VPN プロファイルの作成
VPN 接続を確立する際のセキュリティ パラメーターを定義する VPN プロファイルを構成します。同じプロファイルを再利用して、さらに VPN トンネルを作成できます。VPN プロファイルには、VPN プロポーザル、VPN モード、認証、および IPsec VPN で使用されるその他のパラメーターが含まれます。VPNプロファイルが作成されると、Juniper Security Director Cloudは、VPNプロファイルを表すオブジェクトをデータベースに作成します。このオブジェクトを使用して、ルートベースまたはポリシーベースの IPsec VPN を作成できます。
ジュニパーネットワークス定義のVPNプロファイルを変更または削除することはできません。プロファイルのクローンを作成して新しいプロファイルを作成することのみが可能です。
VPN プロファイルでは、フェーズ 1 およびフェーズ 2 設定と呼ばれる IKE ネゴシエーション フェーズを構成することもできます。SRXシリーズファイアウォールは、IPsec VPNのIKEネゴシエーションで以下の認証方法をサポートしています。
-
事前共有鍵
-
ECDSA 証明書
-
RSA 証明書
-
DSA 証明書
定義済みの VPN プロファイルは、RSA 証明書ベースの認証に使用できます。デバイスの PKI 証明書リストは、デバイスの検出中に自動的に取得されます。
始める前に
VPN プロファイルのメイン ページを確認して、現在のデータ セットを理解します。フィールドの説明については、 を参照してください VPN プロファイルのメイン ページのフィールド 。
トピックを読む VPN プロファイルの概要 。
定義済みの VPN 構成を持つ新しい VPN プロファイルが作成されます。このオブジェクトを使用して、IPsec VPN を作成できます。
設定 |
ガイドライン |
---|---|
お名前 |
最大 255 文字の英数字(スペースなし)の一意の文字列を入力します。 文字列には、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。 |
説明 |
VPN プロファイルの最大 1024 文字を含む説明を入力します。 |
認証タイプ |
必要な認証タイプを選択します。
|
IKE バージョン |
IPsec の動的セキュリティ アソシエーション(SA)のネゴシエートに使用する必要な IKE バージョン(V1 または V2)を選択します。デフォルトでは、IKEv1が使用されます。 Juniper Security Director Cloudでは、IKEv2メッセージのフラグメント化により、IPフラグメントがブロックされ、ピアがIPsecセキュリティアソシエーション(SA)を確立できないような環境でもIKEv2を動作させることができます。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。 |
モード |
VPNモードを選択します。
|
暗号化アルゴリズム |
適切な暗号化メカニズムを選択します。 |
認証アルゴリズム |
アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。 |
デフィー・ヘルマン・グループ |
グループを選択します。 Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。 |
ライフタイム秒 |
IKE セキュリティ アソシエーション(SA)の有効期間を選択します。 有効範囲は 180 から 86400 秒です。 |
デッドピアの検出 |
このオプションを有効にすると、ピア ゲートウェイが稼働していて、IPsec 確立中にネゴシエートされたデッドピア検出(DPD)メッセージに応答しているかどうかを 2 つのゲートウェイで判断できます。 |
DPDモード |
DPD モードを選択します。
|
DPD間隔 |
デッドピア検出メッセージを送信する間隔を秒単位で選択します。 デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。 |
DPDスレッショルド |
障害DPDしきい値を選択します。 これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。 |
詳細設定 | |
General-IkeID |
一般的にピアIKE IDを受け入れるには、このオプションを有効にします。 このオプションはデフォルトで無効になっています。General IKE ID が有効な場合、IKE ID オプションは自動的に無効になります。
|
IKEv2 再認証 |
再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にすることができます。 有効範囲は 0 から 100 です。 |
IKEv2 Re フラグメント化のサポート |
このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルで断片化が発生しません。 |
IKEv2 再フラグメント サイズ |
メッセージをフラグメント化するパケットのサイズを選択します。 デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。 |
IKE ID |
以下のIKE識別子を設定します。
注:
|
NAT-T |
動的エンドポイントが NAT デバイスの背後にある場合は、ネットワーク アドレス変換トラバーサル (NAT-T) を有効にします。 |
キープアライブ |
接続を維持する期間を秒単位で選択します。 VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要です。有効範囲は 1 から 300 秒です。 |
IPsec設定 |
|
プロトコル |
VPN を確立するために必要なプロトコルを選択します。
|
暗号化アルゴリズム |
必要な暗号化方式を選択します。 これは、プロトコルがESPの場合に適用されます。 |
認証アルゴリズム |
アルゴリズムを選択します。 デバイスはこれらのアルゴリズムを使用して、パケットの信頼性と完全性を検証します。 |
Perfect Forward Secrecy |
デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を選択します。 PFSは、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは強化されますが、処理時間が長くなります。 |
トンネルの確立 |
IKE をいつアクティブにするかを指定するオプションを選択します。
|
詳細設定 |
|
VPN モニター |
インターネット制御メッセージ プロトコル(ICMP)を送信してVPNが稼働しているかどうかを判断するには、このオプションを有効にします。 |
最適化された |
このオプションを有効にすると、VPN監視を最適化し、設定されたピアからVPNトンネルを経由する発信トラフィックと着信トラフィックがない場合にのみ、ICMPエコーリクエスト(pingsとも呼ばれます)を送信するようにSRXシリーズファイアウォールを設定します。 VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。 |
アンチリプレイ |
IPsec メカニズムでこのオプションを有効にして、IPsec パケットに組み込まれた一連の数字を使用する VPN 攻撃から保護します。 IPsec は、すでに同じシーケンス番号を認識しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。 IPsec メカニズムにエラーがあり、パケットの順序が狂い、適切な機能が妨げられる場合は、このオプションを無効にします。 既定では、アンチリプレイ検出は有効になっています。 |
インストール間隔 |
キーが変更されたアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。 |
アイドルタイム |
適切なアイドル時間間隔を選択します。 セッションとそれに対応する変換は、通常、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。 |
DF ビット |
IP メッセージのフラグメント化禁止(DF)ビットを処理するオプションを選択します。
|
外部 DSCP のコピー |
このオプションを有効にすると、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに DSCP(差別化されたサービス コード ポイント)フィールドをコピーできます。 この機能を有効にする利点は、IPsec 復号化後、クリア テキスト パケットが内部サービス クラス(CoS)ルールに従うことができることです。 |
ライフタイム秒 |
IKE セキュリティ アソシエーション(SA)の有効期間を選択します。 有効範囲は 180 から 86400 秒です。 |
ライフタイムキロバイト |
IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。 有効範囲は 64 から 4294967294 キロバイトです。 |