論理システムのセキュリティポリシー
セキュリティポリシーは、ビジネスを保護し、LANリソースへのアクセスを制御するために使用されます。LANを介した社内と、インターネットなどの外部ネットワークとのやり取りの両方において、セキュアなアクセスが必要です。Junos OSは、ステートフルファイアウォール、アプリケーションファイアウォール、ユーザー識別ファイアウォールを通じて、強力なネットワークセキュリティ機能を提供します。3種類のファイアウォールの適用はすべて、セキュリティポリシーによって実装されます。詳細については、次のトピックを参照してください。
論理システムセキュリティポリシーの理解
論理システムのセキュリティポリシー
セキュリティポリシーは、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションに関するルールを適用します。セキュリティポリシーの観点から見ると、トラフィックはあるセキュリティゾーンに出入りします。
デフォルトでは、論理システムはゾーン内およびゾーン間方向を含むすべての方向のすべてのトラフィックを拒否します。セキュリティポリシーを作成することで、論理システム管理者は、指定された送信元から指定された宛先への通過を許可するトラフィックの種類を定義することで、ゾーン間のトラフィックフローを制御できます。
セキュリティポリシーは、プライマリ論理システムとユーザー論理システムで設定できます。論理システムでのセキュリティポリシーの設定は、論理システム用に設定されていないデバイスでのセキュリティポリシーの設定と同じです。論理システム内で作成されたセキュリティポリシー、ポリシールール、アドレス帳、アプリケーションとアプリケーションセット、スケジューラは、その論理システムにのみ適用されます。論理システム間で共有できるのは、 junos-ftpなどの事前定義されたアプリケーションとアプリケーションセットだけです。
論理システムでは、セキュリティポリシーで global ゾーンまたは終了ゾーンとして指定することはできません。
ユーザー論理システム管理者は、ユーザー論理システム内のセキュリティポリシーのすべての属性を設定および表示できます。ユーザー論理システム内のセキュリティポリシーのすべての属性もプライマリ管理者に表示されます。
Junos OSリリース18.4R1以降、ユーザーは論理システム内に動的アドレスを作成できるようになりました。動的アドレスエントリには、外部ソースから抽出されたIPアドレスとプレフィックスが含まれます。セキュリティポリシーは、送信元アドレスフィールドまたは宛先アドレスフィールドの動的アドレスを使用します。
動的アドレスエントリー(DAE)は、手動で入力するか、論理システム内の外部ソースからインポートできるIPアドレスのグループです。DAE機能では、フィードベースのIPオブジェクトをセキュリティポリシーで使用し、送信元または宛先のIP基準に基づいてトラフィックを拒否または許可することができます。
DAE の最大数は、論理システムに割り当てられた動的アドレスによって異なります。Junos 18.4R1以降、論理システムで set security dynamic-address feed-server コマンドを設定できるようになりました。
アプリケーションのタイムアウト
アプリケーションに設定されたアプリケーションタイムアウト値によって、セッションのタイムアウトが決まります。アプリケーションのタイムアウト動作は、論理システムではルートレベルと同じです。ただし、ユーザー論理システム管理者は、セキュリティポリシーで定義済みのアプリケーションを使用できますが、定義済みアプリケーションのタイムアウト値を変更することはできません。これは、定義済みのアプリケーションがプライマリ論理システムとすべてのユーザー論理システムで共有されるため、ユーザー論理システム管理者はその動作を変更できないためです。アプリケーションタイムアウト値は、アプリケーションエントリーデータベースと、対応する論理システムTCPおよびUDPポートベースのタイムアウトテーブルに保存されます。
トラフィックに一致するアプリケーションにタイムアウト値がある場合、そのタイムアウト値が使用されます。それ以外の場合は、アプリケーションのタイムアウト値が見つかるまで、ルックアップは次の順序で続行されます。
論理システムTCPおよびUDPポートベースのタイムアウトテーブルでタイムアウト値が検索されます。
ルートTCPおよびUDPポートベースのタイムアウトテーブルでタイムアウト値が検索されます。
プロトコルベースのデフォルトタイムアウトテーブルからタイムアウト値が検索されます。
セキュリティ ポリシーの割り当て
プライマリ管理者は、ユーザー論理システムごとにセキュリティポリシーの最大数と予約数を設定します。ユーザー論理システム管理者は、ユーザー論理システムにセキュリティポリシーを作成できます。ユーザー論理システム管理者は、ユーザー論理システムから、 show system security-profile policy コマンドを使用して、ユーザー論理システムに割り当てられているセキュリティポリシーの数を表示することができます。
プライマリ管理者は、プライマリ論理システムに適用されるセキュリティポリシーの最大数と予約済み数を指定するプライマリ論理システムのセキュリティプロファイルを設定することができます。プライマリ論理システムに設定されたポリシーの数は、デバイスで使用可能なポリシーの最大数にカウントされます。
関連項目
例:ユーザー論理システムにセキュリティポリシーを設定する
この例では、ユーザー論理システムにセキュリティポリシーを設定する方法を示しています。
要件
始める前に:
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
show system security-profiles policyコマンドを使用して、論理システムに割り当てられているセキュリティポリシーリソースを確認します。ゾーンとアドレス帳を設定します。 例:ユーザー論理システムのセキュリティゾーンの設定を参照してください。
概要
この例では、例: ユーザー論理システム、その管理者、そのユーザー、および相互接続論理システムの作成に示されている ls-product-design ユーザー論理システムを設定します。
この例では、 表 1 に示すセキュリティ ポリシーを設定します。
名前 |
設定パラメータ |
|---|---|
許可すべてを他のシステムに許可lsys |
以下のトラフィックを許可します。
|
許可-すべてからlsys |
以下のトラフィックを許可します。
|
トポロジー
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムでセキュリティポリシーを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ls-product-design-trustゾーンからls-product-design-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
論理システムの動的アドレスの設定
論理システムの動的アドレス エントリーは、セキュリティ ポリシーに動的 IP アドレス情報を提供します。動的アドレスを使用するには、論理システムの名前、フィード、プロパティなど、動的アドレスの基本情報を指定する必要があります。
ユーザー論理システムでセキュリティポリシーを設定するを参照して、この手順がセキュリティポリシーを設定する方法と場所を理解してください。
論理システム内のIPv4ネットワークで動的アドレスを設定するには:
論理システムでセキュリティポリシーを設定するには:
論理システム名を LSYS1 として定義します。
[edit] user@host# set logical-systems LSYS1
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーをp1として作成し、一致条件を設定します。
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
show logical-systems LSYS1 security policiesコマンドを入力して、設定を確認します。[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }