cSRXコンテナファイアウォールの要件

アプリケーション ファイアウォール(AppFW)

アプリケーションファイアウォールの概要

アプリケーション識別(AppID)

アプリケーション識別テクニックの理解

アプリケーション追跡(AppTrack)

AppTrack について

基本的なファイアウォールポリシー

セキュリティの基本について

総当たり攻撃緩和

侵入検出および防止ユーザーガイド

一元管理

CLI のみ。J-Webをサポートしていません。

DDoS防御

DoS攻撃の概要

DoS 防御

DoS攻撃の概要

インターフェイス

cSRXコンテナは、17のインターフェイスをサポートします。

• 1 アウトオブバンド管理インターフェイス(eth0)

• 16 インバンド インターフェイス(ge-0/0/0 から ge-0/0/15)。

ネットワーク インターフェイス

侵入検出と防御(IDP)

SRXシリーズファイアウォールIPS設定の詳細については、以下を参照してください。

SRXシリーズファイアウォールの侵入検出および防止について

IPv4 および IPv6

IPv4アドレッシングについて

IPv6 アドレス空間について

ジャンボフレーム

イーサネット インターフェイスのジャンボ フレーム サポートについて

異常パケット攻撃防御

ネットワーク攻撃防御のための IDS 画面について

ネットワークアドレス変換(NAT)

cSRXプラットフォーム上の以下のすべてのNAT機能のサポートが含まれます。

• ソースNAT

• ディスティネーション NAT

• 静的 NAT

• 永続的NATおよびNAT64

• NAT ヘアピニング

• マルチキャスト フローの NAT

SRXシリーズファイアウォールNAT設定の詳細については、以下を参照してください。

NAT の概要

ルーティング

VLAN を使用した基本的なレイヤー 3 転送。

レイヤー 2 から 3 のフォワーディング機能:セキュア ワイヤ フォワーディングまたはスタティック ルーティング フォワーディング

Syn Cookie 防御

Syn Cookie 保護について

システムログとリアルタイムログ

Junos OS リリース 20.1R1 以降、システム ログと RTlog を使用してトラフィックを監視できます。

ユーザー ファイアウォール

cSRXプラットフォーム上のすべてのユーザー ファイアウォール機能に対するサポートが含まれます。次のような機能が含まれます。

• 一致するソース識別基準を使用したポリシー適用

• ソース ID 情報を使用したログ記録

• Active Directoryによる統合型ユーザー ファイアウォール

• ローカル認証

SRXシリーズファイアウォールユーザー ファイアウォール設定の詳細については、以下を参照してください。

統合型ユーザーファイアウォールの概要

コンテンツセキュリティ

cSRXプラットフォーム上の以下のすべてのコンテンツセキュリティ機能のサポートが含まれます。

• スパム

• ソフォスアンチウイルス

• Webフィルタリング

• コンテンツ フィルタリング

SRXシリーズファイアウォールコンテンツセキュリティ設定の詳細については、以下を参照してください。

コンテンツセキュリティの概要

SRXシリーズファイアウォールコンテンツセキュリティアンチスパム設定の詳細については、以下を参照してください。

アンチスパムフィルタリングの概要

ゾーンおよびゾーンベース IPスプーフィング

IPスプーフィングについて

ATP Cloud

Juniper Advanced Threat Prevention Cloud(ATP Cloud)

SSLプロキシー

SSLプロキシー

セキュリティ インテリジェンス(SecIntel)、ドメイン生成アルゴリズム(DNS)、ETI

セキュリティ インテリジェンスの概要

DNSの理解と設定

Security Director

Juniper Identity Management Service(JIMS)

Juniper Identity Management Serviceユーザーガイド

IKE 機能

事前共有キー

はい

証明書の認証

はい

IKEv1(メインモード/アグレッシブモード)

いいえ

IKEv2

はい

ルートベース VPN

はい

サイトツーサイトVPN

はい

自動 VPN

はい

動的エンドポイント VPN

はい

ポイントツーポイント トンネル インターフェイス

はい

ポイントツーマルチポイント トンネル インターフェイス

いいえ

番号付きトンネル インターフェイス

いいえ

番号なしトンネル インターフェイス

はい

サイトツーサイト VPN のハブアンドスポーク シナリオ

はい

ユニキャストの静的および動的(RIP、OSPF、BGP)ルーティングovert st0インターフェイス

いいえ

仮想ルーター

いいえ

IKED クラッシュ・リカバリー

はい

シャーシ クラスタ

いいえ

HAリンク暗号化

いいえ

ローカルアドレスの選択

はい

ループバック アドレスの終端

いいえ

IKEゲートウェイアドレスとしてのDNS名

はい

IPv4 IKE ピアの NAT-T(NAT トラバーサル)

はい

デッドピア検出(DPD)

はい

IPv4 および IPv6 の汎用プロポーザルとポリシー

はい

一般的な IKE ID

はい

1 つのプロキシ ID ペア

いいえ

複数のトラフィック セレクター ペア

はい

単一の物理インターフェイスを介したデュアルスタック(パラレルIPv4およびIPv6トンネル)

はい

認証アルゴリズム - md5、sha1、sha-256、sha-384、sha-512

はい

暗号化アルゴリズム - des-cbc、3des-cbc、aes-128-cbc、aes-128-gcm、aes-192-cbc、aes-256-cbc、aes-256-gcm

はい

IKE プロポーザルセット - basic、compatible、standard、prime-128、prime-256、suiteb-gcm-128、suiteb-gcm-256

はい

DHグループ - 1、2、5、14、15、16、19、20、21、24

はい

ローカルID - 識別名、ホスト名、IPv4/v6アドレス、ホスト名にあるユーザー、キーID

はい

リモートID - 識別名、ホスト名、IPv4/v6アドレス、ホスト名にあるユーザー、キーID

はい

IKE 再認証(イニシエーターとレスポンダー)

はい

構成ペイロード

いいえ

EAPの

いいえ

リモートアクセス:NCP/ライセンス

いいえ

トンネル確立 - 即時、トラフィック上、レスポンダのみ、レスポンダのみの鍵更新なしモード

はい

ディストリビューションプロファイル

いいえ

トンネルの再分配

いいえ

IKEv2 フラグメント化

はい

SNMP MIB

いいえ

統計、ログ、トンネル単位のデバッグ

はい

lo0 インターフェイスでの IKE 終端

いいえ

IPsecとデータプレーンの機能

ESP および AH トンネル モード

はい

拡張シーケンス番号

はい

IKE または IPsec SA の有効期間(秒)

はい

暗号化アルゴリズム – des-cbc、3des-cbc、aes-128-cbc、aes-192-cbc、aes-256-cbc、aes-gcm-128、aes-gcm-256 はい

はい

認証アルゴリズム - hmac-sha1-96、hmac-md5-96、hmac-sha-256-128、hmac-sha-384、hmac-sha-512

はい

Don't Fragment ビット

はい

IPv6 拡張ヘッダー

はい

IPsecのフラグメント化と再アセンブリ

はい

セッション アフィニティ

いいえ

電源モード IPsec

はい

設定可能なアンチリプレイ ウィンドウ

はい

DSCPコピー

はい

鍵更新済みアウトバウンド SA の設定可能な遅延インストール

はい

st0のCos

いいえ

アバイア H.323

UAC 展開におけるレイヤー 2 の適用

SPC の高優先度キュー

トンネル

TLSプロトコル

フロー監視 cflowd バージョン 9

Ping イーサネット(CFM)

トレースルートイーサネット(CFM)

ダイナミックDNS

スタンドアロンまたはシャーシ クラスタ モードの LACP

ルーテッドポート上のレイヤー3 LAG

スタンドアロンまたはシャーシクラスタモードの静的LAG

物理インターフェイス(カプセル化)

ethernet-cccethernet-tcc

extended-vlan-cccextended-vlan-tcc

インターフェース ファミリー

ccc, tcc

ethernet-switching

エンドツーエンドのパケットデバッグ

ネットワーク・プロセッサーのバンドル

サービスのオフロード

集合型イーサネットインターフェイス

IEEE 802.1X ダイナミック VLAN 割り当て

IEEE 802.1X MAC バイパス

IEEE 802.1Xポートベースの認証制御とマルチサプリカントのサポート

MLFRを使用したインターリーブ

PoE

PPP インターフェイス

PPPoE ベースの無線からルーターへのプロトコル

PPPoE インターフェイス

インターフェイス上の無作為検出モード

Acadia - クライアントレスVPN

DVPN

AutoVPN のマルチキャスト

DS-Liteコンセントレータ(AFTRとも呼ばれます)

DS-Lite イニシエーター(B4 とも呼ばれます)

バイナリ形式 (バイナリ)

ウェルフ

AppQoS

シャーシ クラスタ

GPRSの

ハードウェアアクセラレーション

高可用性

J-Webの

論理システム

MPLS

アウトバウンド SSH

リモート・インスタンス・アクセス

RESTCONF

SNMP

Spotlight Secureの統合

USBモデム

無線LAN

CCCとTCC

イーサネット接続用のレイヤー2VPN

永続的なNATバインディングの最大化

入力します

IPv6のBGP拡張

BGP Flowspec

BGP ルート リフレクタ

BGPのBidirectional Forwarding Detection(BFD)

CRTPの

レイヤー3Q-in-Q VLANタギング

サポートされていないシステムログとリアルタイムログ機能

cSRXは、CPUパワーとディスク容量が制限されているため、他のSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンスでサポートされているすべてのログ機能をサポートしているわけではありません。

cSRXでサポートされていないシステムログとリアルタイムログ機能は次のとおりです。

• バイナリログ

• ボックスログ上(LLMDデーモンは移植されません。

• ボックス・レポート (LLMD デーモンは移植されません。

• TLS は、ストリームモードのセキュリティー・ログをリモート・ログ・サーバーに送信するためにサポートされていません。

• LSYS およびテナント関連機能。

コンテンツセキュリティ

エクスプレスAV

カスペルスキーAV

自動リカバリー

ブート インスタンスの構成

ブート インスタンスの回復

デュアルルート パーティショニング

OSロールバック

NSM(エヌエスエム

SRCアプリケーション

Junos Space Virtual Director

未対応

cSRX DPDKドライバは、以下のNICをサポートしています

Intel 82599 シリーズ上の SR-IOV

Junos OS リリース 23.2R1

Intel X710/XL710 上の SR-IOV

PCIパススルー Intel 82599シリーズ

インテル

• E810-C型

• E810-XXV82599ES

• X710-DA4

• XXV710-DA2

• XL710-QDA2型

Junos OS リリース 24.4R1

ベス

ドライバーモード

• 投票

• 割り込む

• 82599 (ixGBE)

• Intel XL/XL710(i40e)上のSR-IOV

カーネル ブリッジ インターフェイス

DPDK 23.11 バージョン

サポートされるcSRXフレーバー

• cSRX-2CPU-2G

• cSRX-2CPU-4G

• cSRX-4CPU-8G

• cSRX-6CPU-12G

• cSRX-8CPU-16G

• cSRX-8CPU-20G

• CSRX-12CPU-24G

• CSRX-16CPU-32G

• cSRX-16CPU-40G

• cSRX-20CPU-48G

• cSRX-32CPU-64G

Junos OS リリース 24.4R1

サポートされているオペレーティングシステム(OS)

• フェドーラ38

• FreeBSD 13.2

• Red Hat Enterprise Linux Server リリース 8.7

• Red Hat Enterprise Linux Server リリース 9.2

• SUSE Linux Enterprise Server 15 SP5

• Ubuntu 22.04.3 (Wind River Linux LTS22 OSバージョン)