次のガイドラインでは、既定の拒否ルールを構成するタイミングについて説明します。
送信元アドレスは、マルチキャスト ネットワーク、ループバック アドレス、またはマルチキャスト アドレスで定義されます。
パケットの送信元アドレスまたは宛先アドレスは、リンクローカル アドレス、IPv4 の RFC 5735 で指定されている「将来の使用のために予約済み」のアドレス、IPv6 の RFC 3513 で指定されている「未指定のアドレス」または「将来の定義と使用のために予約済み」のアドレスです。
違法または順序が正しくない TCP パケットを受信しました。
開始する前に、Junos OSリリース20.2R1を実行しているJunos OSデバイスに自分のルートアカウントでログインし、設定を編集します。
メモ:
コンフィギュレーション コマンドは任意の順序で入力でき、すべてのコマンドを一度にコミットできます。
- セキュリティ画面の機能を設定し、IPアドレススプーフィングIDSオプションを有効にします。
[edit]
user@host# set security screen ids-option trustScreen ip spoofing
- セキュリティ フロー機能を設定して、ドロップされた違法パケットをログに記録します。
[edit]
user@host# set security flow log dropped-illegal-packet
- 予約済みアドレスをブロックするルールを構成します。
[edit]
user@host# set security flow advanced-options drop-matching-reserved-ip-address
メモ:
set security flow advanced-optionsdrop-matching-reserved-ip-addressコマンドを実行した後、SRXデバイスへのローカルリンク上の各ホストにネイバーキャッシュエントリを作成する必要があります。たとえば、Linuxホストでは、次のコマンドを入力します。 ここで、 2001:db8:c18:1::2 は隣接するSRXインターフェイスのIPv6アドレス、 2c:6b:f5:69:ce:00 は隣接するSRXインターフェイスのMACアドレスです。ip -6 neigh add 2001:db8:c18:1::2 lladdr 2c:6b:f5:69:ce:00 dev eth1また、次の例に示すように、SRXデバイス上にローカルリンク上のすべてのホストのネイバーキャッシュエントリーを作成する必要があります。
interfaces {
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:c18:1::2/64 {
ndp 2001:db8:c18:1::3 mac 00:0c:29:97:70:a5;
}
}
}
}
}
例では、 2001:db8:c18:1::2 はSRX ge-0/0/0インターフェイスのIPv6アドレスであり、 はローカルリンク上のホストであり00:0c:29:97:70:a5、2001:db8:c18:1::3はそのホストのMACアドレスです。
- セキュリティゾーンの名前と、ゾーンに適用されるIDSオプションオブジェクトを指定します。
[edit]
user@host# set security zones security-zone trustZone screen trustScreen
- 必須の TCP 拒否ルールを構成します。
[edit]
user@host# set security flow tcp-session strict-syn-check
