Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール ポリシーの概要

Contrail Service Orchestration(CSO)は、ファイアウォールポリシーに関連付けられたファイアウォールポリシーインテントを作成、変更、削除する機能を提供します。ファイアウォールポリシーは 、インテントベースのポリシーとして表示されます。ファイアウォールポリシーインテントは、インテントで定義されたエンドポイントから派生したコンテキスト内でトランジットトラフィックを制御します。インテントベースのファイアウォールポリシーは、トランスポートレイヤー(レイヤー4)とアプリケーションレイヤー(レイヤー7)の両方のファイアウォール構成を単一のインテントに組み込むことができます。基盤となるシステムは、インテントを自動的に分析し、デバイスが理解する一連のルールに変換します。シーケンスと割り当ての選択は、インテント定義内のエンドポイントに基づいて暗黙的に行われます。インテントは、送信元と宛先のエンドポイントで構成されています。エンドポイントには、アプリケーション(L7)、サイトまたはサイト グループ、IP アドレス/アドレスグループ、サービス、部門などがあります。

メモ:

  • CSOリリース5.0.1以降で、デバイス(CPEまたは次世代ファイアウォール)がJunos OSリリース18.2R1以降を実行している場合、ファイアウォールポリシーは統合ファイアウォールポリシーとして機能します。統合型ファイアウォール ポリシーでは、動的アプリケーションを既存の一致条件と共に一致条件として使用できます。そのため、アプリケーションへのトラフィックを許可またはブロックするために、デバイスに個別のアプリケーション ファイアウォールが構成されていません。

    ただし、デバイスがJunos OSリリース18.2R1より前のバージョンを実行している場合、ファイアウォールポリシーは統合型ファイアウォールポリシーとして機能せず、アプリケーションファイアウォールはデバイス上で引き続き設定されます。

    統合ファイアウォールポリシーの詳細については、「 統合セキュリティ ポリシー」を参照してください。

ファイアウォールポリシーは、デバイスを通過するトラフィックにインテントを適用することで、セキュリティ機能を提供します。ファイアウォールポリシーインテントとして定義されたアクションに基づいて、トラフィックが許可または拒否されます。

ファイアウォールポリシーは、以下の機能を提供します。

  • 使用中のアプリケーションに基づいてトラフィックを許可、拒否、または拒否します。

  • HTTP だけでなく、その上で実行されているアプリケーションも特定し、ポリシーを適切に適用できます。たとえば、アプリケーションファイアウォールのインテントは、FacebookからのHTTPトラフィックをブロックできますが、Microsoft OutlookからのHTTPトラフィックへのWebアクセスを許可します。

  • 以下の 1 つ以上を指定することで、高度なセキュリティ保護を有効にする機能を提供します。

    • コンテンツ セキュリティ プロファイル

    • SSL プロキシ プロファイル

    • 侵入防御システム(IPS)プロファイル

CSOでは、インテントはゾーンベースのインテントとエンタープライズベースのインテントに分類されます。

  • ゾーンベースのインテントとは、送信元および宛先のエンドポイントとしてゾーンを持つインテントです。ゾーンベースのインテントを持つポリシーは、SD-WANサイトと次世代ファイアウォールサイトに適用できます。ゾーンベースインテントに対して定義できるパラメーターを 表1に示します。

    表 1:ゾーンベースのインテント

    ソース エンド ポイント

    宛先エンド ポイント

    高度なセキュリティ オプション

    サポートされているオプション

    ゾーン

    アドレス

    ユーザー

    ゾーン

    アドレス

    サービス(L4 ポート/プロトコル)

    アプリケーション(動的アプリケーション)

    SSL プロキシー プロファイル

    コンテンツ セキュリティ プロファイル

    IPS プロファイル

    スケジューラ

    ログ
    メモ:

    ゾーンベースのインテントで、部門またはサイトをエンドポイントとして選択することはできません。ポリシーに割り当てられたサイトは、ゾーンベースのインテントに適用され、展開に自動的に考慮されます。

  • エンタープライズベースのインテントとは、サイト、サイトグループ、部門、送信元および宛先エンドポイントとしてのアドレスを含むインテントです。エンタープライズベースのインテントを持つファイアウォールポリシーは、SD-WANサイトにのみ適用できます。エンタープライズベースのインテントに対して定義できるパラメーターを 表2に示します。

    表 2:エンタープライズベースのインテント

    送信元エンドポイント

    宛先エンドポイント

    高度なセキュリティ オプション

    サポートされているオプション

    サイト

    サイトグループ

    部門

    アドレス

    ユーザー

    サイト

    サイトグループ

    部門

    アドレス

    ユーザー

    サービス/アプリケーション

    コンテンツ セキュリティ プロファイル

    IPS プロファイル

    スケジューラ

    ログ
    メモ:

    • エンタープライズベースのインテントの送信元または宛先エンドポイントとしてゾーンを選択することはできません。

    • CSOリリース4.1以前で追加されたインテントは、エンタープライズベースのインテントと呼ばれています。

関連ドキュメント