policies
構文
policies { default-policy (deny-all | permit-all); from-zone from-zone-name { to-zone; policy name { description description; match (Security Policies Global) { source-address (Security Policies); destination-address (Security Policies); application (Security Policies); source-identity; source-end-user-profile <source-end-user-profile-name>; dynamic-application (Security Policies); url-category; from-zone (Security Policies Global); to-zone (Security Policies Global); source-l3vpn-vrf-group [ source-l3vpn-vrf-group ... ]; destination-l3vpn-vrf-group [ destination-l3vpn-vrf-group ... ]; destination-address-excluded; source-address-excluded; } scheduler-name scheduler-name; then { deny; permit { application-services { (redirect-wx | reverse-redirect-wx); advanced-anti-malware-policy advanced-anti-malware-policy; application-traffic-control { rule-set rule-set; } gprs-gtp-profile gprs-gtp-profile; gprs-sctp-profile gprs-sctp-profile; icap-redirect icap-redirect; idp; idp-policy idp-policy; security-intelligence-policy security-intelligence-policy; ssl-proxy { profile-name profile-name; } uac-policy { captive-portal captive-portal; } utm-policy utm-policy; web-proxy { profile-name profile-name; } } destination-address (Security IDP Policy) { (drop-translated | drop-untranslated); } firewall-authentication { pass-through { access-profile access-profile; auth-only-browser; auth-user-agent name; client-match [ client-match ... ]; ssl-termination-profile ssl-termination-profile; web-redirect; web-redirect-to-https; } user-firewall { access-profile access-profile; auth-only-browser; auth-user-agent name; domain domain; ssl-termination-profile ssl-termination-profile; web-redirect; web-redirect-to-https; } web-authentication { client-match [ client-match ... ]; } push-to-identity-management; } services-offload; tcp-options { initial-tcp-mss initial-tcp-mss; reverse-tcp-mss reverse-tcp-mss; sequence-check-required; syn-check-required; window-scale; } tunnel { ipsec-vpn ipsec-vpn; pair-policy pair-policy; } } reject { profile profile; ssl-proxy { profile-name profile-name; } } count { } log { session-close; session-init; } } } } global { policy name { description description; match (Security Policies Global) { source-address (Security Policies); destination-address (Security Policies); application (Security Policies); source-identity; source-end-user-profile <source-end-user-profile-name>; dynamic-application (Security Policies); url-category; from-zone (Security Policies Global); to-zone (Security Policies Global); source-l3vpn-vrf-group [ source-l3vpn-vrf-group ... ]; destination-l3vpn-vrf-group [ destination-l3vpn-vrf-group ... ]; destination-address-excluded; source-address-excluded; } scheduler-name scheduler-name; then { deny; permit { application-services { (redirect-wx | reverse-redirect-wx); advanced-anti-malware-policy advanced-anti-malware-policy; application-traffic-control { rule-set rule-set; } gprs-gtp-profile gprs-gtp-profile; gprs-sctp-profile gprs-sctp-profile; icap-redirect icap-redirect; idp; idp-policy idp-policy; security-intelligence-policy security-intelligence-policy; ssl-proxy { profile-name profile-name; } uac-policy { captive-portal captive-portal; } utm-policy utm-policy; web-proxy { profile-name profile-name; } } destination-address { (drop-translated | drop-untranslated); } firewall-authentication { pass-through { access-profile access-profile; auth-only-browser; auth-user-agent name; client-match [ client-match ... ]; ssl-termination-profile ssl-termination-profile; web-redirect; web-redirect-to-https; } user-firewall { access-profile access-profile; auth-only-browser; auth-user-agent name; domain domain; ssl-termination-profile ssl-termination-profile; web-redirect; web-redirect-to-https; } web-authentication { client-match [ client-match ... ]; } push-to-identity-management; } services-offload; tcp-options { initial-tcp-mss initial-tcp-mss; reverse-tcp-mss reverse-tcp-mss; sequence-check-required; syn-check-required; window-scale; } tunnel { ipsec-vpn ipsec-vpn; pair-policy pair-policy; } } reject { profile profile; ssl-proxy { profile-name profile-name; } } count { } log { session-close; session-init; } } } } policy-rematch <extensive>; policy-stats { system-wide (disable | enable); } pre-id-default-policy { then { log { session-close; session-init; } session-timeout { icmp seconds; icmp6 seconds; ospf seconds; others seconds; tcp seconds; udp seconds; } } } stateful-firewall-rule name { match-direction (input | input-output | output); policy name { description description; match (Security Policies Global) { source-address (Security Policies); destination-address (Security Policies); application (Security Policies); source-identity; source-end-user-profile <source-end-user-profile-name>; dynamic-application (Security Policies); url-category; from-zone (Security Policies Global); to-zone (Security Policies Global); source-l3vpn-vrf-group [ source-l3vpn-vrf-group ... ]; destination-l3vpn-vrf-group [ destination-l3vpn-vrf-group ... ]; destination-address-excluded; source-address-excluded; } scheduler-name scheduler-name; then { deny; permit { application-services { (redirect-wx | reverse-redirect-wx); advanced-anti-malware-policy advanced-anti-malware-policy; application-traffic-control { rule-set rule-set; } gprs-gtp-profile gprs-gtp-profile; gprs-sctp-profile gprs-sctp-profile; icap-redirect icap-redirect; idp; idp-policy idp-policy; security-intelligence-policy security-intelligence-policy; ssl-proxy { profile-name profile-name; } uac-policy { captive-portal captive-portal; } utm-policy utm-policy; web-proxy { profile-name profile-name; } } destination-address { (drop-translated | drop-untranslated); } firewall-authentication { pass-through { access-profile access-profile; auth-only-browser; auth-user-agent name; client-match [ client-match ... ]; ssl-termination-profile ssl-termination-profile; web-redirect; web-redirect-to-https; } user-firewall { access-profile access-profile; auth-only-browser; auth-user-agent name; domain domain; ssl-termination-profile ssl-termination-profile; web-redirect; web-redirect-to-https; } web-authentication { client-match [ client-match ... ]; } push-to-identity-management; } services-offload; tcp-options { initial-tcp-mss initial-tcp-mss; reverse-tcp-mss reverse-tcp-mss; sequence-check-required; syn-check-required; window-scale; } tunnel { ipsec-vpn ipsec-vpn; pair-policy pair-policy; } } reject { profile profile; ssl-proxy { profile-name profile-name; } } count { } log { session-close; session-init; } } } } stateful-firewall-rule-set name { stateful-firewall-rule name; } traceoptions (Security Policies) { file <filename> <files files> <match match> <size size> <(world-readable | no-world-readable)>; flag name; no-remote-trace; } unified-policy { max-lookups max-lookups; } }
階層レベル
[edit security]
説明
デバイスで IPv6 トラフィックのフロー サポートが有効になっている場合にのみ、IPv6 アドレスを使用してネットワーク セキュリティ ポリシーを設定します。
オプション
default-policy | 一致するユーザー定義ポリシーがない場合のデフォルト・アクションを設定します。
|
policy-rematch | 変更時にポリシーを再評価します。
|
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で導入されたステートメント。
Junos OSリリース11.4で追加されたオプションのサポート services-offload
。
Junos OSリリース12.1で追加された オプションのサポート source-identitiy
。
Junos OSリリース12.1で追加された オプションのサポート description
。
ssl-termination-profile
および web-redirect-to-https
オプションのサポートは、Junos OSリリース12.1X44-D10およびJunos OSリリース15.1X49-D40以降で追加されています。
Junos OSリリース12.1X45-D10で追加された オプションのサポート user-firewall
。
domain
Junos OSリリース12.1X47-D10で追加された オプション、 from-zone
および および to-zone
グローバルポリシー一致オプションのサポート。
initial-tcp-mss
Junos OSリリース12.3X48-D20で追加された および reverse-tcp-mss
オプションのサポート。extensive
Junos OSリリース15.1X49-D20で追加された のオプションpolicy-rematch
のサポート。
Junos OSリリース18.2R1以降、統合セキュリティポリシー内でIDPポリシーを使用できます。IDP ポリシーのアクセスは簡素化され、ポリシーの 1 つとして統合ポリシーで使用できるようになります。統一されたセキュリティポリシー内でIDPポリシーが使用可能な場合、一致はセキュリティポリシー自体で行われるため、送信元アドレスまたは宛先アドレス、送信元と宛先を除くゾーン、またはアプリケーションを設定する必要はありません。
Junos OSリリース18.3R1以降、SRXシリーズファイアウォールが統合ポリシーで構成されている場合、複数のIDPポリシーを設定し、そのうちの1つをデフォルトのIDPポリシーとして設定できます。セッションに複数のIDPポリシーが設定されていて、ポリシーの競合が発生した場合、デバイスはそのセッションにデフォルトのIDPポリシーを適用し、ポリシーの競合を解決します。
統合セキュリティポリシーで2つ以上のIDPポリシーを設定した場合は、デフォルトのIDPポリシーを設定する必要があります。