Junos OS実行デバイスのセキュリティフローポリシーについて
Junos OSを実行しているデバイスにセキュリティフローポリシーを定義して、ネットワークパケットを検査および処理することができます。デバイスは、各ポリシーに関連付ける操作を許可、拒否、およびログに記録できます。これらの各ポリシーは、個別のネットワークインターフェイスがバインドされているゾーンに関連付けられています。
セキュリティ フロー ポリシーに以下のモードを定義して、デバイスがトラフィックを転送する方法を決定できます。
バイパス—
Permitオプションは、デバイスを通過するトラフィックをステートフルファイアウォールインスペクションを通過させますが、IPsec VPN トンネルは通過しません。破棄—
Denyオプションは、どのPermitポリシーにも一致しないすべてのパケットを検査してドロップします。保護:トラフィックは、ルート ルックアップと
Permitポリシー インスペクションの組み合わせに基づいて、IPsec トンネルを介してルーティングされます。[ログ(Log)]:このオプションは、上記のすべてのモードのトラフィックとセッション情報をログに記録します。
以下のセクションでは、これらの各モードのセキュリティポリシーを設定する方法について説明します。
ファイアウォールバイパスモードでのセキュリティフローポリシーの設定
ファイアウォール バイパス モードのセキュリティ フロー ポリシーを設定するには:
セキュリティ ポリシーを構成します。
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
手記:ここでは、
trustZoneとuntrustZoneは事前設定されたセキュリティゾーンであり、trustLanとuntrustLanは事前設定されたネットワークアドレスです。junos-sshは、SSHトラフィックを適用するためにセキュリティポリシーで設定できる、Junos OSのデフォルトの定義済みアプリケーションの一例です。
ファイアウォール破棄モードでのセキュリティポリシーの設定
ファイアウォール破棄モードのセキュリティフローポリシーを設定するには、次の手順に従います。
セキュリティ ポリシーを構成します。
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application junos-telnet user@host# set from-zone untrustZone to-zone trustZone policy policy1 then deny user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then session-close
手記:ここでは、
trustZoneとuntrustZoneは構成済みのセキュリティゾーンで、trustLanとuntrustLanは構成済みのネットワークアドレスです。junos-telnetは、Telnetトラフィックを強制するためにセキュリティポリシーで構成できる、Junos OSのデフォルトの定義済みアプリケーションの例です。
IPsec保護モードでのセキュリティフローポリシーの設定
IPSec 保護モードのセキュリティ フロー ポリシーを設定するには、次の手順に従います。
VPN を構成します。
[edit] user@host# set security ipsec vpn vpn1 ike gateway gw1 user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set security ipsec vpn vpn1 bind-interface st0.0 user@host# set routing-options static route 198.51.100.14/24 qualified-next-hop st0.0 preference 1
手記:ここでは、
gw1とipsec-policy1が事前に設定されたIKEおよびIPsecポリシーです。セキュリティ ポリシーを構成します。
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
手記:ここでは、
trustZoneとuntrustZoneは事前設定されたセキュリティ ゾーンであり、trustLanとuntrustLanは事前設定されたネットワーク アドレスです。
ステートフル セッションの動作の詳細については、「 SRX シリーズ デバイスでのトラフィック処理の概要」を参照してください。
既知の良好なリストと不良リストを設定する方法の詳細については、 セキュリティポリシーの設定を参照してください。
セキュリティ ポリシーのスケジューリングの詳細については、「 セキュリティ ポリシーのスケジューリング 」および 「ポリサー実装の概要」を参照してください。