cSRXコンテナファイアウォールの要件

アプリケーションファイアウォール(AppFW)

アプリケーションファイアウォールの概要

アプリケーション識別(AppID)

アプリケーション識別技術を理解する

アプリケーション追跡(AppTrack)

AppTrack について

基本的なファイアウォールポリシー

セキュリティの基本を理解する

総当たり攻撃の緩和

侵入検出および防止ユーザーガイド

一元管理

CLIのみ。J-Webをサポートしていません。

DDoS防御

DoS攻撃の概要

DoS保護

DoS攻撃の概要

インターフェイス

cSRXコンテナは17個のインターフェイスをサポートします。

• 1 アウトオブバンド管理インターフェイス(eth0)

• 16個のインバンドインターフェイス(ge-0/0/0〜ge-0/0/15)。

ネットワークインターフェイス

侵入検出および防止(IDP)

SRXシリーズファイアウォールのIPS設定の詳細については、以下を参照してください。

SRXシリーズファイアウォールの侵入検出および防止について

IPv4 および IPv6

IPv4アドレッシングについて

IPv6アドレス空間について

ジャンボフレーム

イーサネットインターフェイスのジャンボフレームサポートについて

不正パケット攻撃防御

ネットワーク攻撃防御のための IDS スクリーンについて

ネットワークアドレス変換(NAT)

以下のようなcSRXプラットフォーム上のすべてのNAT機能をサポートします。

• ソースNAT

• 宛先 NAT

• 静的 NAT

• 永続的な NAT および NAT64

• NATヘアピン

• マルチキャスト フローの NAT

SRXシリーズファイアウォールNAT設定の詳細については、以下を参照してください。

NATの概要

ルーティング

VLANを使用した基本的なレイヤー3転送。

レイヤー2〜3の転送機能:セキュアワイヤ転送またはスタティックルーティング転送

SYN Cookie 保護

SYN Cookie 保護について

システムログとリアルタイムログ

Junos OSリリース20.1R1以降、システムログとRTlogを使用してトラフィックを監視できるようになりました。

ユーザーファイアウォール

以下のようなcSRXプラットフォーム上のすべてのユーザーファイアウォール機能をサポートします。

• 送信元識別基準に一致するポリシー適用

• 送信元ID情報を使用したロギング

• アクティブディレクトリと統合されたユーザーファイアウォール

• ローカル認証

SRXシリーズファイアウォールユーザーファイアウォール設定の詳細については、以下を参照してください。

統合ユーザーファイアウォールの概要

コンテンツセキュリティ

以下のようなcSRXプラットフォーム上のすべてのコンテンツセキュリティ機能をサポートします。

• アンチスパム

• Sophosアンチウイルス

• Webフィルタリング

• コンテンツフィルタリング

SRXシリーズファイアウォールのコンテンツセキュリティ設定の詳細については、以下を参照してください。

コンテンツセキュリティの概要

SRXシリーズファイアウォールのコンテンツセキュリティアンチスパム設定の詳細については、以下を参照してください。

アンチスパムフィルタリングの概要

ゾーンおよびゾーンベースのIPスプーフィング

IPスプーフィングを理解する

ATPクラウド

ジュニパー Advanced Threat Prevention クラウド(ATPクラウド)

SSLプロキシー

SSLプロキシー

セキュリティインテリジェンス(SecIntel)、ドメインネームシステム(DNS)、ETI

セキュリティインテリジェンスの概要

DNSについて、そして設定する

Security Director

ジュニパー Identity Management Service(JIMS)

ジュニパー Identity Management Serviceユーザーガイド

IKE機能

事前共有キー

はい

証明書認証

はい

IKEv1(メインモード/アグレッシブモード)

いいえ

IKEv2

はい

ルートベースVPN

はい

サイトツーサイトVPN

はい

自動VPN

はい

動的エンドポイントVPN

はい

ポイントツーポイントのトンネルインターフェイス

はい

ポイントツーマルチポイント トンネル インターフェイス

いいえ

番号付きトンネルインターフェイス

いいえ

番号なしトンネルインターフェイス

はい

サイトツーサイト VPN のハブアンドスポーク シナリオ

はい

ユニキャストの静的および動的(RIP、OSPF、BGP)ルーティング overt st0 インターフェイス

いいえ

仮想ルーター

いいえ

IKEDクラッシュリカバリー

はい

シャーシ クラスタ

いいえ

HAリンク暗号化

いいえ

ローカルアドレスの選択

はい

ループバック アドレスの終端

いいえ

IKEゲートウェイアドレスとしてのDNS名

はい

IPv4 IKEピアのNATトラバーサル(NAT-T)

はい

デッドピア検出(DPD)

はい

IPv4およびIPv6の汎用プロポーザルとポリシー

はい

一般的な IKE ID

はい

単一のプロキシIDペア

いいえ

複数のトラフィックセレクターペア

はい

単一の物理インターフェイスを介したデュアルスタック(パラレルIPv4およびIPv6トンネル)

はい

認証アルゴリズム - md5、sha1、sha-256、sha-384、sha-512

はい

暗号化アルゴリズム - des-cbc、3des-cbc、aes-128-cbc、aes-128-gcm、aes-192-cbc、aes-256-cbc、aes-256-gcm

はい

IKEプロポーザルセット - basic、互換、standard、prime-128、prime-256、suiteb-gcm-128、suiteb-gcm-256

はい

DHグループ - 1、2、5、14、15、16、19、20、21、24

はい

ローカルID - 識別名、ホスト名、ipv4/v6アドレス、user-at-hostname、key-id

はい

リモートID - 識別名、ホスト名、IPv4/v6アドレス、ホスト名でのユーザー、キーID

はい

IKE 再認証(イニシエーターとレスポンダー)

はい

設定ペイロード

いいえ

EAP

いいえ

リモートアクセス – NCP/ライセンス

いいえ

トンネル確立 - 即時、オントラフィック、レスポンダーのみ、レスポンダーのみのキー更新なしモード

はい

ディストリビューションプロファイル

いいえ

トンネルの再配布

いいえ

IKEv2フラグメント化

はい

SNMP MIB

いいえ

統計、ログ、トンネルごとのデバッグ

はい

lo0インターフェイスでのIKE終端

いいえ

IPsecとデータプレーンの機能

ESP および AH トンネル モード

はい

拡張シーケンス番号

はい

IKEまたはIPsec SAの有効期間(秒単位)

はい

暗号化アルゴリズム - des-cbc、3des-cbc、aes-128-cbc、aes-192-cbc、aes-256-cbc、aes-gcm-128、aes-gcm-256 はい

はい

認証アルゴリズム - hmac-sha1-96、hmac-md5-96、hmac-sha-256-128、hmac-sha-384、hmac-sha-512

はい

断片化しないビット

はい

IPv6拡張ヘッダー

はい

IPsecのフラグメント化と再アセンブリ

はい

セッションアフィニティ

いいえ

電源モード IPsec

はい

設定可能なアンチリプレイウィンドウ

はい

DSCPコピー

はい

キー再生成されたアウトバウンドSAの設定可能な遅延インストール

はい

st0のCos

いいえ

アバヤ H.323

UAC導入におけるレイヤー2の適用

SPCの優先度の高いキュー

トンネル

TLSプロトコル

フロー監視cflowdバージョン9

Pingイーサネット(CFM)

トレースルートイーサネット(CFM)

ダイナミックDNS

スタンドアロンまたはシャーシクラスターモードのLACP

ルーティングポート上のレイヤー3 LAG

スタンドアロンまたはシャーシクラスターモードでの静的LAG

物理インターフェイス(カプセル化)

ethernet-cccethernet-tcc

extended-vlan-cccextended-vlan-tcc

インターフェースファミリー

ccc, tcc

ethernet-switching

エンドツーエンドのパケットデバッグ

ネットワークプロセッサのバンドリング

サービスオフロード

集合型イーサネットインターフェイス

IEEE 802.1XダイナミックVLAN割り当て

IEEE 802.1X MACバイパス

マルチサプリカントをサポートするIEEE 802.1Xポートベースの認証制御

MLFRを使用したインターリーブ

PoE

PPPインターフェイス

PPPoE ベースの無線-ルーター プロトコル

PPPoEインターフェイス

インターフェイス上のプロミスキャスモード

Acadia - クライアントレスVPN

DVPN

AutoVPN のマルチキャスト

DS-Liteコンセントレータ(AFTRとも呼ばれます)

DS-Lite イニシエータ(別名 B4)

バイナリ形式(バイナリ)

ウェルフ

AppQoS

シャーシクラスター

GPRS

ハードウェアアクセラレーション

高可用性

J-Web

論理システム

MPLS

アウトバウンドSSH

リモートインスタンスアクセス

RESTCONF

SNMP

Spotlight Secureの統合

USBモデム

無線LAN

CCCとTCC

イーサネット接続用のレイヤー2 VPN

永続的な NAT バインディングを最大化する

パケットキャプチャ

IPv6 向け BGP 拡張

BGPフロー仕様

BGPルートリフレクタ

BGPのBFD(双方向フォワーディング検出)

CRTP

レイヤー3 Q-in-Q VLANタギング

サポートされていないシステムログとリアルタイムログ機能

cSRXは、CPUパワーとディスク容量に制限があるため、他のSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンスでサポートされているすべてのログ機能をサポートするわけではありません。

cSRXでサポートされていないシステムログとリアルタイムログ機能は次のとおりです。

• バイナリログ

• 同梱ログ上(LLMDデーモンは移植されていません)。

• 同梱レポートについて(LLMDデーモンは移植されません)。

• ストリームモードのセキュリティログをリモートログサーバーに送信する場合、TLSはサポートされていません。

• LSYS およびテナント関連機能。

コンテンツセキュリティ

エクスプレスAV

カスペルスキーAV

自動リカバリー

ブートインスタンスの設定

ブートインスタンスのリカバリー

デュアルルート パーティショニング

OSロールバック

NSM

SRCアプリケーション

Junos Space Virtual Director

未対応

cSRX DPDKドライバーは、以下のNICをサポートしています

Intel 82599シリーズ上のSR-IOV

Junos OSリリース23.2R1

Intel X710/XL710上のSR-IOV

Intel 82599シリーズ上のPCIパススルー

インテル

• E810-C

• E810-XXV82599ES

• X710-DA4

• XXV710-DA2

• XL710-QDA2

Junos OSリリース24.4R1

ベス

ドライバーモード

• 投票

• 割り込み

• 82599(ixGBE)

• Intel XL/XL710(i40e)上のSR-IOV

x86 および ARM プラットフォームで DPDK ポーリング モード ドライバを使用した SmartNIC の SR-IOV

Junos OSリリース25.4R1

カーネルブリッジインターフェイス

DPDK 23.11バージョン

サポートされるcSRXフレーバー

• CSRX-2CPU-2G

• CSRX-2CPU-4G

• CSRX-4CPU-8G

• CSRX-6CPU-12G

• CSRX-8CPU-16G

• CSRX-8CPU-20G

• CSRX-12CPU-24G

• CSRX-16CPU-32G

• CSRX-16CPU-40G

• CSRX-20CPU-48G

• CSRX-32CPU-64G

Junos OSリリース24.4R1

サポートされているオペレーティングシステム(OS)

• フェドーラ38

• FreeBSD 13.2

• Red Hat Enterprise Linux Server リリース 8.7

• Red Hat Enterprise Linux Server リリース 9.2

• SUSE Linux Enterprise Server 15 SP5

• Ubuntu 22.04.3(Wind River Linux LTS22 OSバージョン)