SonicOS/X 7 IPSec VPN
VPN 自動プロビジョニングの仕組み
VPN 自動プロビジョニングは 2 段階で動作します。
- セントラル ゲートウェイ (VPN AP サーバ) を対象とした SonicWall 自動プロビジョニング サーバの設定
- リモート ファイアウォール (VPN AP クライアント) を対象とした SonicWall 自動プロビジョニング クライアントの設定
どちらの設定も「ネットワーク | IPSec VPN > ルールと設定」ページで VPN ポリシーを追加することにより行います。
サーバ モードでは、セキュリティ関連付け (SA)、保護されたネットワーク、およびその他の設定フィールドを古典的なサイト間 VPN ポリシーと同じように設定します。クライアント モードでは、必要な設定が限られています。ほとんどの場合、リモート ファイアウォール管理者はピア サーバ (セントラル ゲートウェイ) に接続するための IP アドレスを設定するだけで済み、これで VPN を確立できます。
SonicWall では、1 台の装置に対して AP サーバと AP クライアントの設定を同時に行うことを推奨していません。
VPN 自動プロビジョニングは、クライアント側ではシンプルですが、それでも IP セキュリティに欠かせない以下の要素を備えています。
| アクセス制御 | ネットワーク アクセス制御は VPN AP サーバによって実現されます。VPN AP クライアントの観点から見ると、対象先ネットワークは完全に VPN AP サーバ管理者の管理下にあります。ただし、VPN AP クライアントのローカル ネットワークへのアクセスを制御するためのメカニズムが用意されています。 |
|---|---|
| 認証 | 認証は、マシン認証資格情報によって実現されます。IPsec プロポーザルのフェーズ 1 では、インターネット鍵交換 (IKE) プロトコルにより、事前共有鍵またはデジタル署名を用いたマシンレベルの認証が実現されます。VPN ポリシーを設定する際には、以下の認証方式のいずれかを選択できます。 |
| 事前共有鍵による認証方式では、管理者が VPN 自動プロビジョニング クライアント ID と鍵 (秘密) を入力します。デジタル署名による認証方式では、管理者がファイアウォールのローカル証明書ストアからクライアント ID を含む X.509 証明書を選択します。この証明書はファイアウォール上に前もって保存しておく必要があります。 | |
| セキュリティ向上のために、XAUTH によるユーザ レベルの資格情報がサポートされています。このユーザ資格情報は、VPN ポリシーの追加時に入力されます。XAUTH では、鍵またはマジック Cookie を使用して、ユーザ資格情報を承認レコードとして抽出します。ユーザがユーザ名とパスワードを動的に入力できるチャレンジ/レスポンスのメカニズムは使用されません。このユーザ資格情報は、追加の認証を実現するだけでなく、VPN AP クライアントによって使用されるリモート リソースやローカル プロキシ アドレスに対するさらなるアクセス制御を実現します。ユーザ資格情報を使用すると、その後のネットワーク プロビジョニングをそれまでとは別のものにすることで、単一の VPN AP サーバ ポリシーを複数の VPN AP クライアント デバイス間で共有できます。 | |
| データの機密性と整合性 | データの機密性と整合性は、IPsec プロポーザルのフェーズ 2 で、カプセル化セキュリティ ペイロード (ESP) 暗号スイートによって実現されます。 |
VPN AP クライアント設定に影響するポリシー変更が VPN AP サーバで行われると、VPN AP サーバは、IKE の re-key (キー更新) メカニズムを使用して、適切なパラメータによる新しいセキュリティ関連付けが確実に確立されるようにします。
Was This Article Helpful?
Help us to improve our support portal