管理機能
ファイアウォールを設定する場合
指定できるIPアドレス(IPアドレスの範囲)はIPv4とIPv6とでそれぞれ最大16です。
通信制限可能なプロトコルはTCP、UDP、ICMPです。
指定できるMACアドレスは最大32です。
IPSecについて
本機のIPSecはRFC2401、RFC2402、RFC2406、RFC4305に準拠しています。
|
対抗機器のOS
|
Windows Vista/7/8/Server 2008/Server 2012
|
|
|
接続モード
|
トランスポートモード
|
|
|
鍵交換プロトコル
|
IKEv1(メインモード)
|
|
|
認証方式
|
事前共有鍵方式
電子署名方式
|
|
|
ハッシュアルゴリズム
(および鍵長) |
HMAC-SHA1-96
HMAC-SHA2(256 ビットまたは384 ビット)
|
|
|
暗号化アルゴリズム
(および鍵長) |
3DES-CBC
AES-CBC(128 ビット、192 ビット、256 ビット)
|
|
|
鍵交換アルゴリズム/グループ(および鍵長)
|
Diffie-Hellman (DH)
Group 1(768 ビット)
Group 2(1024 ビット)
Group 14(2048 ビット)
|
|
|
ESP
|
ハッシュアルゴリズム
|
HMAC-SHA1-96
|
|
暗号化アルゴリズム
(および鍵長) |
3DES-CBC
AES-CBC(128 ビット、192 ビット、256 ビット)
|
|
|
ハッシュ/暗号化アルゴリズム(および鍵長)
|
AES-GCM(128 ビット、192 ビット、256 ビット)
|
|
|
AH
|
ハッシュアルゴリズム
|
HMAC-SHA1-96
|
 |
|
ユニキャストアドレス(単一の相手)に対する通信だけに対応しています。
本機でIPSecを使用するときは、DHCPv6は使用できません。
NATやIPマスカレードを導入しているネットワークでは使用できません。
|
鍵と証明書の登録について
本機で生成できる鍵と証明書は、X.509v3に対応します。鍵やCA証明書をパソコンからインストールする場合は、次の条件を満たしているか確認してください。
|
形式
|
鍵:PKCS#12*1
CA証明書:X.509v1またはX.509v3、DER(バイナリーエンコード)、PEM
|
|
ファイルの拡張子
|
鍵:「.p12」または「.pfx」
CA証明書:「.cer」または「.pem」
|
|
公開鍵のアルゴリズム
(および鍵長) |
RSA(512 ビット、1024 ビット、2048 ビット、4096 ビット)、ECDSA(P256、P384、P521)
|
|
証明書の署名アルゴリズム
|
SHA1-RSA、SHA256-RSA、SHA384-RSA*2、SHA512-RSA*2、MD5-RSA、MD2-RSA、SHA1-ECDSA、SHA256-ECDSA、SHA384-ECDSA、SHA512-ECDSA
|
|
証明書の拇印アルゴリズム
|
SHA1
|
|
*1鍵に含まれている証明書は、CA証明書の動作条件に準じます。
*2SHA384-RSAおよびSHA512-RSAは、RSAの鍵長が 1024 ビット以上の場合にだけ使用できます。
|
|
|
|
証明書失効リスト(CRL)には対応しておりません。
|
「弱い暗号」の定義について
<弱い暗号の使用を禁止>を<ON>にしたとき、使用禁止の対象となるアルゴリズムは次のとおりです。
|
ハッシュ
|
MD4、MD5、SHA-1
|
|
HMAC
|
HMAC-MD5
|
|
共通鍵暗号
|
RC2、RC4、DES
|
|
公開鍵暗号
|
RSA暗号(512 ビット/1024 ビット)、RSA署名(512 ビット/1024 ビット)、DSA(512 ビット/1024 ビット)、DH(512 ビット/1024 ビット)
|
|
|
|
<弱い暗号の鍵/証明書禁止>/<弱い暗号を用いた鍵/証明書の使用を禁止>を<ON>にしても、ルート証明書の署名に使われるハッシュアルゴリズムSHA-1は使用できます。
|
設定データのインポート/エクスポートについて
設定メニュー一覧を参照してください。