ファイアウォール経由での IPSec トラフィックを有効にする方法

概要

IP セキュリティ (IPSec) は、コンピュータ間でデータを安全に転送するために使用されます。IP セキュリティは、OSI (Open Systems Interconnection) 参照モデルのネットワーク層 (第 3 層) で実装されています。これにより、TCP/IP プロトコル スイートの IP およびその上位のすべてのプロトコルがセキュリティで保護されます。第 3 層 で情報を保護する最も大きな利点は、IP を使用してデータ転送を行うすべてのプログラムとサービスを保護できることです。

詳細

IPSec は、元の IP ヘッダーに変更を加えることなく、通常の IP トラフィックと同じようにルーティングできます。通信するホスト間のデータ転送経路上にあるルーターやスイッチでは、単純に宛先に向けてパケットが転送されます。ただし、データ転送経路上にファイアウォールまたはゲートウェイが存在する場合、ファイアウォールで、以下の IP プロトコルおよび UDP ポートの IP 転送が有効になっている必要があります。
  • IP プロトコル ID 50 :

    入力フィルタおよび出力フィルタの両方。ESP (Encapsulating Security Protocol) トラフィックの転送が許可されている必要があります。
  • IP プロトコル ID 51 :

    入力フィルタおよび出力フィルタの両方。認証ヘッダー (AH) トラフィックの転送が許可されている必要があります。
  • UDP ポート 500 :

    入力フィルタおよび出力フィルタの両方。ISAKMP トラフィックの転送が許可されている必要があります。
ネットワーク上では、L2TP/IPSec トラフィックは IPSec トラフィックと同じです。ファイアウォールで許可する必要があるのは、IKE (UDP 500) と IPSec ESP 形式のパケット (IP プロトコル ID 50) のみです。


ファイアウォールで Kerberos トラフィックの転送を許可することが必要な場合があります。その場合は、UDP ポート 88 および TCP ポート 88 でも転送を許可する必要があります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253169 [NT]IPSec により保護されるトラフィックと保護されないトラフィック
254949 [NT] ドメイン コントローラの IPSec サポート
254728 IPSec Does Not Secure Kerberos Traffic Between Domain Controllers

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 233256 (最終更新日 2003-11-21) を基に作成したものです。
プロパティ

文書番号:233256 - 最終更新日: 2004/05/24 - リビジョン: 1

フィードバック