ブロックの規則または許可の規則の場合を除き、IP フィルター一覧は、発信元、宛先、および IP トラフィックの種類との一致に基づいて、セキュリティ ネゴシエーションを発生させます。この種の IP パケット フィルター処理では、セキュリティで保護する IP トラフィックを管理者が明確に定義できます。各 IP フィルター一覧には、1 つ以上のフィルターが含まれ、IP アドレスとトラフィックの種類が定義されています。1 つの IP フィルター一覧は、複数の通信シナリオで使用できます。
IPsec は、フィルター一覧で指定されているコンピューターに対して受信フィルターと送信フィルターの両方を必要としますが、ブロックまたは許可の規則は例外です。受信フィルターは着信トラフィックに適用され、受信側のコンピューターが、セキュリティで保護された通信の要求に応答したり、IP フィルター一覧を基準にしてトラフィックを照合できるようにします。送信フィルターは、コンピューターから送信されるトラフィックに適用され、トラフィックが送信される前にセキュリティ ネゴシエーションを実行します。
[ミラー化] チェック ボックスを使用すると、フィルターの設定に基づいて 2 つのフィルターが自動的に作成されます。1 つは宛先へのトラフィック用で、もう 1 つは宛先からのトラフィック用です。これにより、他のコンピューターとの双方向の通信が可能です。
フィルター一覧の設定
フィルター一覧 (およびフィルター操作) は、ポリシーを作成するとき、またはポリシーを作成する前に定義できます。どのポリシーでもフィルター一覧を使用できます。フィルター一覧を定義するには、[IP セキュリティ ポリシー] ノードを右クリックし、[IP フィルター一覧とフィルター操作の管理] をクリックします。
各フィルターは、トラフィックをセキュリティで保護する (認証、データの整合性、またはデータの暗号化を使用する)、トラフィック全体をブロックする、または許可する (認証、データの整合性、またはデータの暗号化を使用しない) ことによって、フィルター操作の処理対象である受信または送信ネットワーク トラフィックのサブセットを定義します。フィルターには、関連付けられた規則が適用されるすべてのトラフィックを対象として含める必要があります。フィルターには次のような設定があります。
- IP パケットの発信元と宛先のアドレス。IPsec ピアに割り当てたすべての IP アドレス、単一の IP アドレス、DNS 名による IP アドレス、またはアドレスのグループを構成して IP サブネットを指定できます。
- パケットの転送に使用されるプロトコル。TCP/IP プロトコル群のすべてのプロトコルを自動的に対象に含めます。ただし、特別な要件を満たすために個別のプロトコル (独自のプロトコルを含む) について構成することができます。
- TCP および UDP 用のプロトコルの発信元および宛先のポート。既定では、すべての TCP ポートと UDP ポートが対象に含まれますが、特定の TCP ポートまたは UDP ポートにのみ適用されるように構成できます。
重要 | |
DNS 名の解決は、フィルター一覧が作成され、その後更新されていない場合にのみ行われます。このため、IP アドレスが変更された場合、ポリシーは更新されません。IP アドレスを更新するには、ポリシーを編集する必要があります。 |
[新しい規則のプロパティ] ダイアログ ボックスを使用してフィルター一覧を作成するには |
[<IP セキュリティ ポリシー名>のプロパティ] ダイアログ ボックスで、正しい IP セキュリティの規則を選択し、[編集] をクリックします。または、[追加] をクリックすると新しい規則を作成できます。
プロパティ ダイアログ ボックスを使用してフィルター一覧を作成する場合は、[IP フィルター一覧] タブで、[追加ウィザードを使用] チェック ボックスをオフにします。ウィザードを使用する場合は、チェック ボックスをオンのままにしておきます。[追加] をクリックします。以下に、ダイアログ ボックスを使用してフィルター一覧を作成するときの手順を示します。
[IP フィルターのプロパティ] ダイアログ ボックスの [アドレス] タブで、発信元 (ローカル) の IP アドレスと宛先 (つまり IPsec ピア) の IP アドレスを選択します。
[プロトコル] タブで、このフィルターで一致させるプロトコルの種類を選択します。
(省略可能) [説明] タブで、フィルターの説明を入力します。この説明を参照すると、フィルターを並べ替えるときに、プロパティを開かずにフィルターをすばやく識別できます。
[OK] をクリックします。
手順 4. ~ 8. を繰り返して一覧にさらにフィルターを追加します。
[IP ファイル一覧] ダイアログ ボックスで、フィルター一覧の説明用の名前を入力します。[OK] をクリックしてフィルター一覧を規則に追加します。
[新しい規則のプロパティ] ダイアログ ボックスで、フィルター一覧を選択します。
[IP フィルター一覧とフィルター操作の管理] ダイアログ ボックスを使用してフィルター一覧を作成するには |
[IP セキュリティ ポリシー] ノードを右クリックし、[IP フィルター一覧とフィルター操作の管理] をクリックします。
[IP フィルター一覧の管理] タブで、[追加] をクリックします。
プロパティ ダイアログ ボックスを使用してフィルター一覧を作成する場合は、[IP フィルター一覧] ダイアログ ボックスで、[追加ウィザードを使用] チェック ボックスをオフにします。ウィザードを使用する場合は、チェック ボックスをオンのままにしておきます。[追加] をクリックします。以下に、ダイアログ ボックスを使用してフィルター一覧を作成するときの手順を示します。
[IP フィルターのプロパティ] ダイアログ ボックスの [アドレス] タブで、発信元 (ローカル) の IP アドレスと宛先 (つまり IPsec ピア) の IP アドレスを選択します。
[プロトコル] タブで、このフィルターで一致させるプロトコルの種類を選択します。
(省略可能) [説明] タブで、フィルターの説明を入力します。この説明を参照すると、フィルターを並べ替えるときに、プロパティを開かずにフィルターをすばやく識別できます。
[OK] をクリックします。
手順 4. ~ 8. を繰り返して一覧にさらにフィルターを追加します。
[IP フィルター一覧] ダイアログ ボックスで、フィルター一覧の名前として説明的な名前を入力します。[OK] をクリックしてフィルター一覧を規則に追加します。