事業所モデルのパート 1 は、IP 接続をインターネットに依存する 2 つのネットワークから成っています。 このサーバーは、内部ネットワーク外のホストから発信されるトラフィックを保護しようとします。このトラフィックは、ある時点でインターネットを経由してルーティングされます。
このモデルの説明では、以下のトピックを取り扱います。
図 1 は、セキュリティー・モデル・ネットワークの事業所部分を示しています。
暗号化されたデータを 2 つのホスト間で直接トランスポートするために、排他的にトランスポート・モードの IPSec が使用されます。セキュリティー・エンドポイントの 1 つが、任意数のホストに対してトラフィックをルーティングするセキュリティー・ゲートウェイである場合は、トンネル・モードの IPSec カプセル化を使用する必要があります。事業所モデルでは、あるセキュリティー・ゲートウェイの背後に複数ホストが存在する可能性があり、そのセキュリティー・ゲートウェイがその全ホスト (そのセキュリティー・ゲートウェイ背後にあるホスト) に対してセキュリティー・メカニズムを提供しています。基本的な前提事項としては、ローカル・セキュア・サーバーは単一データ・エンドポイントと単一セキュリティー・エンドポイントを表し、リモート・サブネットワークは、共通のセキュリティー・エンドポイント (つまりセキュリティー・ゲートウェイ・ホスト) を共用する複数データ・エンドポイントを表すということです。ローカル・サーバーから事業所ゲートウェイへのトラフィックは IPSec により保護されますが、事業所ゲートウェイから、セキュリティー・ゲートウェイ背後のホストへのトラフィックは、暗号化は不要であり、フィルター操作でさえも不要です。
これまでのモデルの場合と同様に、ローカル・サーバーと、事業所を表すゾーンとの間に許可されるトラフィックが、完全な IP セキュリティー・ポリシーにより定義されます。ただし、リモート・セキュリティー・エンドポイントがどこに位置しているかという点に大きな違いがあります。前の例では、すべての IPSec 保護はホスト対ホスト単位で提供されていました。 互いに通信するエンドポイントのセットのそれぞれについて、2 つのホスト (ローカルとリモート) 間通信のセキュア・チャネルを表す単一の動的 VPN がありました。これに対して、IPSec セキュリティー・ゲートウェイが関与するシナリオでは、1 つの VPN が複数ホストに対してトラフィックを運ぶことが必要な場合があります。この事業所の例では、この相違に重点を置いて説明します。
この例では、ゾーン C の事業所ネットワーク (9.6.0.0/16) から、このホスト上のパブリック IP アドレス (9.3.3.3) へのネットワーク通信を許可するために、以下の要件が満たされているものとします。事業所ネットワーク上のホストは、パブリック事業所ゲートウェイ・サーバー (9.5.5.5) を経由してインターネットに接続されます。
これらの要件を満たし、事業所モデルのパート 1 を構成するには、以下のステップを実行します。
以下に示すポリシーは、ローカル・セキュア・サーバーからゾーン C へのトラフィックの、完全な IP セキュリティー・ポリシーです。これは、再使用可能ステートメントが共通 IP セキュリティー構成ファイルに含まれていると想定しています。
#-------------------------------------------------------
# Filter Policy for Secure Server
#-------------------------------------------------------
IpFilterPolicy
{
PreDecap off
FilterLogging on
AllowOnDemand no
IpFilterGroupRef ZoneC
}
#-------------------------------------------------------
# KeyExchange Policy for Secure Server
#-------------------------------------------------------
KeyExchangePolicy
{
KeyExchangeRuleRef ZoneC_KeyExRule1
}
#-------------------------------------------------------
# LocalDynVpn Policy for Secure Server
#-------------------------------------------------------
LocalDynVpnPolicy
{
LocalDynVpnGroupRef ZoneC_BranchOfficeVPNs
}
########################################################
# Connectivity Profile
# Secure Server To Zone C
#
# Server to Trusted Branch Office Network
#
########################################################
IpFilterGroup ZoneC
{
#-------------------------------------------------------
# Permitted Zone C traffic:
# Allow IKE traffic from the gateway IKE Server
# for branch office to this host.
#
# IKE (UDP port 500) - IKE negotiations
#-------------------------------------------------------
IpFilterRule Rule1C
{
IpSourceAddrRef PublicServerAddressA1
IpDestAddrRef BranchOfficeGateway
IpServiceRef IKE
IpGenericFilterActionRef permit
}
#-------------------------------------------------------
# IPSec-protected Zone C traffic:
#
# Enterprise Extender (ports 12000-12004)
# FTP Server - SubnetC to PublicServerAddressA
#-------------------------------------------------------
IpFilterRule Rule2C
{
IpSourceAddrRef PublicServerAddressA1
IpDestAddrSetRef SubnetC
IpServiceRef Enterprise-Extender
IpServiceGroupRef FTPServer
IpGenericFilterActionRef ipsec
IpDynVpnActionRef Gold-TunnelMode
IpLocalStartActionRef StartZoneC
}
}
IpLocalStartAction StartZoneC
{
AllowOnDemand yes
RemoteSecurityEndpointRef ZoneC_IKED
}
KeyExchangeRule ZoneC_KeyExRule1
{
LocalSecurityEndpointRef Public_IKED
RemoteSecurityEndpointRef ZoneC_IKED
KeyExchangeActionRef Gold-PSK
}
#--------------------------------------------------------
# Zone C LocalDynVpnRules
#
# Setup SAs for EE traffic from branch office zone C to
# EE (UDP ports 12000-12004).
#--------------------------------------------------------
LocalDynVpnGroup ZoneC_BranchOfficeVPNs
{
LocalDynVpnRule ZoneC_VPN-EE1
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 12000
RemoteDataPort 12000
Protocol UDP
AutoActivate Yes
}
LocalDynVpnRule ZoneC_VPN-EE2
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 12001
RemoteDataPort 12001
Protocol UDP
AutoActivate Yes
}
LocalDynVpnRule ZoneC_VPN-EE3
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 12002
RemoteDataPort 12002
Protocol UDP
AutoActivate Yes
}
LocalDynVpnRule ZoneC_VPN-EE4
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 12003
RemoteDataPort 12003
Protocol UDP
AutoActivate Yes
}
LocalDynVpnRule ZoneC_VPN-EE5
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 12004
RemoteDataPort 12004
Protocol UDP
AutoActivate Yes
}
#-------------------------------------------------------
# Setup SAs for FTP traffic from branch office zone C
# to an FTP server running on this host using a dynamic
# vpn (TCP port 20, 21).
#-------------------------------------------------------
LocalDynVpnRule ZoneC_VPN-FTP-Data
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 20
RemoteDataPort 0
Protocol TCP
AutoActivate Yes
}
LocalDynVpnRule ZoneC_VPN-FTP-Control
{
LocalIpRef PublicServerAddressA1
RemoteIpSetRef SubnetC
LocalDataPort 21
RemoteDataPort 0
Protocol TCP
AutoActivate Yes
}
}