Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

フローに対する統合ポリシーのサポート

Junos OS リリース 18.2R1 以降、SRXシリーズファイアウォールで統合ポリシーがサポートされ、セキュリティ ポリシー内で動的なレイヤー 7 アプリケーションのきめ細かな制御と適用が可能になります。統合ポリシーは、既存の 5 タプルまたは 6 タプル (ユーザー ファイアウォールを使用した 5 タプル) 一致条件の一部として動的アプリケーションを一致条件として使用し、時間の経過に伴うアプリケーションの変更を検出できるようにするセキュリティ ポリシーです。

統合ポリシーを使用すると、動的アプリケーションをアプリケーションのポリシー一致条件として使用できます。アプリケーション識別(AppID)をトラフィックに適用すると、AppIDは複数のパケットをチェックし、アプリケーションを識別します。アプリケーションが識別されると、最終的なポリシーがセッションに適用されます。許可、拒否、拒否、リダイレクトなどのポリシーアクションは、ポリシーに従ってトラフィックに適用されます。

動的アプリケーションが特定される前に行われる最初のポリシー検索フェーズで、潜在的なポリシーリストに複数のポリシーがある場合、SRXシリーズファイアウォールは、より明示的な一致が発生するまでデフォルトのセキュリティポリシーを適用します。アプリケーションに最も適したポリシーが最終的なポリシーです。

統合ポリシーの詳細については、[統合ポリシー統合ポリシーのアプリケーション識別サポート、および 統合ポリシーのIDPポリシーサポートについて]を参照してください。

統合ポリシーのフローファーストパス

デバイスは、フローの最初のパケットを調べると、対応するセキュリティ ポリシーを判断し、セキュリティ ポリシーのルックアップを実行します。このプロセスでは、次のケースが観察されます。

  • トラフィックがレガシーセキュリティポリシーまたは最終ポリシーと一致する場合、セッションが作成されます。

  • 潜在的なポリシー・リストに複数のポリシーがあり、セキュリティ・ポリシーの競合がある場合は、デフォルトのセキュリティ・ポリシーが適用されます。

  • 潜在的なポリシーリストに複数のポリシーがあり、ポリシーアクションがトラフィックを許可しない場合、セッションは閉じられます。セッション終了の理由を示すログメッセージが生成されます。潜在的なポリシーリスト内の各ポリシーは、MSS、TCP SYNチェック、セッションタイムアウト間隔などの異なる設定値を持っているため、ポリシー競合段階ではデフォルトのセキュリティポリシーが必要になります。この場合、デフォルトのセキュリティポリシーが適用されると、そのポリシーで構成されているすべての値が適用されます。デフォルトのセキュリティー・ポリシーが一致すると、ポリシー・アクションがセッションに適用されます。

    手記:

    • デフォルトのセキュリティポリシーは、システム定義のポリシーです。このポリシーは削除できません。

    • デフォルト・ポリシーは、グローバル・デフォルト・ポリシーと同様に、すべての論理システム・レベルで作成されます。

    • セッションタイムアウト間隔とセッションログの値はデフォルトのセキュリティポリシーから利用され、TCP-MSSやTCP SYNなどのデフォルト値はフロー設定から利用されます。

  • デフォルト・ポリシーが適用されると、ポリシー・アクションの潜在的なメタデータが割り当てられます。潜在的なメタデータは、潜在的なポリシーリストに従って更新されます。

    手記:

    • デフォルトのセキュリティポリシーを設定すると、潜在的なポリシーリストの解決に役立ちます。

    • デフォルトのセキュリティー・ポリシーに一致するセッションが多数存在する可能性があります。ただし、許可されたトラフィックのポリシーで定義されているアプリケーションサービスは異なっていてもかまいません。各セッションのセキュリティフロー情報が保存されます。

    • SRXシリーズファイアウォールがシャーシクラスタモードで動作している場合、情報はフローセッションおよびシャーシクラスタリアルタイムオブジェクト(RTO)とともにプライマリノードからセカンダリノードに同期されます。

  • 最終アプリケーションが識別されると、最終アプリケーションに一致するセキュリティポリシーが適用されます。後続のパケットは、最終ポリシーに従って処理されます。

フロー高速パスの理解

フローの最初のパケットがデバイスを通過し、セッションが確立された後、高速パス処理が行われます。デバイスがデフォルト ポリシーでセキュリティ フロー セッションを調べると、セキュリティ ポリシー ルックアップが実行され、次のケースが観察されます。

  • 既存のアプリケーション識別の更新が必要な場合は、ポリシー検索プロセスが繰り返されます。明示的なポリシーが返され、セキュリティ フロー セッションで置換されるまで、このプロセスが繰り返されます。暗黙的なポリシーが返された場合、トラフィックは拒否され、セッションは閉じられます。

  • 最終的なアプリケーションが特定されると、トラフィックに一致する最終的なポリシーが適用されます。デフォルトと最終ポリシーのポリシー アクションが類似している場合、セキュリティ フロー セッションのデフォルト ポリシーが最終ポリシーに置き換わります。デフォルトと最終ポリシーのポリシーアクションが異なる場合、デフォルトポリシーが保持され、セキュリティフローセッションが閉じられます。

    手記:

    拒否アクションのある最後のポリシーとデフォルトのポリシーが一致すると、セキュリティ フロー セッションが閉じられます。

  • セッションを更新するには、最終ポリシーのセッションタイムアウト、ログ、またはカウンター構成が使用されます。

デフォルト・セキュリティポリシーのセッション・ログの設定

デフォルトのセキュリティー・ポリシーは、潜在的なポリシー・リスト内のポリシーの競合を管理するために必要です。デフォルトのセキュリティーデバイスからも削除されます。

次のコマンドを使用して、セッションの終了時と開始時にログ記録を有効にできます。

  1. グローバルな pre-id-default-policy に入るポリシーのSession_Createログを生成します。
    注意:

    pre-id-default-policysession-initログを設定すると、大量のログが生成される場合があります。最初にpre-id-default-policyと一致するSRXに入る各セッションは、イベントを生成します。このオプションは、トラブルシューティングの目的でのみ使用することをお勧めします。
  2. グローバルな pre-id-default-policy を終了せずに終了するポリシーの Session_Close ログを生成します。

pre-id-default-policy 内で session-close ログを有効にすることをお勧めします。これにより、フローがpre-id-default-policyを離れることができない場合に、SRXによってセキュリティログが生成されます。これらのイベントは通常、ジュニパーネットワークスのディープパケットインスペクション(JDPI)がトラフィックを適切に分類できなかった結果です。また、このイベントは、アプリケーション識別(AppID)エンジンを回避しようとする潜在的な試みを示している場合もあります。

デフォルト・セキュリティポリシーのセッション・タイムアウトの設定

デフォルトのセキュリティ デバイスからも削除されます。 set security policies pre-id-default-policy then session-timeout コマンドを使用して、UDP、TCP、ICMP、および ICMP6 セッションのタイムアウト値を指定できます。

  • TCPセッションのタイムアウト値を秒単位で指定します。
  • UDPセッションのタイムアウト値を秒単位で指定します。
  • ICMP セッションのタイムアウト値を秒単位で指定します。
  • ICMP6セッションのタイムアウト値を秒単位で指定します。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
18.2R1
Junos OS リリース 18.2R1 以降、SRXシリーズファイアウォールで統合ポリシーがサポートされ、セキュリティ ポリシー内で動的なレイヤー 7 アプリケーションのきめ細かな制御と適用が可能になります。統合ポリシーは、既存の 5 タプルまたは 6 タプル (ユーザー ファイアウォールを使用した 5 タプル) 一致条件の一部として動的アプリケーションを一致条件として使用し、時間の経過に伴うアプリケーションの変更を検出できるようにするセキュリティ ポリシーです。