Junos OS実行デバイスのセキュリティフローポリシーについて
Junos OS搭載デバイスのセキュリティフローポリシーの概要
Junos OSを実行しているデバイスにセキュリティフローポリシーを定義して、ネットワークパケットを検査および処理することができます。デバイスは、各ポリシーに関連付ける操作を許可、拒否、およびログに記録できます。これらの各ポリシーは、個別のネットワークインターフェイスがバインドされているゾーンに関連付けられています。
セキュリティ フロー ポリシーに以下のモードを定義して、デバイスがトラフィックを転送する方法を決定できます。
バイパス—このオプションは
Permit
、デバイスを通過するトラフィックをステートフルファイアウォールインスペクションを介して誘導しますが、IPsec VPNトンネルを介しては誘導しません。破棄—このオプションは
Deny
、どのPermit
ポリシーにも一致しないすべてのパケットを検査してドロップします。保護:トラフィックは、ルート ルックアップと
Permit
ポリシー インスペクションの組み合わせに基づいて、IPsec トンネルを介してルーティングされます。[ログ(Log)]:このオプションは、上記のすべてのモードのトラフィックとセッション情報をログに記録します。
以下のセクションでは、これらの各モードのセキュリティポリシーを設定する方法について説明します。
ファイアウォールバイパスモードでのセキュリティフローポリシーの設定
ファイアウォール バイパス モードのセキュリティ フロー ポリシーを設定するには:
セキュリティ ポリシーを構成します。
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
メモ:ここで、 と
untrustZone
は事前設定されたセキュリティゾーンであり、trustLan
trustZone
とuntrustLan
は事前設定されたネットワークアドレスです。junos-ssh
は、SSHトラフィックを強制するために上記の例のオプションの代わりにany
セキュリティポリシーで設定できるJunos OSのデフォルトの定義済みアプリケーションの例です。
ファイアウォール破棄モードでのセキュリティポリシーの設定
ファイアウォール破棄モードのセキュリティフローポリシーを設定するには、次の手順に従います。
セキュリティ ポリシーを構成します。
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application junos-telnet user@host# set from-zone untrustZone to-zone trustZone policy policy1 then deny user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then session-close
メモ:ここで、 と
untrustZone
は事前設定されたセキュリティゾーンであり、trustLan
trustZone
untrustLan
と は事前設定されたネットワークアドレスです。junos-telnet
は、Telnetトラフィックを強制するためにセキュリティポリシーで設定できるJunos OSのデフォルトの定義済みアプリケーションの例です。
IPsec保護モードでのセキュリティフローポリシーの設定
IPsec 保護モードのセキュリティ フロー ポリシーを設定するには、次の手順に従います。
VPN を構成します。
[edit] user@host# set security ipsec vpn vpn1 ike gateway gw1 user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set security ipsec vpn vpn1 bind-interface st0.0 user@host# set routing-options static route 198.51.100.14/24 qualified-next-hop st0.0 preference 1
メモ:ここでは、
gw1
およびipsec-policy1
が事前に設定されたIKEおよびIPsecポリシーです。セキュリティ ポリシーを構成します。
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
メモ:ここで、 と
untrustZone
は事前設定されたセキュリティゾーンであり、trustZone
trustLan
と はuntrustLan
事前設定されたネットワークアドレスである。
ステートフル セッション動作の詳細については、 SRXシリーズデバイスでのトラフィック処理の概要を参照してください。
既知の良好なリストと不良リストを設定する方法の詳細については、 セキュリティポリシーの設定を参照してください
セキュリティポリシーのスケジューリングの詳細については、 セキュリティポリシーのスケジューリング と ポリサー実装の概要を参照してください。