z/OS® Communications Server を使用することにより、z/OS システム上の 1 つ以上の TCP/IP スタックでネットワーク・トラフィックを制御およびモニターすることができます。z/OS Communications Server の IP セキュリティーは、IP フィルタリング、IPSec、および Internet Key Exchange (IKE) をサポートします。z/OS Communications Server の IP セキュリティーは、IKEv1 および IKEv2 の 2 つのバージョンの IKE プロトコルをサポートします。詳しくは、動的鍵管理: IKE および IPSec のネゴシエーションを参照してください。
IP セキュリティー・ポリシーは、以下の保護目的で使用できます。
これらの機能は、IP 層においてパケット単位で実装されるので、どのようなネットワーク・アプリケーションも、特別な変更を必要とせずにこれらの機能を使用することができます。さらに、各アプリケーションは、基礎となっている IP セキュリティーに加えて、必要に応じて独自に追加のセキュリティー機能を実装することもできます。
IP セキュリティー・ポリシーは、z/OS Communications Server の複数のコンポーネントの協調作業により、使用可能にされ、実行され、管理され、モニターされます。
ポリシー・エージェントは、z/OS システムでの IP セキュリティーを構成するために使用します。ポリシー・エージェントは、IP セキュリティー・ポリシー構成ステートメントが入った構成ファイルを読み取り、エラーの有無を検査し、IKE デーモンと TCP/IP スタックに構成ステートメントをインストールします。
Internet Key Exchange デーモンの役割は、ポリシー・エージェントから IP セキュリティー・ポリシーを検索し、動的 IPSec VPN に関連した鍵を動的に管理することです。 このデーモンは、ローカル TCP/IP スタックの IP セキュリティーの局面に対するネットワーク管理機能も提供します。
ネットワーク・セキュリティー・サービス・デーモンは、NSS サーバー機能を提供します。この機能により、NSS IPSec 証明書サービスは、NSS IPSec クライアントの代わりにデジタル署名作成および検証の操作を実行します。NSS IPSec 証明書サービスは、IKED により、デジタル署名認証が要求されるフェーズ 1 のネゴシエーションで使用されます。
このスタックは、現在アクティブな IP フィルターと IPSec セキュリティー・アソシエーションのリストを保守し、積極的にネットワーク・トラフィックをフィルターに掛け、ネットワーク・データの暗号化と暗号化解除を制御し、そして、IPSec セキュリティー・アソシエーションの存続時間に関連したカウンターを保守します。
Traffic Regulation Manager デーモンの役割は、スタックが検出した IP セキュリティー・イベント (IP フィルター・イベントを含む)、IP セキュリティー・ポリシーに対する更新、そして、IPSec セキュリティー・アソシエーションの作成、削除、およびリフレッシュを、ログに記録することです。
システム・ロギング・デーモンは、他のすべてのコンポーネントに関するメッセージとイベントのロギングを管理します。これには、ログ・メッセージの書き込み先の管理も含まれます。
これらのコンポーネントは、IP セキュリティーの基礎を形成するテクノロジーの組み合わせを提供します。