエーション(SA)の有効期間をキロバイト単位で選択します。

    有効な範囲は 64 から 4294967294 キロバイトです。

事前定義された vpn 設定を含む新しい VPN プロファイルが作成されます。このオブジェクトを使用して、IPsec VPN を作成できます。

VPN プロファイルの管理

カスタム IPSec VPN プロファイルを編集または複製できます。以前のリリースから移行された VPN プロファイルを編集または複製する場合は、VPN プロファイルの VPN トポロジを選択する必要があります。ジュニパーネットワークスの事前定義済み VPN プロファイルは変更または削除できません。プロファイルを複製し、新しいプロファイルを作成することしかできません。

  • [編集(Edit)]:プロファイルを選択し、[ ()] をクリックします。IPSec VPN の作成時に VPN トポロジーを選択します。以前のリリースから移行された VPN プロファイルを編集する場合は、VPN プロファイルの VPN トポロジを選択する必要があります。

  • [複製(Clone)]:プロファイルを選択し、[その他の複製(More > Clone)] をクリックします。