以下のガイドラインでは、デフォルトの拒否ルールをどのような場合に設定すべきかについて説明します。
送信元アドレスは、マルチキャスト ネットワーク、ループバック アドレス、またはマルチキャストアドレスで定義されます。
パケットの送信元または宛先アドレスは、リンクローカル アドレス、IPv4 の RFC 5735 で指定されている「将来の使用のために予約されている」アドレス、IPv6 の RFC 3513 で指定されている「未指定のアドレス」または「将来の定義と使用のために予約済み」のアドレスです。
違法または順序を逸脱したTCPパケットを受信しました。
-
開始する前に、Junos OS リリース 22.2R1 を実行している Junos OS デバイスに root アカウントでログインし、設定を編集します。
手記:
コンフィギュレーション コマンドを任意の順序で入力し、すべてのコマンドを一度にコミットできます。
- セキュリティ画面機能を設定し、IPアドレススプーフィングIDSオプションを有効にします。
[edit]
user@host# set security screen ids-option trustScreen ip spoofing
- セキュリティ フロー機能を設定して、ドロップされた不正なパケットをログに記録します。
[edit]
user@host# set security flow log dropped-illegal-packet
- 予約済みアドレスをブロックするようにルールを構成します。
[edit]
user@host# set security flow advanced-options drop-matching-reserved-ip-address
手記:
コマンドを set security flow advanced-options drop-matching-reserved-ip-address 実行した後、SRX デバイスへのローカル リンク上の各ホストにネイバー キャッシュ エントリーを作成する必要があります。たとえば、Linuxホストでは、以下のコマンドを入力しますip -6 neigh add 2001:db8:c18:1::2 lladdr 2c:6b:f5:69:ce:00 dev eth1 。ここで、 2001:db8:c18:1::2 は隣接するSRXインターフェイスのIPv6アドレス、 2c:6b:f5:69:ce:00 は隣接するSRXインターフェイスのMACアドレスです。また、以下の例に示すように、ローカルリンク上のすべてのホストのSRXシリーズファイアウォール上にネイバーキャッシュエントリーを作成する必要があります。
interfaces {
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:c18:1::2/64 {
ndp 2001:db8:c18:1::3 mac 00:0c:29:97:70:a5;
}
}
}
}
}
この例では、 2001:db8:c18:1::2 がSRX ge-0/0/0インターフェイスのIPv6アドレス、 2001:db8:c18:1::3 がローカルリンク上のホスト、 00:0c:29:97:70:a5 がそのホストのMACアドレスとなっています。
- セキュリティ ゾーンの名前と、ゾーンに適用される IDS オプション オブジェクトを指定します。
[edit]
user@host# set security zones security-zone trustZone screen trustScreen
- 必須のTCP拒否ルールを設定します。
[edit]
user@host# set security flow tcp-session strict-syn-check
