Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールユーザー認証の概要

ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。Junos OSを使用すると、管理者は、送信元IPアドレスやその他の資格情報に基づいて、ファイアウォールユーザーがファイアウォールの背後にある保護されたリソース(異なるゾーン)にアクセスすることを制限および許可できます。

Junos OSは、アドミニストレータおよびポイントツーポイントプロトコル(PPP)ユーザータイプもサポートしています。

メモ:

Junos OSリリース15.1X49-D40およびJunos OSリリース17.3R1以降、HTTPSベースの認証がvSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、およびSRX1500サービスゲートウェイに導入されています。

ファイアウォール ユーザーを定義した後、次の 3 つの認証スキームのいずれかを使用してユーザーに認証を要求するポリシーを作成できます。

  • Pass-through authentication- あるゾーンのホストまたはユーザーが、別のゾーンのリソースにアクセスしようとします。保護リソースの IP アドレスにアクセスし、ファイアウォールによって認証を受けるには、FTP クライアント、Telnet クライアント、HTTP クライアント、または HTTPS クライアントを使用する必要があります。デバイスは FTP、Telnet、HTTP、または HTTPS を使用してユーザー名とパスワードの情報を収集し、この認証の結果に基づいて、ユーザーまたはホストからの後続のトラフィックを許可または拒否します。デバイスがHTTPSサーバーを使用している場合、認証が完了した後、認証が成功したかどうかにかかわらず、ユーザーからの後続のトラフィックは常に終了します。

    メモ:

    Junos OSリリース12.1X44-D10およびJunos OSリリース17.3R1以降、ハイエンドSRXシリーズファイアウォールでHTTPSベースの認証のサポートが導入されました。SRXシリーズのブランチデバイスではサポートされていません。ブランチ デバイスの場合は、HTTP ベースの認証を使用する必要があります。

    メモ:

    Junos OS リリース 19.1R1 以降、NFX150 デバイスでパススルー ファイアウォール ユーザー認証がサポートされます。

  • Pass-through with web-redirect authentication- この認証方法は、HTTP または HTTPS クライアント要求に使用できます。HTTP および HTTPS クライアント要求にパススルー認証を使用するようにファイアウォール認証を構成する場合、Web リダイレクト機能を使用して、ユーザーの要求をデバイスの内部 Web サーバーに転送できます。Webサーバーは、リダイレクトHTTPまたはHTTPS応答をクライアントシステムに送信し、ユーザー認証のためにWebサーバーに再接続するように指示します。クライアントの要求が到着するインターフェイスは、リダイレクト応答が送信されるインターフェイスです。

    メモ:

    セキュリティ上の理由から、HTTP パススルー認証用に構成するセキュリティ ポリシーでは、直接パススルー認証ではなく Web リダイレクトを使用することをお勧めします。Web ブラウザーは、ターゲット Web サーバーへの後続の要求の資格情報を自動的に含めることによってセキュリティを提供できます。

    この機能を使用すると、より豊かなユーザー ログイン エクスペリエンスが可能になります。たとえば、ユーザーにユーザー名とパスワードの入力を求めるポップアップ プロンプトの代わりに、ブラウザーにログイン ページが表示されます。有効にする web-redirect と、ユーザーがクライアント ブラウザーで Web 認証の IP アドレスを入力したのと同じ効果があります。その意味で、 web-redirect はシームレスな認証エクスペリエンスを提供します。ユーザーは Web 認証ソースの IP アドレスを知る必要がなく、アクセスしようとしているリソースの IP アドレスだけを知ることができます。ユーザーが認証されると、ユーザーの IP アドレスからのトラフィックはメソッド web-redirect を通過できます。

    認証が成功したことをユーザーに通知するメッセージが表示されます。認証が成功すると、ブラウザーはユーザーの元のリンク先 URL を起動し、URL を再入力する必要はありません。

    次のメッセージが表示されます。

  • ウェブ認証:ユーザーは、ウェブ認証が有効になっているデバイス上のIPアドレスに、HTTPまたはHTTPSを使用して接続を試みます。このシナリオでは、保護されたリソースの IP アドレスを取得するために HTTP または HTTPS を使用しません。デバイスによって検証されるユーザー名とパスワードの入力を求められます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

リリース履歴テーブル
リリース
説明
19.1
Junos OS リリース 19.1R1 以降、NFX150 デバイスでパススルー ファイアウォール ユーザー認証がサポートされます。
15.1X49-D40
Junos OSリリース15.1X49-D40およびJunos OSリリース17.3R1以降、HTTPSベースの認証がvSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、およびSRX1500サービスゲートウェイに導入されています。
12.1×44
Junos OSリリース12.1X44-D10およびJunos OSリリース17.3R1以降、ハイエンドSRXシリーズファイアウォールでHTTPSベースの認証のサポートが導入されました。