SRXファイアウォールユーザーの認証方法を設定する |Junos OS |ジュニパーネットワークス

例:パススルー認証の設定

この例では、ファイアウォールユーザーを認証するためのパススルー認証を設定する方法を示しています。ファイアウォールユーザーとは、ファイアウォールを越えた接続を開始する際にユーザー名とパスワードを入力しなければならないネットワークユーザーを指します。

パススルー認証により、SRXシリーズ管理者は、FTP、Telnet、HTTP、またはHTTPSを使用して別のゾーンのリソースにアクセスしようとするユーザーを制限できます。アクションがパススルー認証であるセキュリティポリシーにトラフィックが一致する場合、ユーザーはログイン情報を提供する必要があります。

HTTPS の場合、セキュリティを確保するために、HTTPS のデフォルトの証明書キーサイズは 2048 ビットです。証明書のサイズを指定しない場合は、既定のサイズが想定されます。

必要条件
概要
構成
検証

必要条件

開始する前に、ファイアウォールユーザーを定義します。「ファイアウォールユーザー認証の概要」を参照してください。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

SRXシリーズファイアウォール
ファイアウォールユーザーのシステム
パケット宛先システム

概要

パススルー認証プロセスは、ファイアウォールユーザーと呼ばれるクライアントが、別のゾーンのリソースにアクセスするために FTP、Telnet、または HTTP セッションを開始しようとしたときにトリガーされます。SRXシリーズファイアウォールは、FTP、Telnet、HTTP、またはHTTPSサーバーのプロキシとして機能し、ファイアウォールユーザーを認証してから、ファイアウォールの背後にある実際のFTP、Telnet、またはHTTPサーバーへのアクセスをユーザーに許可することができます。

ファイアウォールユーザーが送信した接続要求から生成されたトラフィックがセキュリティポリシールールと双方向に一致し、そのルールで then 句のアクションとしてパススルーファイアウォール認証が指定されている場合、SRXシリーズファイアウォールはファイアウォールユーザーにJunos OSプロキシサーバーへの認証を要求します。

認証に成功した場合、同じ送信元IPアドレスからの後続のトラフィックは、セキュリティポリシータプルに一致すれば、自動的にSRXシリーズファイアウォールの通過が許可されます。

図 1 は、この例で使用されているトポロジーを示しています。

図 1: パススルーファイアウォール認証の設定 Configuration interface for setting up a Local Gateway on a network device, showing options like NAT, external IP 192.0.2.12/28, tunnel interface st0.0, authentication, and SSL VPN profiles.

Configuration interface for setting up a Local Gateway on a network device, showing options like NAT, external IP 192.0.2.12/28, tunnel interface st0.0, authentication, and SSL VPN profiles.

手記：

このトポロジーは外部サーバーの使用を示していますが、構成ではカバーされていません。この例の範囲外です。

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

パススルー認証を設定するには:

2つのインターフェイスを設定し、IPアドレスを割り当てます。

手記：

この例では、インターフェイスに 2 つのアドレスを割り当てることは任意です。

FWClient1 ユーザーの FWAUTH アクセスプロファイルを作成し、ユーザーのパスワードを指定して、Telnet セッションの成功バナーを定義します。

セキュリティゾーンを設定します。

手記：

この例では、セキュリティゾーンに 2 つ目のインターフェイスを設定することは任意です。

セキュリティポリシーP1をセキュリティゾーンに割り当てます。

Telnet を使用して、FWClient1 ファイアウォールユーザーを host2 に対して認証します。

業績

設定モードから、次のコマンドを入力して設定を確認します。

show interfaces
show access
show security zones
show security policies

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、出力にはこの例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードからコミットを入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ファイアウォールユーザー認証の検証と認証テーブル内のユーザーとIPアドレスの監視

目的
アクション

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーの数とログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、以下の show コマンドを入力します。

例:パススルー認証をトリガーするHTTPSトラフィックの設定

この例では、パススルー認証をトリガーするようにHTTPSトラフィックを設定する方法を示しています。HTTPSはHTTPよりも安全であるため、人気が高まり、より広く使用されています。

必要条件
概要
構成
検証

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

SRXシリーズファイアウォール
Linux と Open SSL を実行する 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。この 2 台の PC は、キーファイルの作成とトラフィックの送信に使用されます。
SRX5400、SRX5600、SRX5800ファイアウォールの場合は12.1X44-D10以降Junos OS リリース、vSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500ファイアウォールの場合はJunos OS リリース15.1X49-D40以降。

手記：

Junos OS リリース 12.1X44-D10およびJunos OS リリース 17.3R1以降、SRX5400、SRX5600、およびSRX5800ファイアウォールでHTTPSベースの認証が導入されています。

Junos OS リリース 15.1X49-D40およびJunos OS リリース 17.3R1以降、vSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500ファイアウォールでHTTPSベースの認証が導入されています。

開始する前に、以下を実行します。

SRXシリーズファイアウォールは、HTTPSトラフィックをデコードしてパススルー認証をトリガーする必要があります。次に、SSL ターミネーションプロキシは、秘密鍵ファイルと証明書ファイルを作成してインストールします。次の一覧では、秘密キーファイルと証明キーファイルを作成してインストールする手順について説明します。

手記：

公式の .crt ファイルと .key ファイルをお持ちの場合は、SRXシリーズファイアウォールにファイルを直接アップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされた PC で実行する必要があります。ステップ 3 とステップ 4 で指定された手順は、動作モードで実行する必要があります。

秘密キー・ファイルおよび証明書ファイルを作成してインストールするには、次の手順に従います。

PC で .key ファイルを作成します。

PC で .crt ファイルを作成します。

.key ファイルと .crt ファイルを SRXシリーズファイアウォールにアップロードし、動作モードから次のコマンドを使用してデバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間でセキュアな接続が確立されます。ネットワークユーザーは、ファイアウォールを越えて接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証は、パススルー認証のためにHTTPSトラフィックをサポートしています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続しているデバイス間でデータが送信されるプロトコルです。ユーザーと接続デバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなど、機密性の高いオンライン取引を保護するためによく使用されます。

この例では、HTTPS トラフィックは HTTP よりも安全であるため、パススルー認証をトリガーするために使用されます。HTTPS トラフィックがパススルー認証をトリガーするには、まず SSL 終端プロファイルを構成する必要があります。

図 2 は、HTTPS トラフィックを使用したパススルー認証の例を示しています。この例では、untrust ゾーンのホストまたはユーザーが、trust ゾーンのリソースにアクセスしようとします。SRXシリーズファイアウォールは、HTTPSを使用してユーザー名とパスワードの情報を収集します。ホストまたはユーザーからの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

図 2: HTTPS トラフィック Network topology with zones and NAT using a Juniper SRX device. Untrust zone IP 192.0.2.12, trust zone IP 203.0.113.1. NAT translates 203.0.113.1 to 10.1.1.1-10.1.1.14, and 1.1.1.100 to 10.1.1.200.

Network topology with zones and NAT using a Juniper SRX device. Untrust zone IP 192.0.2.12, trust zone IP 203.0.113.1. NAT translates 203.0.113.1 to 10.1.1.1-10.1.1.14, and 1.1.1.100 to 10.1.1.200.

を使用したパススルー認証

構成

CLIクイック構成
プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

プロシージャ

手順
業績

手順

パススルー認証をトリガーするようにHTTPSトラフィックを構成するには:

インターフェイスを設定し、IPアドレスを割り当てます。

セキュリティポリシーを設定して、ゾーンの信頼から信頼されていないゾーンへのファイアウォール認証トラフィックを許可します。

パケットが条件に一致したときに実行するポリシーアクションを指定します。

セキュリティゾーンを設定し、インターフェイスを割り当てます。

ゾーンのアプリケーションサービスを設定します。

アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

ファイアウォールの種類と、認証設定が定義されているデフォルトのプロファイル名を構成します。

SSL 終端プロファイルを設定し、ローカル証明書識別子名を入力します。

業績

設定モードから、 show interfaces、 show security policies、 show security zones、 show access、 show services ssl termination コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定の確認

目的
アクション
意味

目的

設定が正しいことを確認します。

アクション

動作モードから、識別子 1 の show security firewall-authentication users コマンドを入力します。

意味

show security firewall-authentication users コマンドは、指定した識別子のファイアウォール認証ユーザー情報を表示します。出力の [認証方法] フィールドに [HTTPS を使用したパススルー] が表示され、[認証状態] フィールドに [成功] が表示されている場合、設定は正しいです。

例:キャプティブポータル認証の設定

この例では、キャプティブポータル認証を有効にし、キャプティブポータル認証が有効になっているポリシーにトラフィックが遭遇した場合に、ユーザーへのアクセスを許可するポリシーを設定する方法を示しています。

必要条件
概要
構成
検証

必要条件

開始する前に、以下を実行します。

ファイアウォールユーザーを定義します。「ファイアウォールユーザー認証の概要」を参照してください。
インターフェイスのアドレス階層の下に Web 認証 HTTP フラグを追加して、Web 認証を有効にします。

概要

Web 認証を有効にするには、HTTP セッションをホストしているデバイスの IP アドレスを指定する必要があります。これらの設定は、保護されたリソースにアクセスするファイアウォールユーザーが、Web サーバーに直接アクセスするか、Web 認証によって認証される場合に使用されます。次の手順は、トラフィックが Web 認証が有効になっているポリシー(Policy-W)に遭遇したときに、FWClient1 ユーザーへのアクセスを許可するポリシーを設定する方法を示しています。( 図 3 を参照)。この例では、FWClient1 は Web 認証ログインページで既に認証されています。

FWClient1 ファイアウォールユーザーは、次の操作を行って認証を取得します。

ブラウザを Web 認証 IP(198.51.100.63/24)にポイントして、最初に認証を取得します
policy-W ポリシーで指定されたリソースにアクセスするためのトラフィックを開始します

図 3:Web 認証の例 Web Authentication Example

これらの手順で説明されているようにデバイスを設定し、ユーザーが正常に認証されると、図 4 に示す画面が表示されます。

図 4:Web 認証成功バナー Web Authentication Success Banner

構成

プロシージャ

CLIクイック構成
手順
業績

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

Web 認証を構成するには:

2つのインターフェイスを設定し、IPアドレスを割り当てます。

手記：

この例では、インターフェイスに 2 つのアドレスを割り当てることは任意です。

FWClient1 ユーザーの WEBAUTH アクセスプロファイルを作成し、ユーザーのパスワードを指定して、成功バナーを定義します。

セキュリティゾーンを設定します。

手記：

この例では、セキュリティゾーンに 2 つ目のインターフェイスを設定することは任意です。

セキュリティポリシーP1をセキュリティゾーンに割り当てます。

デバイスでHTTPプロセス(デーモン)をアクティブにします。

業績

設定モードから、次のコマンドを入力して設定を確認します。

show interfaces
show access
show security zones
show security policies
show system services

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show 出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ファイアウォールユーザー認証の検証と認証テーブル内のユーザーとIPアドレスの監視

目的
アクション

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーとログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、以下の show コマンドを入力します。

例:キャプティブポータル認証をトリガーする HTTPS トラフィックの設定

この例では、キャプティブポータル認証をトリガーするようにHTTPSトラフィックを設定する方法を示しています。HTTPSはHTTPよりも安全であるため、キャプティブポータル認証に広く使用されています。

必要条件
概要
構成
検証

必要条件

開始する前に、以下を実行します。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

SRXシリーズファイアウォール
Linux と Open SSL がインストールされた 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。この 2 台の PC は、キーファイルの作成とトラフィックの送信に使用されます。
SRX5400、SRX5600、SRX5800 デバイスの場合は 12.1X44-D10 以降Junos OS リリースJunos OS リリース、vSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500 サービスゲートウェイの場合は 15.1X49-D40 以降。

SRXシリーズファイアウォールは、Web認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次の一覧では、秘密キーファイルと証明キーファイルを作成してインストールする手順について説明します。

手記：

公式の .crt ファイルと .key ファイルをお持ちの場合は、SRXシリーズファイアウォールにファイルを直接アップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 とステップ 4 で指定された手順は、動作モードで実行する必要があります。

PCから、 .key ファイルを作成します。

PCから、 .crt ファイルを作成します。

SRXシリーズファイアウォールから、次のコマンドを使用して、 .key ファイルと .crt ファイルをアップロードし、デバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間でセキュアな接続が確立されます。ネットワークユーザーは、ファイアウォールを越えて接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証は、パススルー認証のためにHTTPSトラフィックをサポートしています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続しているデバイス間でデータが送信されるプロトコルです。ユーザーと接続デバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなど、機密性の高いオンライン取引を保護するためによく使用されます。

この例では、HTTPS トラフィックは HTTP よりも安全であるため、HTTPS トラフィックを使用して Web 認証がトリガーされます。

ユーザーは、HTTPSを使用して、Web認証が有効になっているデバイス上のIPアドレスにアクセスします。このシナリオでは、ユーザーは保護されたリソースの IP アドレスにアクセスするために HTTPS を使用しません。ユーザはユーザ名とパスワードの入力を求められます。これはデバイスによって検証されます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、このWeb認証の結果に基づいて許可または拒否されます。

図5は、HTTPSトラフィックを使用したWeb認証の例を示しています。

図 5:HTTPS トラフィック Network diagram: Two PCs connected via SRX Series device, PC1 uses IP 203.0.113.18/24, PC2 uses IP 192.0.2.5/24, illustrating basic network configuration.

Network diagram: Two PCs connected via SRX Series device, PC1 uses IP 203.0.113.18/24, PC2 uses IP 192.0.2.5/24, illustrating basic network configuration.

を使用した Web 認証

構成

CLIクイック構成
プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

プロシージャ

手順
業績

手順

Web認証をトリガーするHTTPSトラフィックを設定するには:

HTTPS トラフィックに対する Web 管理サポートを有効にします。

インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/0インターフェイスでWeb認証を有効にします。

セキュリティポリシーを設定して、ゾーンの信頼から信頼されていないゾーンへのファイアウォール認証トラフィックを許可します。

アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

ファイアウォール認証設定の種類を構成します。

パケットが条件に一致したときに実行するポリシーアクションを指定します。

業績

設定モードから、 show system services、 show interfaces、 show security policies、 show access コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定の確認

目的
アクション
意味

目的

設定が正しいことを確認します。

アクション

動作モードから、 show security firewall-authentication users identifier identifier コマンドを入力します。

サンプル出力

意味

show security firewall-authentication users identifier identifier コマンドは、ユーザーの識別子IDを使用して、ファイアウォール認証ユーザー情報を表示します。出力で、認証方法パラメータに「Web認証」と表示され、認証状態パラメータに「成功」と表示されている場合、設定は正しいです。

認証されていないブラウザ用のキャプティブポータルの設定

認証されていないブラウザ用にキャプティブポータルを設定する方法をご確認ください。

auth-only-browser と auth-user-agent のファイアウォール認証機能を使用するためのセキュリティポリシーの設定方法の例を次に示します。

For Pass-Through Authentication

auth-only-browser パラメーターを使用するパススルー認証のセキュリティー・ポリシーを構成します。

auth-only-browser を使用せずに auth-user-agent パラメーターを使用するパススルー認証のセキュリティポリシーを設定します。

auth-user-agent パラメーターで auth-only-browser を使用するパススルー認証のセキュリティポリシーを設定します。

For User Firewall Authentication

auth-only-browser パラメーターを使用するユーザーファイアウォール認証のセキュリティポリシーを構成します。

auth-only-browser を使用せずに auth-user-agent パラメーターを使用するユーザーファイアウォール認証のセキュリティポリシーを構成します。

auth-user-agent パラメーターで auth-only-browser を使用するユーザーファイアウォール認証のセキュリティポリシーを構成します。

例:統合ポリシーの設定

この例では、統一ポリシーでパススルー認証とキャプティブポータル認証を設定して、ユーザーのネットワークリソースへのアクセスを制限または許可する方法を理解できます。

概要
従来のポリシーと統一ポリシーを使用したSRXファイアウォールユーザーの設定
統一ポリシーによるパススルー認証の設定
統合ポリシーによるキャプティブポータル認証の設定
検証

概要

ファイアウォールユーザー認証を使用すると、ユーザーがファイアウォールの背後にあるネットワークリソースにアクセスする前に、ユーザーを認証できます。ファイアウォールユーザー認証を有効にしている場合、ユーザーはファイアウォールを越えて接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。

Junos OS リリース 21.2R1 以降、統一ポリシーによるファイアウォールユーザー認証がサポートされています。パススルー認証とキャプティブポータル認証の両方でサポートされています。

位相幾何学
必要条件

位相幾何学

図 6 は、この例で使用されるトポロジーを示しています。

図 6: トポロジー:統合ポリシー Network setup with Juniper SRX firewall managing traffic between Untrust Zone 10.1.1.1 and Trust Zone 10.1.2.1. Includes firewall users, client, server, and local database for authentication.

Network setup with Juniper SRX firewall managing traffic between Untrust Zone 10.1.1.1 and Trust Zone 10.1.2.1. Includes firewall users, client, server, and local database for authentication.

によるファイアウォールユーザー認証の設定

トポロジーに示されているように、untrust ゾーンのファイアウォールユーザーは、trust ゾーンの外部サーバー(IP アドレス 10.1.2.1)にアクセスする必要があります。ユーザーは、サーバーにアクセスする前にセキュリティデバイスで認証します。デバイスは、ローカルデータベースをクエリーして、認証結果を決定します。認証に成功すると、セキュリティデバイスは、ユーザーのセッションがタイムアウトして閉じるまで、同じ送信元 IP アドレスからの後続のトラフィックを許可します。

この例では、SRXシリーズファイアウォールで次の機能を設定します。

アクセスプロファイルで、セキュリティデバイスに対してローカルなユーザーデータベースを設定します。プロファイル内に、エンドユーザーを表す 1 つ以上のクライアントを追加します。client-name はユーザー名を表します。各ユーザーのパスワードをプレーンテキスト形式で入力します。
アクセスプロファイルをパススルーまたはWebファイアウォールの認証方法に関連付けます。エンドユーザーに表示するカスタマイズしたバナーを設定します。
トラフィックを許可または制限するセキュリティポリシーを設定し、許可されたトラフィックにファイアウォールユーザー認証を適用します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
Junos OS リリース 21.2R1

開始する前に、以下を実行します。

SRXシリーズファイアウォールに有効なアプリケーション識別機能ライセンスをインストールします。アプリケーションアプリケーションシグネチャパッケージのライセンスのインストールと検証を参照してください。
SRXシリーズファイアウォールにアプリケーション署名データベースをインストールします。 Junos OS アプリケーションシグネチャパッケージのダウンロードとインストールを参照してください。

従来のポリシーと統一ポリシーを使用したSRXファイアウォールユーザーの設定

この例では、従来のセキュリティポリシーと統合ポリシーの両方でパススルー認証を構成します。この構成には、以下の表に示すように、セキュリティゾーンとインターフェイスの設定、アクセスプロファイルの作成、セキュリティポリシーの定義が含まれます。

を開始するときのワークフロー

表1:セキュリティポリシーの詳細
ユーザーがセッション	結果	シナリオ	ポリシー
従来のセキュリティポリシーと不明なユーザーによる認証	ポリシーP1 一致条件: source-identity -unknown/unauthenticated users	デバイスは、ユーザー識別テーブル(UIT)でユーザーソースIDを検索します。ポリシーでは、ソース ID が使用できない場合、そのユーザーは認証されていないユーザーと見なされます。ポリシーは、ユーザーからのHTTPまたはHTTPSトラフィックをインターセプトし、ファイアウォール認証プロンプトをトリガーします。認証が成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。デバイスは、IPアドレスとユーザー名を含めて、ユーザー識別テーブルに認証エントリを作成します。	ファイアウォールユーザー認証が成功した後に、認証されていないユーザーを許可します。
統一ポリシーと認証済みユーザーによる認証	ポリシーP2 一致条件:source-identity - authenticated-users 動的アプリケーション - junos:GOOGLE	デバイスは、ユーザー識別テーブル(UIT)からユーザーとロールの情報を取得します(使用可能な場合)。セキュリティポリシーにより、ユーザーは認証済みユーザーとして分類されます。認証が成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。	ファイアウォールユーザー認証なしで認証されたユーザーを許可します。
統一ポリシーによる認証	ポリシー P3 dynamic-application -junos:YAHOO	デバイスは、認証プロファイル PROFILE-1 を検索して、認証結果を決定します。認証が成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。	ファイアウォールユーザー認証によるトラフィックを許可します。

認証のために、認証されていないユーザーからUACキャプティブポータルにトラフィックをリダイレクトするには、例:SRXシリーズデバイスでユーザーロールファイアウォールを設定するを参照してください。

CLIクイック構成
手順
業績

CLIクイック構成

SRXシリーズファイアウォールでこの例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

インターフェイスを設定します。

セキュリティゾーンを作成し、インターフェイスを割り当てます。

アクセスプロファイルを設定し、ユーザーの詳細を追加します。

パスワードを持つ2人のユーザーCLIENT-1とCLIENT-2を追加し、これらのユーザーをclient-group GROUP-1に割り当てました。

認証方法を設定し、アクセスプロファイルを割り当てます。

SSL 終端プロファイルを設定します。

セキュリティポリシーを設定して、認証されていないユーザーにファイアウォールユーザー認証を許可します。

ファイアウォールユーザー認証なしで認証されたユーザーを許可するセキュリティポリシーを設定します。

ファイアウォールユーザー認証でトラフィックを許可するセキュリティポリシーを設定します。

ローカル認証テーブルにエントリを追加します。各エントリにはIPアドレスを含める必要があることに注意してください。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit ]

[edit]

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

ファイアウォールユーザー認証が機能していることを確認する

ファイアウォールのユーザー認証が機能していることを確認するには、クライアントマシンでWebブラウザを開きます。サーバーの IP アドレス 10.1.2.1 を入力してサーバーにアクセスします。システムは、図 7 に示すように、ログインとパスワードの詳細の入力を求めます。

図 7: パススルー認証プロンプト Authentication dialog box requesting username and password with Cancel and OK buttons.

資格情報を正常に入力すると、サーバーにアクセスできます。

統一ポリシーによるパススルー認証の設定

この例では、統合ポリシーを使用してパススルー認証を構成します。この構成には、セキュリティゾーンとインターフェイスの設定、アクセスプロファイルの作成、統合ポリシーの定義が含まれます。統合ポリシーでは、一致条件の動的適用を anyとして定義します。

CLIクイック構成
手順
業績

CLIクイック構成

SRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

手順

インターフェイスを設定します。

セキュリティゾーンを定義し、インターフェイスを割り当てます。

アクセスプロファイルを設定し、ユーザーの詳細を追加します。

パスワードを使用して CLIENT-1 と CLIENT-2 の 2 人のユーザーを追加し、ユーザーをクライアントグループ GROUP-1 に割り当てました。

認証方法を設定し、アクセスプロファイルを割り当てます。

SSL 終端プロファイルを設定します。

動的アプリケーションを anyとしてセキュリティポリシーを設定します。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

パススルー認証が機能していることを確認する

ファイアウォールユーザー認証が機能していることを確認するには、クライアントマシンでWebブラウザを開きます。サーバーの IP アドレス 10.1.2.1 を入力してサーバーにアクセスします。システムは、図 8 に示すように、ログインとパスワードの詳細の入力を求めます。

図 8: パススルー認証プロンプト Authentication dialog box requesting username and password with Cancel and OK buttons.

資格情報を正常に入力すると、サーバーにアクセスできます。

統合ポリシーによるキャプティブポータル認証の設定

この例では、統合ポリシーでキャプティブポータル認証を設定します。この構成には、セキュリティゾーンとインターフェイスの設定、アクセスプロファイルの作成、統合ポリシーの定義が含まれます。キャプティブポータル認証では、HTTPセッションの成功バナーを定義します。

CLIクイック構成
手順
業績

CLIクイック構成

SRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

手順

インターフェイスを作成します。

Web 認証にセカンダリ IP アドレスを使用します。この例では、Web 認証に 10.1.1.253/24 を使用しています。セカンダリ IP アドレスは、プライマリ IP アドレスと同じサブネットを使用する必要があることに注意してください。

セキュリティゾーンを作成し、インターフェイスを割り当てます。

Web 認証のインターフェイスを有効にします。

アクセスプロファイルを設定し、ユーザーの詳細を追加します。

パスワードを使用して CLIENT-1 と CLIENT-2 の 2 人のユーザーを追加し、ユーザーをクライアントグループ GROUP-1 に割り当てました。

Web 認証プロパティの構成

dynamic-application でセキュリティポリシーを作成します。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

Web認証が機能していることを確認する

Web 認証が機能していることを確認するには、クライアントマシンで Web ブラウザーを開きます。まず、Webブラウザを使用してセキュリティデバイスにアクセスします。Web 認証用に構成した IP アドレス 10.1.1.253 を使用します。デバイスは、図 9 に示すように、ユーザ名とパスワードの入力を求めます。

図 9:Web 認証プロンプト Login page for firewall authentication with shield icon and text Firewall Authentication associated with Juniper Networks.

認証が成功すると、図 10 に示すように設定されたバナーが表示され、サーバにアクセスできるようになります。

図 10:Web 認証バナー Firewall Authentication page for Juniper Networks with Welcome to Juniper HTTP Session and a Close button.

検証

ファイアウォールユーザーの監視
セキュリティポリシーの使用状況の詳細の確認

ファイアウォールユーザーの監視

目的

ファイアウォール認証ユーザー履歴を表示して、ファイアウォールユーザーの詳細を確認します。

アクション

動作モードから、以下の表示コマンドを入力します。

意味

コマンド出力には、ログインしているユーザー、使用された認証方法、適用されたプロファイル、ログイン試行などの詳細が提供されます。

セキュリティポリシーの使用状況の詳細の確認

目的

受信したヒット数に応じたセキュリティポリシーの利用率を表示します。

アクション

動作モードから、以下の表示コマンドを入力します。

意味

コマンド出力は、トラフィックに適用されているセキュリティポリシーの詳細を提供します。

例:外部認証サーバーの設定

この例では、外部認証用のデバイスを設定する方法を示しています。

必要条件
概要
構成
検証

必要条件

開始する前に、認証ユーザーグループを作成します。

概要

複数のユーザー・アカウントをまとめてユーザー・グループを形成し、ローカル・データベース、RADIUS、LDAP、またはSecurIDサーバーに保存できます。ポリシーで認証ユーザグループと外部認証サーバを参照すると、ポリシーに一致するトラフィックによって認証チェックが開始されます。

次に、アクセスプロファイルプロファイル-1を外部認証用に設定する例を示します。アクセスプロファイルには、2つのRADIUSサーバーと1つのLDAP サーバーが設定されています。ただし、認証の順序はRADIUSサーバーのみを指定するため、RADIUSサーバー認証が失敗すると、ファイアウォールユーザーの認証は失敗します。ローカルデータベースにはアクセスされません。

手記：

ファイアウォールクライアントがRADIUSサーバーによって認証されている場合、RADIUSサーバーから返されるグループメンバーシップVSAは、RADIUSサーバー設定またはアクセスプロファイルProfile-1に、alpha、beta、またはgammaクライアントグループを含んでいる必要があります。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存するか、そうした情報が保存されている外部認証サーバーを指し示します。

構成

プロシージャ

CLIクイック構成
手順
業績

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

外部認証用のデバイスを設定するには:

外部認証の順番にRADIUSサーバーを指定します。

クライアント 1 から 4 のファイアウォールユーザーを設定し、クライアント 1 のファイアウォールユーザーとクライアント 2 のファイアウォールユーザーをクライアントグループに割り当てます。

セッションオプションでクライアントグループを設定します。

LDAP サーバーとサーバーオプションの IP アドレスを構成します。

2台のRADIUSサーバーのIPアドレスを設定します。

業績

設定モードから、 show access profile Profile-1 コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ログを使用したトラブルシューティング

目的
アクション

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

例:クライアントグループを設定する

この例では、プロファイル内のクライアントグループに対してローカルユーザーを設定する方法を示しています。

必要条件
概要
構成
検証

必要条件

開始する前に、アクセスプロファイルを作成します。

概要

クライアントグループとは、そのクライアントが属するグループのリストです。クライアントアイドルタイムアウトと同様に、外部認証サーバが応答で値を返さない(例えば、LDAPサーバがそのような情報を返さない)場合にのみ、クライアントグループが使用されます。

この例では、Managers というプロファイルのクライアントグループ G1、G2、および G3 に対して Client-1 と呼ばれるローカルユーザーを設定する方法を示しています。この例では、クライアントに対してクライアントグループが設定されています。クライアントにクライアント・グループが定義されていない場合は、 access profile session-options 階層下のクライアント・グループが使用されます。

構成

プロシージャ

CLIクイック構成
手順
業績

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

プロファイル内のクライアント・グループのローカル・ユーザーを構成するには、次のようにします。

ファイアウォールユーザープロファイルマネージャーを構成し、クライアントグループを割り当てます。

セッションオプションでクライアントグループを設定します。

業績

設定モードから show access profile Managers コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ログを使用したトラブルシューティング

目的
アクション

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

例: バナーのカスタマイズ

この例では、ブラウザに表示されるバナーテキストをカスタマイズする方法を示しています。

必要条件
概要
構成

必要条件

開始する前に、アクセスプロファイルを作成します。

概要

バナーは、ログインの種類に応じてモニターのさまざまな場所に表示されるメッセージです。この例では、ブラウザに表示されるバナーを変更して、Web 認証によるログインに成功した後にユーザが正常に認証されたことを示す方法を示します。新しいメッセージは「Web認証が成功しました」です。認証に失敗すると、新しいメッセージには「認証に失敗しました」と表示されます。

構成

プロシージャ

CLIクイック構成
手順
業績

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ブラウザに表示されるバナーテキストをカスタマイズするには:

FTP 経由のパススルー認証に失敗した場合のバナーテキストを指定します。

Web認証を成功させるためのバナーテキストを指定します。

業績

設定モードから、 show access firewall-authentication コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

例:SRXキャプティブポータルの相互TLS(mTLS)認証を設定する

詳しくは、相互 TLS(mTLS)認証を構成する方法をご覧ください。

この例では、ファイアウォールで相互トランスポート層セキュリティ(mTLS)認証を設定および検証します。この例では、ジュニパーネットワーク®スSRXシリーズファイアウォールまたはジュニパーネットワーク®スvSRX仮想ファイアウォール(vSRX3.0)を指すためにファイアウォールを使用します。この構成では、ユーザーはパスワードなしで認証できます。ユーザー認証は、公開鍵と秘密鍵のペアを使用して、クライアント/サーバー証明書を検証することによって行われます。

この例に示すように mTLS を設定するには、管理者が次の証明書を生成する必要があります。

CA 証明書 - ファイアウォールとクライアントブラウザーで CA 証明書を実行します。
サーバー証明書 - domain1.com mTLS サーバーを使用して、ファイアウォールでサーバー証明書を生成します。ファイアウォールに設定された CA 証明書を使用して、サーバー証明書に署名します。
クライアント証明書—クライアントブラウザでクライアント証明書を生成し、ファイアウォールで設定されたCA証明書を使用してクライアント証明書に署名します。

先端：

表 2: 推定タイマー
読書の時間	1時間もかかりません。
設定時間	1時間もかかりません。

前提条件の例
始める前に
機能の概要
トポロジーの概要
トポロジー図
被試験デバイス(DUT)の設定手順
付録 1:すべてのデバイスでの set コマンド
クライアントとサーバーの鍵証明書の生成
検証

前提条件の例

表 3: 要件
ハードウェア要件	ジュニパーネットワーク®スSRXシリーズファイアウォールまたはジュニパーネットワーク®スvSRX仮想ファイアウォール(vSRX3.0)
ソフトウェア要件	Junos OS リリース 23.4R1 以降

始める前に

表4:始めましょう
利点	mTLS認証では、以下が可能です。ユーザーとサーバー間の安全な接続のために、パスワードレスログインを確保します。組織のネットワークやアプリケーションにログインするユーザーに、さらなるセキュリティ層を提供します。ファイアウォールと、ログインプロセスに従わないユーザーデバイス間の接続を確認します。 APIリクエストが正当なユーザーからのものであることを確認し、悪意のあるAPIリクエストをブロックします。
もっと知る	アイデンティティ認識型ファイアウォール
詳細情報	ファイアウォールユーザー認証

機能の概要

このセクションでは、この例の構成コンポーネントの概要を説明します。

表 5:設定と検証の詳細
使用技術	mTLS認証を確立するには、以下を設定する必要があります。セキュリティゾーン—トラフィックを分離するために2つのセキュリティゾーンを設定します。 `untrust` `trust` セキュリティポリシー—セキュリティポリシー `p1` と `p2` を設定して、認証されていないユーザーと認証されたユーザーをそれぞれ許可します。これらのポリシーを使用して、データトラフィックを選択し、 `untrust` ゾーンから `trust` ゾーンに移動します。アクセスプロファイル—アクセスプロファイル `profile1` を設定し、ユーザー1の詳細を追加します。ユーザーをクライアントグループ `group1` および `group2`に割り当てます。 mTLSプロファイル—クライアントとサーバーを認証するためのmTLSプロファイル `ma2` を設定します。
主な検証タスク	mTLS認証を検証します。

トポロジーの概要

この例では、クライアントはファイアウォールを介してサーバーに接続します。mTLS認証では、クライアントとサーバーが暗号化されたTLS接続を介して情報を交換することで、互いの証明書を検証します。

ファイアウォールは、認証されていないクライアントをサーバーへの接続時に domain1.com にリダイレクトします。このプロセスでは、domain1.com の CA 証明書とサーバー証明書がファイアウォールにプリインストールされているため、証明書エラーが回避されます。CA 証明書は、クライアントのブラウザーにプリインストールされています。

mTLS認証を使用して、キャプティブポータル認証のためのユーザー資格情報の手動入力をバイパスします。Lightweight Directory Access Protocol (LDAP) プロファイルに対して有効なユーザーが構成されていることを確認して、Active Directory からユーザー情報と承認を取得します。ポリシーでファイアウォール認証が適用される場合は、JIMSの設定が必要です。

表 6: この設定で使用されるデバイス、役割、および機能
ホスト名	役割	機能
クライアント	サービスリクエスター	SRXシリーズファイアウォールを介してサーバーとのセッションを開始します。
SRXシリーズファイアウォール	ファイアウォール	クライアントのパケットを暗号化および復号化します。
サーバー	サーバー	クライアントの要求に応答します。
Active Directory	アイデンティティソース	アイデンティティソースとしてのActive Directoryは、SRXシリーズファイアウォール、vSRX仮想ファイアウォール、ジュニパーネットワーク®スcSRXコンテナファイアウォール、またはジュニパーネットワーク®スNFXシリーズネットワークサービスプラットフォームとMicrosoft Windows Active Directoryとの統合を定義します。詳細については、アイデンティティソースとしての Active Directoryを参照してください。
JIMS(ジムス)	Windows サービスアプリケーション	Juniper® Identity Management Service(JIMS)は、Active Directoryドメインからユーザー、デバイス、グループの情報を収集して管理するために設計されたWindowsサービスアプリケーションです。詳細については、 SRXシリーズファイアウォールを使用したJIMSを参照してください。

トポロジー図

図11:相互TLS(mTLS)認証 Network diagram showing a client in the Untrust zone with IP 192.168.2.1/24 connected to an SRX Series Firewall, which separates the Untrust and Trust zones. Server in the Trust zone has IP 10.1.1.1/24. Active Directory and JIMS Server are also part of the setup for identity management.

Network diagram showing a client in the Untrust zone with IP 192.168.2.1/24 connected to an SRX Series Firewall, which separates the Untrust and Trust zones. Server in the Trust zone has IP 10.1.1.1/24. Active Directory and JIMS Server are also part of the setup for identity management.

被試験デバイス(DUT)の設定手順

手記：

DUTの構成例については、以下を参照してください。

付録 1:すべてのデバイスでの set コマンド

必要なインターフェイスを設定します。

セキュリティゾーンを設定し、ゾーンにインターフェイスを割り当てます。

アクセスプロファイルを設定します。

セキュリティポリシーを設定して、認証されていないユーザーにファイアウォールユーザー認証を許可します。

ファイアウォールユーザー認証なしで認証されたユーザーを許可するセキュリティポリシーを設定します。

ca プロファイルを設定します。

mTLS プロファイルを構成します。

domain1.com サーバー証明書を実行するファイアウォールで mTLS を開始するように web-management を構成します。

(オプション)証明書検証用の証明書失効リスト(CRL)を設定します。mTLSは、受信証明書のCRL検証をサポートしています。「証明書の失効」を参照してください。

付録1:すべてのデバイスでの `set` コマンド

クライアントとサーバーの鍵証明書の生成

検証

このセクションでは、この例の機能を検証するために使用できる show コマンドの一覧を示します。

mTLS認証の検証

目的
アクション
意味

目的

mTLS認証を確認します。

アクション

動作モードから、 show services user-identification debug-counters | match MTLS コマンドを入力してmTLS認証のステータスを表示します。

意味

サンプル出力では、次のことが確認されます。

mTLS認証が正常に設定されました。
ユーザーファイアウォールが mTLS 認証を正常に処理しました。

カスタムロゴとバナーメッセージの設定

ファイアウォール管理者がカスタムロゴを設定し、パススルーおよびキャプティブポータル認証中に表示されるログインおよびログアウトバナーメッセージを設定する方法について説明します。

次の手順に従って、カスタムロゴを設定し、キャプティブポータル認証中に表示されるログイン成功、ログイン失敗、およびログアウトバナーメッセージを設定します。

キャプティブポータルには、ファイアウォール管理者による追加設定なしで、デフォルトでログアウトボタンが表示されます。ログイン後、ファイアウォールユーザーは、キャプティブポータルに表示されるログアウトボタンを使用してログオフできます。

次の中に表示されるカスタムロゴを設定します。

キャプティブポータル認証

例：

中に表示されるカスタムのログイン成功およびログイン失敗バナーメッセージを設定します

パススルー認証中に表示されるログインバナーメッセージを設定します。

例：

キャプティブポータル認証中に表示されるログアウトバナーメッセージを設定します。

例：

設定をコミットします。

項目一覧

SRXファイアウォールユーザーの認証方法を設定する

例:パススルー認証の設定

必要条件

概要

構成

プロシージャ

CLIクイック構成

手順

業績

検証

ファイアウォールユーザー認証の検証と認証テーブル内のユーザーとIPアドレスの監視

目的

アクション

例:パススルー認証をトリガーするHTTPSトラフィックの設定

必要条件

概要

構成

CLIクイック構成

プロシージャ

手順

業績

検証

設定の確認

目的

アクション

意味

例:キャプティブ ポータル認証の設定

必要条件

概要

構成

プロシージャ

CLIクイック構成

手順

業績

検証

ファイアウォールユーザー認証の検証と認証テーブル内のユーザーとIPアドレスの監視

目的

アクション

参照

例:キャプティブ ポータル認証をトリガーする HTTPS トラフィックの設定

必要条件

概要

構成

CLIクイック構成

プロシージャ

手順

業績

検証

設定の確認

目的

アクション

サンプル出力

意味

認証されていないブラウザ用のキャプティブポータルの設定

参照

例:統合ポリシーの設定

概要

位相幾何学

必要条件

従来のポリシーと統一ポリシーを使用したSRXファイアウォールユーザーの設定

CLIクイック構成

手順

業績

ファイアウォールユーザー認証が機能していることを確認する

統一ポリシーによるパススルー認証の設定

CLIクイック構成

手順

業績

パススルー認証が機能していることを確認する

統合ポリシーによるキャプティブポータル認証の設定

CLIクイック構成

手順

業績

Web認証が機能していることを確認する

検証

ファイアウォールユーザーの監視

セキュリティポリシーの使用状況の詳細の確認

例:外部認証サーバーの設定

必要条件

例:キャプティブポータル認証の設定

例:キャプティブポータル認証をトリガーする HTTPS トラフィックの設定

付録1:すべてのデバイスでの `set` コマンド