Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXファイアウォールユーザーの認証方法を設定する

概要 パススルーおよびキャプティブポータル認証の設定方法について説明します。

例: パススルー認証の設定

この例では、ファイアウォール ユーザーを認証するためのパススルー認証を構成する方法を示します。ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときにユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。

パススルー認証により、SRXシリーズの管理者は、FTP、Telnet、HTTP、またはHTTPSを使用して別のゾーンのリソースにアクセスしようとするユーザーを制限できます。アクションがパススルー認証であるセキュリティポリシーにトラフィックが一致する場合、ユーザーはログイン情報を提供する必要があります。

HTTPS の場合、セキュリティを確保するために、HTTPS の既定の証明書キー サイズは 2048 ビットです。証明書のサイズを指定しない場合は、既定のサイズが想定されます。

必要条件

開始する前に、ファイアウォールユーザーを定義します。ファイアウォールユーザー認証の概要をご覧ください。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ ファイアウォール

  • ファイアウォールユーザーのシステム

  • パケット宛先システム

概要

パススルー認証プロセスは、ファイアウォール ユーザーと呼ばれるクライアントが、FTP、Telnet、または HTTP セッションを開始して別のゾーンのリソースにアクセスしようとしたときにトリガーされます。SRXシリーズファイアウォールは、FTP、TELNET、HTTP、HTTPSサーバーのプロキシとして機能するため、ファイアウォールユーザーを認証してから、ファイアウォールの背後にある実際のFTP、Telnet、またはHTTPサーバーへのアクセスをユーザーに許可することができます。

ファイアウォールユーザーによって送信された接続リクエストから生成されたトラフィックが双方向にセキュリティポリシールールと一致し、そのルールで then 句のアクションとしてパススルーファイアウォール認証が指定されている場合、SRXシリーズファイアウォールはファイアウォールユーザーにJunos OSプロキシサーバーへの認証を要求します。

認証に成功した場合、同じ送信元IPアドレスからの後続のトラフィックは、トラフィックがセキュリティポリシータプルに一致する場合、SRXシリーズファイアウォールの通過が自動的に許可されます。

図 1 に、この例で使用するトポロジを示します。

図1:パススルーファイアウォール認証Configuring Pass-Through Firewall Authenticationの設定
手記:

トポロジーは外部サーバーの使用を示していますが、構成ではカバーされていません。この例の範囲外です。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

パススルー認証を構成するには:

  1. 2つのインターフェイスを設定し、IPアドレスを割り当てます。

    手記:

    この例では、インターフェイスに 2 つのアドレスを割り当てるのはオプションです。

  2. FWClient1 ユーザーの FWAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、Telnet セッションの成功バナーを定義します。

  3. セキュリティ ゾーンを構成します。

    手記:

    この例では、セキュリティゾーンに2つ目のインターフェイスを設定するのはオプションです。

  4. セキュリティ ポリシー P1 をセキュリティ ゾーンに割り当てます。

  5. Telnet を使用して、FWClient1 ファイアウォール ユーザーをホスト 2 に対して認証します。

業績

設定モードから、次のコマンドを入力して設定を確認します。

  • show interfaces

  • show access

  • show security zones

  • show security policies

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、出力にはこの例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードからコミットを入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ファイアウォールユーザー認証の検証と、認証テーブル内のユーザーとIPアドレスの監視

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーの数とログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、次の show コマンドを入力します。

例:パススルー認証をトリガーするための HTTPS トラフィックの設定

この例では、パススルー認証をトリガーするように HTTPS トラフィックを構成する方法を示します。HTTPSはHTTPよりも安全であるため、人気が高まり、広く使用されています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ ファイアウォール

  • Linux とオープン SSL を実行する 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。2台のPCは、キーファイルの作成とトラフィックの送信に使用されます。

  • SRX5400、SRX5600、および SRX5800 デバイス向けの Junos OS リリース 12.1X44-D10 以降、vSRX 仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、および SRX1500 サービス ゲートウェイ向けの Junos OS リリース 15.1X49-D40 以降。

手記:

Junos OSリリース12.1X44-D10およびJunos OSリリース17.3R1以降、HTTPSベースの認証がSRX5400、SRX5600、およびSRX5800デバイスに導入されています。

Junos OSリリース15.1X49-D40およびJunos OSリリース17.3R1以降、HTTPSベースの認証がvSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、およびSRX1500サービスゲートウェイに導入されています。

始める前に:

SRXシリーズファイアウォールは、パススルー認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次に、SSL ターミネーション プロキシは、秘密キー ファイルと証明書ファイルを作成してインストールします。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。

手記:

公式の .crt ファイルと .key ファイルがある場合は、SRXシリーズファイアウォールに直接ファイルをアップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 およびステップ 4 で指定した命令は、動作モードで実行する必要があります。

秘密キー ファイルと証明ファイルを作成してインストールするには:

  1. PC で .key ファイルを作成します。

  2. PC で、 .crt ファイルを作成します。

  3. .keyファイルと.crtファイルをSRXシリーズファイアウォールにアップロードし、動作モードから次のコマンドを使用してデバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間で確立された安全な接続が開始されます。ネットワーク ユーザーは、ファイアウォールを越えた接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証では、パススルー認証用の HTTPS トラフィックがサポートされています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続されているデバイス間でデータが送信されるプロトコルです。ユーザーと接続されたデバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなどの機密性の高いオンライントランザクションを保護するためによく使用されます。

この例では、HTTPS の方が HTTP よりも安全であるため、HTTPS トラフィックを使用してパススルー認証をトリガーします。HTTPS トラフィックでパススルー認証をトリガーするには、まず SSL 終端プロファイルを設定する必要があります。

図 2 に、HTTPS トラフィックを使用したパススルー認証の例を示します。この例では、untrust ゾーンのホストまたはユーザーが trust ゾーンのリソースにアクセスしようとします。SRXシリーズファイアウォールは、HTTPSを使用してユーザー名とパスワードの情報を収集します。ホストまたはユーザーからの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

図 2: HTTPS トラフィック Pass-Through Authentication Using HTTPS Trafficを使用したパススルー認証

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

プロシージャ

手順

パススルー認証をトリガーするように HTTPS トラフィックを構成するには:

  1. インターフェイスを設定し、IPアドレスを割り当てます。

  2. セキュリティ ポリシーを構成して、ゾーンの信頼からゾーンの信頼へのファイアウォール認証トラフィックを許可します。

  3. パケットが基準に一致した場合に実行するポリシーアクションを指定します。

  4. セキュリティ ゾーンを設定し、インターフェイスを割り当てます。

  5. ゾーンのアプリケーションサービスを設定します。

  6. アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

  7. ファイアウォールの種類と、認証設定が定義されている既定のプロファイル名を構成します。

  8. SSL ターミネーションプロファイルを設定し、ローカル証明書識別子名を入力します。

業績

設定モードから、 show interfacesshow security policiesshow security zonesshow access、および show services ssl termination コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定の確認

目的

構成が正しいことを確認します。

アクション

操作モードから、ID 1 に show security firewall-authentication users コマンドを入力します。

意味

show security firewall-authentication users コマンドは、指定された ID のファイアウォール認証ユーザー情報を表示します。出力の [認証方法] フィールドに [HTTPS を使用したパススルー] が表示され、[認証状態] フィールドに [成功] と表示される場合、構成は正しいです。

例:キャプティブ ポータル認証の設定

この例では、キャプティブポータル認証を有効にし、トラフィックがキャプティブポータル認証が有効になっているポリシーに遭遇したときにユーザにアクセスを許可するポリシーを設定する方法を示します。

必要条件

始める前に:

  • ファイアウォールユーザーを定義します。 ファイアウォールユーザー認証の概要をご覧ください。

  • インターフェイスのアドレス階層の下にWeb認証HTTPフラグを追加して、Web認証を有効にします。

概要

Web 認証を有効にするには、HTTP セッションをホストするデバイスの IP アドレスを指定する必要があります。これらの設定は、保護されたリソースにアクセスするファイアウォールユーザーが、Webサーバーへの直接アクセスまたはWeb認証による認証を希望する場合に使用されます。次の手順は、トラフィックが Web 認証が有効になっているポリシー(Policy-W)に遭遇したときに FWClient1 ユーザへのアクセスを許可するポリシーを設定する方法を示しています。( 図 3 を参照)。この例では、FWClient1 は Web 認証ログイン ページですでに認証されています。

FWClient1ファイアウォールユーザーは、認証を受けるために次のことを行います。

  1. ブラウザーを Web 認証 IP(198.51.100.63/24)にポイントして、最初に認証を取得します

  2. policy-W ポリシーで指定されたリソースにアクセスするためのトラフィックを開始します

図 3: Web 認証の例 Web Authentication Example

これらの手順の説明に従ってデバイスを設定し、ユーザーが正常に認証されると、 図 4 に示す画面が表示されます。

図 4: Web 認証成功バナー Web Authentication Success Banner

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

Web 認証を構成するには:

  1. 2つのインターフェイスを設定し、IPアドレスを割り当てます。

    手記:

    この例では、インターフェイスに 2 つのアドレスを割り当てるのはオプションです。

  2. FWClient1 ユーザーの WEBAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、成功バナーを定義します。

  3. セキュリティ ゾーンを構成します。

    手記:

    この例では、セキュリティゾーンに2つ目のインターフェイスを設定するのはオプションです。

  4. セキュリティ ポリシー P1 をセキュリティ ゾーンに割り当てます。

  5. デバイスでHTTPプロセス(デーモン)をアクティブにします。

業績

設定モードから、次のコマンドを入力して設定を確認します。

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show 出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ファイアウォールユーザー認証の検証と、認証テーブル内のユーザーとIPアドレスの監視

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーとログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、次の show コマンドを入力します。

例:キャプティブポータル認証をトリガーするためのHTTPSトラフィックの設定

次に、キャプティブポータル認証をトリガーするようにHTTPSトラフィックを設定する例を示します。HTTPS は HTTP よりも安全であるため、キャプティブ ポータル認証に広く使用されています。

必要条件

始める前に:

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ ファイアウォール

  • Linux と Open SSL がインストールされている 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。2台のPCは、キーファイルの作成とトラフィックの送信に使用されます。

  • SRX5400、SRX5600、および SRX5800 デバイス向けの Junos OS リリース 12.1X44-D10 以降、vSRX 仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、および SRX1500 サービス ゲートウェイ向けの Junos OS リリース 15.1X49-D40 以降。

SRXシリーズファイアウォールは、Web認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。

手記:

公式の .crt ファイルと .key ファイルがある場合は、SRXシリーズファイアウォールに直接ファイルをアップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 およびステップ 4 で指定した命令は、動作モードで実行する必要があります。

  1. PC から、 .key ファイルを作成します。

  2. PC から、 .crt ファイルを作成します。

  3. SRXシリーズファイアウォールから、 .key ファイルと .crt ファイルをアップロードし、次のコマンドを使用してデバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間で確立された安全な接続が開始されます。ネットワーク ユーザーは、ファイアウォールを越えた接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証では、パススルー認証用の HTTPS トラフィックがサポートされています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続されているデバイス間でデータが送信されるプロトコルです。ユーザーと接続されたデバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなどの機密性の高いオンライントランザクションを保護するためによく使用されます。

この例では、HTTPSの方がHTTPよりも安全であるため、HTTPSトラフィックを使用してWeb認証をトリガーしています。

ユーザーは、HTTPS を使用して、Web 認証が有効になっているデバイス上の IP アドレスにアクセスします。このシナリオでは、ユーザーは保護されたリソースの IP アドレスにアクセスするのに HTTPS を使用しません。ユーザーはユーザー名とパスワードの入力を求められますが、これはデバイスによって検証されます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この Web 認証の結果に基づいて許可または拒否されます。

図 5 に、HTTPS トラフィックを使用した Web 認証の例を示します。

図 5: HTTPS トラフィック Web Authentication Using HTTPS Trafficを使用した Web 認証

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

プロシージャ

手順

ウェブ認証をトリガーするようHTTPSトラフィックを設定するには、次の手順に従います。

  1. HTTPS トラフィックに対する Web 管理サポートを有効にします。

  2. インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/0インターフェイスでWeb認証を有効にします。

  3. セキュリティ ポリシーを構成して、ゾーンの信頼からゾーンの信頼へのファイアウォール認証トラフィックを許可します。

  4. アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

  5. ファイアウォール認証設定の種類を構成します。

  6. パケットが基準に一致した場合に実行するポリシーアクションを指定します。

業績

設定モードから、 show system servicesshow interfacesshow security policies、および show access コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定の確認

目的

構成が正しいことを確認します。

アクション

動作モードから、 show security firewall-authentication users identifier identifier コマンドを入力します。

サンプル出力
意味

show security firewall-authentication users identifier identifier コマンドは、ユーザーの識別子 ID を使用して、ファイアウォール認証ユーザー情報を表示します。出力で authentication method パラメーターに Web 認証が表示され、認証状態パラメーターに [成功] と表示されている場合、構成は正しいです。

非認証ブラウザ用のキャプティブポータルの設定

概要 認証されていないブラウザ用にキャプティブポータルを設定する方法について説明します。

ここでは、認証専用ブラウザとauth-user-agentのファイアウォール認証機能を使用するようにセキュリティポリシーを設定する方法の例をいくつか示します。

For Pass-Through Authentication

auth-only-browser パラメータを使用するパススルー認証のセキュリティ ポリシーを設定します。

認証専用ブラウザなしでauth-user-agentパラメータを使用するパススルー認証のセキュリティポリシーを設定します。

auth-user-agent パラメータとともに auth-only-browser を使用するパススルー認証のセキュリティポリシーを設定します。

For User Firewall Authentication

auth-only-browser パラメータを使用するユーザ ファイアウォール認証のセキュリティ ポリシーを設定します。

認証専用ブラウザなしでauth-user-agentパラメータを使用するユーザファイアウォール認証のセキュリティポリシーを設定します。

auth-user-agent パラメータとともに auth-only-browser を使用するユーザ ファイアウォール認証のセキュリティ ポリシーを設定します。

例:ユニファイド ポリシーの設定

概要 この例を読んで、統一ポリシーでパススルー認証とキャプティブポータル認証を設定し、ユーザにネットワークリソースへのアクセスを制限または許可する方法を説明します。

概要

ファイアウォールユーザー認証を使用すると、ユーザーがファイアウォールの背後にあるネットワークリソースにアクセスする前にユーザーを認証できます。ファイアウォール ユーザー認証を有効にした場合、ユーザーはファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。

Junos OS リリース 21.2R1 以降、統一ポリシーによるファイアウォール ユーザー認証がサポートされています。パススルー認証とキャプティブポータル認証の両方がサポートされています。

位相幾何学

図 6 に、この例で使用するトポロジを示します。
図 6: トポロジ:統一ポリシー Topology: Configuring Firewall User Authentication with Unified Policy を使用したファイアウォール ユーザー認証の設定

トポロジーに示されているように、untrust ゾーンのファイアウォール ユーザーは、trust ゾーンの外部サーバー (IP アドレス 10.1.2.1) にアクセスする必要があります。ユーザーは、サーバーにアクセスする前にセキュリティデバイスで認証を行います。デバイスはローカルデータベースをクエリーして、認証結果を判断します。認証が成功すると、セキュリティ デバイスは、ユーザーのセッションがタイムアウトして閉じるまで、同じ送信元 IP アドレスからの後続のトラフィックを許可します。

この例では、SRXシリーズファイアウォールで次の機能を設定します。

  1. アクセスプロファイルのセキュリティデバイスに対してローカルなユーザーデータベースを設定します。エンド ユーザーを表す 1 つ以上のクライアントをプロファイル内に追加します。クライアント名はユーザー名を表します。各ユーザーのパスワードをプレーンテキスト形式で入力します。

  2. アクセスプロファイルを、パススルー認証方法またはWebファイアウォール認証方法に関連付けます。エンド ユーザーに表示するカスタマイズしたバナーを設定します。
  3. トラフィックを許可または制限するセキュリティポリシーを設定し、許可されたトラフィックにファイアウォールユーザー認証を適用します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
  • Junos OSリリース21.2R1

始める前に:

従来のポリシーと統一ポリシーを使用したSRXファイアウォールユーザーの設定

この例では、従来のセキュリティ ポリシーと統合ポリシーの両方でパススルー認証を構成します。設定には、以下の表に示すように、セキュリティゾーンとインターフェイスの設定、アクセスプロファイルの作成、セキュリティポリシーの定義が含まれます。
表 1: セキュリティ ポリシーの詳細
シナリオ ポリシー ユーザーがセッション結果を開始したときのワークフロー
従来のセキュリティポリシーと不明なユーザーによる認証 ポリシーP1
  • 一致条件: source-identity - 不明/認証されていないユーザー
  1. デバイスは、ユーザー識別テーブル (UIT) でユーザー ソース ID を検索します。
  2. ポリシーは、ソース ID が使用できない場合、ユーザーを認証されていないユーザーと見なします。
  3. ポリシーは、ユーザーからのHTTPまたはHTTPSトラフィックを傍受し、ファイアウォール認証プロンプトをトリガーします。
  4. 認証に成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。
  5. デバイスは、IPアドレスとユーザー名を含めることで、ユーザー識別テーブルに認証エントリを作成します。
ファイアウォールユーザー認証が成功した後、認証されていないユーザーを許可します。
統一されたポリシーと認証されたユーザーによる認証 ポリシーP2
  • 一致条件: ソースID - 認証済みユーザー
  • 動的アプリケーション - junos:GOOGLE
  1. デバイスは、使用可能な場合は、ユーザー識別テーブル (UIT) からユーザーとロールの情報を取得します。
  2. セキュリティ ポリシーは、ユーザーを認証済みユーザーとして分類します。
  3. 認証に成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。
ファイアウォールユーザー認証なしで認証されたユーザーを許可します。
統一ポリシーによる認証 ポリシーP3
  • dynamic-application -junos:YAHOO
  1. デバイスは、認証プロファイル PROFILE-1 を検索して、認証結果を判別します。
  2. 認証に成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。
ファイアウォールユーザー認証を使用したトラフィックを許可します。

認証のために、認証されていないユーザーからUACキャプティブポータルにトラフィックをリダイレクトするには、 例:SRXシリーズデバイスでのユーザーロールファイアウォールの設定を参照してください。

CLIクイック構成

SRXシリーズファイアウォールでこの例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付けます。改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

  1. インターフェイスを設定します。

  2. セキュリティ ゾーンを作成し、インターフェイスを割り当てます。

  3. アクセスプロファイルを設定し、ユーザーの詳細を追加します。

    パスワードを持つ 2 人のユーザー CLIENT-1 と CLIENT-2 を追加し、これらのユーザーをクライアントグループ GROUP-1 に割り当てました。

  4. 認証方法を設定し、アクセスプロファイルを割り当てます。

  5. SSL ターミネーション プロファイルを設定します。

  6. ファイアウォールユーザー認証で認証されていないユーザーを許可するセキュリティポリシーを設定します。

  7. セキュリティポリシーを設定して、ファイアウォールユーザー認証なしで認証済みのユーザーを許可します。

  8. ファイアウォールユーザー認証によるトラフィックを許可するセキュリティポリシーを設定します。

  9. ローカル認証テーブルにエントリを追加します。各エントリには IP アドレスが含まれている必要があることに注意してください。

業績

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit ] [edit] [edit]

[edit]

デバイスの機能の設定が完了したら、設定モードから commit を入力します。

ファイアウォールユーザー認証が機能していることの確認

ファイアウォールユーザー認証が機能していることを確認するには、クライアントマシンでWebブラウザを開きます。サーバーの IP アドレス 10.1.2.1 を入力して、サーバーにアクセスします。システムは、 図 7 に示すように、ログインとパスワードの詳細の入力を求めます。

図 7: パススルー認証プロンプトPass-Through Authentication Prompt

資格情報を正常に入力すると、サーバーにアクセスできます。

統一ポリシーによるパススルー認証の設定

この例では、統一ポリシーを使用してパススルー認証を構成します。構成には、セキュリティ ゾーンとインターフェイスの設定、アクセス プロファイルの作成、統一ポリシーの定義が含まれます。統一ポリシーでは、一致条件動的アプリケーションを any として定義します。

CLIクイック構成

SRXシリーズファイアウォールでこの例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

  1. インターフェイスを設定します。

  2. セキュリティ ゾーンを定義し、インターフェイスを割り当てます。

  3. アクセスプロファイルを設定し、ユーザーの詳細を追加します。

    パスワードを持つ 2 人のユーザー CLIENT-1 と CLIENT-2 を追加し、そのユーザーをクライアントグループ GROUP-1 に割り当てました。

  4. 認証方法を設定し、アクセスプロファイルを割り当てます。

  5. SSL ターミネーション プロファイルを設定します。

  6. 動的アプリケーションを anyとするセキュリティポリシーを設定します。

業績

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

[edit]

[edit]

[edit]

デバイスで機能の設定が完了したら、設定モードから commit を入力します。

パススルー認証が機能していることを確認する

ファイアウォールユーザー認証が機能していることを確認するには、クライアントマシンでWebブラウザを開きます。サーバーの IP アドレス 10.1.2.1 を入力して、サーバーにアクセスします。図 8 に示すように、ログインとパスワードの詳細を入力するよう求められます。

図 8: パススルー認証プロンプトPass-Through Authentication Prompt

資格情報を正常に入力すると、サーバーにアクセスできます。

統合ポリシーによるキャプティブポータル認証の設定

この例では、統一ポリシーを使用してキャプティブポータル認証を設定します。構成には、セキュリティ ゾーンとインターフェイスの設定、アクセス プロファイルの作成、統一ポリシーの定義が含まれます。キャプティブポータル認証では、HTTPセッションの成功バナーを定義します。

CLIクイック構成

SRXシリーズファイアウォールでこの例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

  1. インターフェイスを作成します。

    ウェブ認証にはセカンダリ IP アドレスを使用します。この例では、ウェブ認証に 10.1.1.253/24 を使用しています。セカンダリ IP アドレスは、プライマリ IP アドレスと同じサブネットを使用する必要があることに注意してください。

  2. セキュリティ ゾーンを作成し、インターフェイスを割り当てます。

  3. Web 認証のインターフェイスを有効にします。
  4. アクセスプロファイルを設定し、ユーザーの詳細を追加します。

    パスワードを持つ 2 人のユーザー CLIENT-1 と CLIENT-2 を追加し、そのユーザーをクライアントグループ GROUP-1 に割り当てました。

  5. Web 認証プロパティを構成する

  6. 動的アプリケーションによるセキュリティポリシーを作成します。

業績

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

[edit]

[edit]

[edit]

[edit]

デバイスで機能の設定が完了したら、設定モードから commit を入力します。

Web 認証が機能していることの確認

Web 認証が機能していることを確認するには、クライアント マシンで Web ブラウザーを開きます。まず、Webブラウザを使用してセキュリティデバイスにアクセスします。Web 認証用に構成した IP アドレス 10.1.1.253 を使用します。デバイスは、 図9に示すように、ユーザー名とパスワードの入力を求めます。

図 9: Web 認証プロンプトWeb Authentication Prompt

認証が成功すると、 図 10 に示すように設定されたバナーが表示され、サーバーにアクセスできるようになります。

図 10: Web 認証バナー Web Authentication Banner

検証

ファイアウォールユーザーの監視

目的

ファイアウォール認証ユーザー履歴を表示して、ファイアウォールユーザーの詳細を確認します。

アクション

動作モードから、次の show コマンドを入力します。

意味

コマンド出力は、ログインしているユーザー、使用された認証方法、適用されたプロファイル、ログイン試行などの詳細を提供します。

セキュリティポリシー利用の詳細の確認

目的

受信したヒット数に応じたセキュリティポリシーのユーティリティレートを表示します。

アクション

動作モードから、次の show コマンドを入力します。

意味

コマンド出力は、トラフィックに適用されたセキュリティポリシーの詳細を提供します。

例:外部認証サーバーの設定

次に、デバイスを外部認証用に設定する例を示します。

必要条件

開始する前に、認証ユーザーグループを作成します。

概要

複数のユーザー・アカウントをまとめてユーザー・グループを形成し、ローカル・データベース、RADIUS、LDAP、またはSecurIDサーバーに保存できます。ポリシーで認証ユーザーグループと外部認証サーバーを参照すると、ポリシーに一致するトラフィックによって認証チェックがトリガーされます。

この例では、アクセス プロファイル Profile-1 が外部認証用にどのように設定されているかを示しています。2 つの RADIUS サーバーと 1 つの LDAP サーバーがアクセス プロファイルに設定されます。ただし、認証の順序ではRADIUSサーバーのみが指定されているため、RADIUSサーバー認証が失敗した場合、ファイアウォールユーザーは認証に失敗します。ローカル データベースはアクセスされません。

手記:

ファイアウォールクライアントがRADIUSサーバーによって認証される場合、RADIUSサーバーから返されるグループメンバーシップVSAには、RADIUSサーバー設定またはアクセスプロファイルProfile-1にアルファ、ベータ、またはガンマクライアントグループが含まれている必要があります。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存するか、そのような情報が保存されている外部認証サーバーを指します。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

デバイスを外部認証用に構成するには:

  1. 外部認証順序のRADIUSサーバーを指定します。

  2. Client1-4 ファイアウォール ユーザーを設定し、Client-1 ファイアウォール ユーザーとクライアント 2 ファイアウォール ユーザーをクライアント グループに割り当てます。

  3. セッションオプションでクライアントグループを設定します。

  4. LDAP サーバーとサーバー オプションの IP アドレスを構成します。

  5. 2台のRADIUSサーバーのIPアドレスを設定します。

業績

設定モードから、 show access profile Profile-1 コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

例: クライアント グループの設定

この例では、プロファイル内のクライアント グループのローカル ユーザを設定する方法を示します。

必要条件

開始する前に、アクセスプロファイルを作成します。

概要

クライアントグループは、クライアントが属するグループのリストです。クライアントアイドルタイムアウトと同様に、クライアントグループは、外部認証サーバーが応答で値を返さない場合(たとえば、LDAPサーバーがそのような情報を返さない場合)にのみ使用されます。

この例では、ManagersというプロファイルでクライアントグループG1、G2、およびG3に対してClient-1と呼ばれるローカルユーザを設定する方法を示しています。この例では、クライアントに対してクライアントグループが設定されています。クライアントに対してクライアントグループが定義されていない場合は、 access profile session-options 階層の下にあるクライアントグループが使用されます。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

プロファイル内のクライアントグループのローカルユーザーを設定するには:

  1. ファイアウォール ユーザー プロファイル Manager を設定し、クライアント グループを割り当てます。

  2. セッションオプションでクライアントグループを設定します。

業績

設定モードから show access profile Managers コマンドを入力し、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

例: バナーのカスタマイズ

この例では、ブラウザーに表示されるバナー テキストをカスタマイズする方法を示します。

必要条件

開始する前に、アクセスプロファイルを作成します。

概要

バナーは、ログインの種類に応じて異なる場所のモニターに表示されるメッセージです。この例では、ウェブ認証によるログインに成功した後、ユーザが正常に認証されたことを示すためにブラウザに表示されるバナーを変更する方法を示しています。新しいメッセージは「Web 認証に成功しました」です。認証に失敗すると、新しいメッセージに「認証に失敗しました」と表示されます。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

ブラウザに表示されるバナーテキストをカスタマイズするには:

  1. FTP 経由のパススルー認証に失敗した場合のバナー テキストを指定します。

  2. Web 認証を成功させるためのバナー テキストを指定します。

業績

設定モードから、 show access firewall-authentication コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

例: 相互 TLS (mTLS) 認証の設定

概要 相互 TLS (mTLS) 認証を構成する方法について説明します。

この例を使用して、ファイアウォールで相互トランスポート層セキュリティ (mTLS) 認証を構成および確認します。この例では、 ファイアウォール を使用して、ジュニパーネットワークス® SRXシリーズファイアウォールまたはジュニパーネットワーク®スvSRX仮想ファイアウォール(vSRX3.0)を指します。この設定では、ユーザーはパスワードなしで認証できます。ユーザー認証は、公開鍵と秘密鍵のペアを使用したクライアント/サーバー証明書の検証を通じて行われます。

この例に示すように mTLS を構成するには、管理者が次の証明書を生成する必要があります。

  • CA 証明書 - ファイアウォールとクライアント ブラウザで CA 証明書を実行します。

  • サーバー証明書 — domain1.com mTLS サーバーを使用して、ファイアウォールでサーバー証明書を生成します。ファイアウォールで構成された CA 証明書を使用してサーバー証明書に署名します。

  • クライアント証明書 - クライアント ブラウザでクライアント証明書を生成し、ファイアウォールで設定された CA 証明書を使用してクライアント証明書に署名します。

先端:
表 2: 推定タイマー

読書の時間

1時間未満。

設定時間

1時間未満。

前提条件の例

表 3: 要件

ハードウェア要件

ジュニパーネットワークス® SRXシリーズファイアウォールまたはジュニパーネットワーク®スvSRX仮想ファイアウォール(vSRX3.0)

ソフトウェア要件

Junos OS リリース 23.4R1 以降

始める前に

表 4: はじめに

利点

mTLS 認証を使用すると、次のことができます。

  • ユーザーとサーバー間の安全な接続のために、パスワードレスログインを確認してください。

  • 組織のネットワークまたはアプリケーションにログインするユーザーのセキュリティ層を強化します。

  • ファイアウォールと、ログインプロセスに従わないユーザーデバイス間の接続を確認します。

  • APIリクエストが正当なユーザーからのものであることを確認し、悪意のあるAPIリクエストをブロックします。

もっと知る

アイデンティティ認識ファイアウォール

詳細情報

ファイアウォールユーザー認証

機能概要

このセクションでは、この例の構成コンポーネントの概要を示します。

表 5: 設定と検証の詳細

使用技術

mTLS 認証を確立するには、以下を構成する必要があります。

  • セキュリティ ゾーン - トラフィックを分離するために 2 つのセキュリティ ゾーンを設定します。

    • untrust

    • trust

  • セキュリティ ポリシー - セキュリティ ポリシー p1p2 を設定して、認証されていないユーザーと認証されたユーザーをそれぞれ許可します。これらのポリシーを使用して、 untrust ゾーンから trust ゾーンにデータ トラフィックを選択して移動します。

  • アクセスプロファイル:アクセスプロファイル profile1 を設定し、user1の詳細を追加します。クライアントグループ group1 および group2にユーザを割り当てます。

  • mTLS プロファイル - クライアントとサーバーを認証するための mTLS プロファイル ma2 を設定します。

一次検証タスク

mTLS 認証を確認します。

トポロジの概要

この例では、クライアントはファイアウォールを介してサーバーに接続します。mTLS 認証では、クライアントとサーバーは、暗号化された TLS 接続を介して情報を交換することにより、互いの証明書を検証します。

表 6: この設定で使用されるデバイス、役割、および機能

ホスト名

役割

機能

クライアント

サービス依頼者

SRXシリーズファイアウォールを介してサーバーとのセッションを開始します。

SRX シリーズ ファイアウォール

ファイアウォール

クライアントのパケットを暗号化および復号化します。

サーバー

サーバー

クライアントの要求に応答します。

アクティブディレクトリ

アイデンティティ・ソース

アイデンティティソースとしてのActive Directory は、SRXシリーズファイアウォール、vSRX仮想ファイアウォール、ジュニパーネットワークス® cSRXコンテナファイアウォール、またはジュニパーネットワークス® NFXシリーズネットワークサービスプラットフォームとMicrosoft Windows Active Directoryの統合を定義します。詳細については、 アイデンティティ・ソースとしてのアクティブ・ディレクトリを参照してください。

ジムス

Windows サービス アプリケーション

JIMS(Juniper® Identity Management Service)は、アクティブディレクトリドメインからユーザー、デバイス、グループの情報を収集および管理するために設計されたWindowsサービスアプリケーションです。詳細については、 SRXシリーズファイアウォールを使用したJIMSを参照してください

トポロジーの図

図 11: 相互 TLS (mTLS) 認証 Mutual-TLS (mTLS) Authentication

被試験デバイス(DUT)のステップバイステップの構成

手記:

DUTの完全な構成例については、以下を参照してください。

  1. 必要なインターフェイスを設定します。

  2. セキュリティ ゾーンを設定し、インターフェイスをゾーンに割り当てます。

  3. アクセスプロファイルを設定します。

  4. ファイアウォールユーザー認証で認証されていないユーザーを許可するセキュリティポリシーを設定します。

  5. セキュリティポリシーを設定して、ファイアウォールユーザー認証なしで認証済みのユーザーを許可します。

  6. CA プロファイルを設定します。

  7. mTLS プロファイルを構成します。

  8. domain1.com サーバー証明書を実行するファイアウォールで mTLS を開始するように web-management を構成します。

  9. (オプション)証明書を検証するための証明書失効リスト (CRL) を構成します。mTLS は、受信証明書の CRL 検証をサポートしています。 証明書の失効を参照してください。

付録 1: すべてのデバイスでの set コマンド

クライアントとサーバーのキー証明書の生成

検証

このセクションでは、この例の機能を確認するために使用できる show コマンドの一覧を示します。

mTLS 認証を検証する

目的

mTLS 認証を確認します。

アクション

動作モードから、 show services user-identification debug-counters | match MTLS コマンドを入力して、mTLS 認証のステータスを表示します。

意味

サンプル出力では、次のことを確認します。

  • mTLS 認証が正常に構成されました。

  • ユーザーファイアウォールはmTLS認証を正常に処理しました。