reject (Security)
構文
reject { profile redirect-profile-name; ssl-proxy { profile-name ssl-proxy-profile-name; } }
階層レベル
[edit security policies from-zone zone-name to-zone zone-name policy policy-name then]
説明
ファイアウォールでサービスをブロックします。デバイスはパケットをドロップし、TCPトラフィックの場合はTCPリセット(RST)セグメントを送信元ホストに送信し、UDPトラフィックの場合はICMP「宛先到達不能、ポート到達不能」メッセージ(タイプ3、コード3)を送信します。TCPおよびUDP以外のタイプのトラフィックの場合、デバイスは送信元ホストに通知せずにパケットをドロップします。これは、アクション deny
が の場合にも発生します。
動的アプリケーションに対して次のいずれかのオプションを使用して、拒否アクションを設定できます。
プロファイル - ポリシーが拒否または拒否アクションでHTTPまたはHTTPSトラフィックをブロックした場合に、クライアントに通知を提供するか、クライアント要求を有益なWebページにリダイレクトするかを選択できます。プロファイルを適用するには、動的アプリケーションのリダイレクトプロファイルを定義する必要があります。
ssl-proxy - ポリシーが拒否アクションでHTTPSトラフィックをブロックする場合、リダイレクトSSLプロキシプロファイルを適用できます。SSL プロキシ プロファイルを適用すると、SSL プロキシはトラフィックを復号化し、アプリケーション識別機能はアプリケーションを識別します。次に、設定に従ってトラフィックをリダイレクトまたはドロップするアクションを実行できます。
オプション
profile | リダイレクト HTTP/HTTPS トラフィックのプロファイル。 |
SSL-proxy | HTTPSトラフィックを復号化するためのSSLプロキシプロファイル。 |
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で導入されたステートメント。Junos OS リリース 19.2 以降、オプション profile と ssl-proxy が追加されました。