このページの内容

テナントシステムの画面オプションについて
例:テナントシステムの画面オプションの設定

テナントシステムのスクリーンオプション

SRXシリーズファイアウォールのテナントシステムのスクリーンオプションは、IPアドレススイープ、ポートスキャン、DOS(サービス拒否)攻撃、ICMP、UDP、SYNフラッドなどの攻撃を論理システムと同様に防止します。詳細については、次のトピックを参照してください。

テナントシステムの画面オプションについて

デバイスは、画面オプションを使用して、ゾーンを検査し、そのゾーンにバインドされたインターフェイスを越える必要があるすべての接続試行を許可または拒否することで、ゾーンをセキュリティ保護します。Junos OSは、コンテンツフィルタリングとIDPコンポーネントを含むことができるファイアウォールポリシーを、スクリーンフィルターを通過するトラフィックに適用します。デバイスで使用できるすべての画面オプションは、各テナントシステムでも使用できます。

Junos OSリリース18.3R1以降、論理システムでサポートされている画面オプションがテナントシステムに拡張されています。

例:テナントシステムの画面オプションの設定

この例では、テナントシステムの画面オプションを設定する方法を示しています。

要件
概要
設定
検証

要件

始める前に:

テナントシステムの構成プロセスを理解します。このタスクが設定プロセス全体にどのように適合するかについては、テナントシステム設定の概要を参照してください。
テナントシステムのゾーンを設定します。テナントシステムのゾーンを設定する方法については、テナントシステムのセキュリティゾーンを参照してください。

概要

画面オプションを使用して、セキュリティデバイスはセキュリティゾーンのさまざまな内部および外部の攻撃から保護できます。テナントシステム内の同じ宛先IPアドレスへの同時セッション数を制限できます。宛先ベースのセッション制限を設定することで、送信元に関係なく、Junos OSが任意の1つのホストへの同時接続要求を許容可能な数だけ許可するようになります。IPアドレスへの同時接続要求の数が制限を超えると、Junos OSはそのIPアドレスへのそれ以上の接続試行をブロックします。

設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

テナントシステムで宛先ベースのセッション制限を設定するには:

管理者としてテナントシステムにログインし、設定モードに入ります。
テナントシステム名をTN1として定義し、宛先ベースのセッション制限の画面オプションを設定します。

ICMPスクリーニングオプションを設定します。

IPスクリーニングオプションを設定します。

TCPスクリーニングオプションを設定します。

UDPスクリーニングオプションを設定します。

IDSプロファイルをゾーンにアタッチします。

結果

設定モードから、 show tenants TN1 security screen コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

セキュリティ画面ステータスの確認

目的
アクション
意味

目的

複数のスクリーニングオプションの IDS プロファイルが正しく構成されていることを確認します。

アクション

設定が正常に機能していることを確認するには、動作モードから show security screen ids-option jscreen tenant TN1 と show security zone tenant TN1コマンドを入力します。

意味

出力には、テナントシステムの画面ステータスが表示されます。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。機能エクスプローラーを使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース

説明

18.3R1