条件付きフィルターをスタックにインストールするには、IP セキュリティー機能を使用可能にする必要があります。IP セキュリティー機能が使用可能になっていないが、条件付きフィルターを使用したい場合は、次のステップを実行してください。
- TCP/IP プロファイル内の IPCONFIG ステートメントに IPSECURITY パラメーターを指定します。
- ネットワーク内に IPv6 トラフィックがあり、IPv6 用の条件付きフィルターを使用したい場合は、TCP/IP プロファイル内の IPCONFIG6 ステートメントに IPSECURITY パラメーターを指定します。
- TCP/IP プロファイル内の IPSEC ステートメントを使用して、TCP/IP プロファイル内にデフォルトの IP セキュリティー・フィルター・ポリシーを構成します。
ヒント: IPv4 トラフィックを許可するには、すべてのトラフィックを許可する IPSEC ステートメントの単一規則を構成することができます。以下の例は、フィルター一致ロギングを行わずに、すべての IPv4 トラフィックを許可します。
IPSEC
; Rule SourceIp DestIp Logging Prot SrcPort DestPort Routing Secclass
;
; Permit all local and routed IPv4 traffic, no logging.
IPSECR * * NOLOG PROTO * ROUTING EITHER
ENDIPSEC
IPSEC ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。
- オプションとして、ポリシー・エージェント用のフラット・ファイルに一層包括的な IP セキュリティー・ポリシーを構成して、インストールと管理を行います。
IPSec の暗号化および認証は、ポリシー・エージェントのフラット・ファイルにのみ構成することができます。
ヒント: z/OS® Communications Server の Configuration Assistant を使用して、IP セキュリティー・ポリシーのフラット・ファイルを作成できます。
IP セキュリティー・ポリシーの構成について詳しくは、ポリシー・ベースのネットワーキングおよびIP セキュリティーを参照してください。
重要: IP セキュリティー機能を使用可能にする場合は、IP セキュリティー・ポリシーを構成する必要があります。TCP/IP プロファイルに IPSECURITY を指定して、IP セキュリティー・ポリシーを構成しないと、インバウンドおよびアウトバウンドのトラフィックがすべて破棄されます。