単一ポートを使用して、セキュア・トラフィックと非セキュア・トラフィックの混合をサポートすることができます。ポートには、SECUREPORT または TTLSPORT が指定されます。単一ポートに対するさまざまなセキュリティー・ポリシーの構成をサポートするために、SECUREPORT または TTLSPORT の指定は、ポートが TLS/SSL を使用できることを示しますが、ポートが TLS/SSL を使用する必要はありません。
Telnet は、ネゴシエーションされた TLS/SSL とネゴシエーションされない TLS/SSL の両方をサポートします。ネゴシエーションされた TLS/SSL は、TN3270 プロトコルに対する IETF 定義の拡張機能です。ネゴシエーションされた TLS/SSL を使用すると、接続に TLS/SSL を使用するかどうかの決定は、TN3270 プロトコルを使用した Telnet クライアントとサーバー間のネゴシエーションの結果に基づきます。このネゴシエーションは Telnet 接続が確立された後で実行され、TLS/SSL がネゴシエーションされる場合は、TLS/SSL ハンドシェークが実行されます。ネゴシエーションされない TLS/SSL では、接続が確立された直後に TLS/SSL ハンドシェークが必要です。単一のポートが、ネゴシエーションされた TLS/SSL 接続とネゴシエーションされない TLS/SSL 接続の両方を同時に使用することができます。
図 1 は、セキュア・トラフィックと非セキュア・トラフィックの混合を可能にする単一 Telnet ポートを示しています。 イントラネット・クライアントはセキュアである必要はありません。インターネットから接続するクライアントはすべて、SSL を使用する必要があります。イントラネットおよびインターネットの両方のクライアントは、SECUREPORT として指定されたポート (この例ではポート 23) に接続されます。このシナリオでは、ユーザーの PC とファイアウォールとの間で認証に IPSec AH プロトコルが使用されます。ファイアウォールは、IPSec のみで認証されたトラフィックに対して、ポート 23 の通過を許します。ファイアウォールは、IPSec で認証できないポート 23 のトラフィックを廃棄します。このシナリオでは使用されているポートは 1 つだけなので、イントラネットとインターネットを分離するファイアウォールで IPSec なしのパケット・フィルター操作を使用して、ポート・ベースでアクセスを制御することはできません。IPSec AH がないと、すべてのアクセス制御検査は Telnet に任されます。ファイアウォールで IPSec が提供する追加のセキュリティーは、無許可アクセスの試みおよび VPN 外のホストによるサービス妨害攻撃から、z/OS® サーバーを守ります。
