Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS実行デバイスのセキュリティフローポリシーについて

Junos OS搭載デバイスのセキュリティフローポリシーの概要

Junos OSを実行しているデバイスにセキュリティフローポリシーを定義して、ネットワークパケットを検査および処理することができます。デバイスは、各ポリシーに関連付ける操作を許可、拒否、およびログに記録できます。これらの各ポリシーは、個別のネットワークインターフェイスがバインドされているゾーンに関連付けられています。

セキュリティ フロー ポリシーに以下のモードを定義して、デバイスがトラフィックを転送する方法を決定できます。

  • バイパス—このオプションは Permit 、デバイスを通過するトラフィックをステートフルファイアウォールインスペクションを介して誘導しますが、IPsec VPNトンネルを介しては誘導しません。

  • 破棄—このオプションは Deny 、どの Permit ポリシーにも一致しないすべてのパケットを検査してドロップします。

  • 保護:トラフィックは、ルート ルックアップと Permit ポリシー インスペクションの組み合わせに基づいて、IPsec トンネルを介してルーティングされます。

  • [ログ(Log)]:このオプションは、上記のすべてのモードのトラフィックとセッション情報をログに記録します。

以下のセクションでは、これらの各モードのセキュリティポリシーを設定する方法について説明します。

ファイアウォールバイパスモードでのセキュリティフローポリシーの設定

ファイアウォール バイパス モードのセキュリティ フロー ポリシーを設定するには:

  • セキュリティ ポリシーを構成します。

    メモ:

    ここで、 と untrustZone は事前設定されたセキュリティゾーンであり、 trustLan trustZoneuntrustLan は事前設定されたネットワークアドレスです。junos-sshは、SSHトラフィックを強制するために上記の例のオプションの代わりにanyセキュリティポリシーで設定できるJunos OSのデフォルトの定義済みアプリケーションの例です。

ファイアウォール破棄モードでのセキュリティポリシーの設定

ファイアウォール破棄モードのセキュリティフローポリシーを設定するには、次の手順に従います。

  • セキュリティ ポリシーを構成します。

    メモ:

    ここで、 と untrustZone は事前設定されたセキュリティゾーンであり、 trustLan trustZone untrustLan と は事前設定されたネットワークアドレスです。junos-telnetは、Telnetトラフィックを強制するためにセキュリティポリシーで設定できるJunos OSのデフォルトの定義済みアプリケーションの例です。

IPsec保護モードでのセキュリティフローポリシーの設定

IPsec 保護モードのセキュリティ フロー ポリシーを設定するには、次の手順に従います。

  1. VPN を構成します。

    メモ:

    ここでは、 gw1 および ipsec-policy1 が事前に設定されたIKEおよびIPsecポリシーです。

  2. セキュリティ ポリシーを構成します。

    メモ:

    ここで、 と untrustZone は事前設定されたセキュリティゾーンであり、 trustZone trustLan と はuntrustLan事前設定されたネットワークアドレスである。

ステートフル セッション動作の詳細については、 SRXシリーズデバイスでのトラフィック処理の概要を参照してください。

既知の良好なリストと不良リストを設定する方法の詳細については、 セキュリティポリシーの設定を参照してください

セキュリティポリシーのスケジューリングの詳細については、 セキュリティポリシーのスケジューリングポリサー実装の概要を参照してください。