論理システムのセキュリティ ポリシー
セキュリティー ポリシーを使用して、ビジネスの保護と LAN リソースへのアクセスの制御を行います。LAN 全体の社内およびインターネットなどの外部ネットワークとのやり取りの両方において、セキュアなアクセスが必要です。Junos OSは、ステートフルファイアウォール、アプリケーションファイアウォール、ユーザーIDファイアウォールを通じて、強力なネットワークセキュリティ機能を提供します。3 種類のファイアウォールポリシーはすべて、セキュリティポリシーを通じて実装されます。詳細については、以下のトピックを参照してください。
論理システムのセキュリティ ポリシーについて
論理システムのセキュリティ ポリシー
セキュリティポリシーは、ファイアウォールを通過できるトラフィックのルールと、ファイアウォールを通過するトラフィックに対して実行する必要のあるアクションを適用します。セキュリティ ポリシーの観点から、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。
デフォルトでは、論理システムはゾーン内およびゾーン間の方向を含むすべての方向のすべてのトラフィックを拒否します。セキュリティ ポリシーを作成することで、論理システム管理者は、指定された送信元から指定された宛先に通過する許可されるトラフィックの種類を定義することで、ゾーンからゾーンへのトラフィック フローを制御できます。
セキュリティポリシーは、プライマリ論理システムとユーザー論理システムで設定できます。論理システム内のセキュリティポリシーの設定は、論理システム用に設定されていないデバイス上のセキュリティポリシーの設定と同じです。論理システム内で作成されたセキュリティ ポリシー、ポリシー ルール、アドレス ブック、アプリケーションとアプリケーション セット、スケジューラは、その論理システムにのみ適用されます。事前定義されたアプリケーションやアプリケーション・セット (など junos-ftp) のみを論理システム間で共有できます。
論理システムでは、セキュリティ ポリシーで from ゾーンまたは to ゾーンを指定 global することはできません。
ユーザー論理システム管理者は、ユーザー論理システム内のセキュリティー ポリシーのすべての属性を構成および表示できます。ユーザー論理システム内のセキュリティー・ポリシーのすべての属性も、1 次管理者に表示されます。
Junos OSリリース18.4R1以降、ユーザーは論理システム内で動的アドレスを作成できるようになりました。動的アドレスエントリーには、外部ソースから抽出されたIPアドレスとプレフィックスが含まれています。セキュリティ ポリシーは、送信元アドレス フィールドまたは宛先アドレス フィールドの動的アドレスを使用します。
動的アドレスエントリー(DAE)とは、手動で入力したり、論理システム内の外部ソースからインポートしたりできるIPアドレスのグループです。DAE機能により、フィードベースのIPオブジェクトをセキュリティポリシーで使用して、送信元または宛先のIP基準に基づいてトラフィックを拒否または許可できます。
DAE の最大数は、論理システムに割り当てられた動的アドレスによって異なります。Junos 18.4R1以降、 set security dynamic-address feed-server コマンドは論理システムで設定できます。
アプリケーションのタイムアウト
アプリケーションに設定されたアプリケーションタイムアウト値によって、セッションのタイムアウトが決まります。アプリケーションのタイムアウト動作は、論理システムではルート レベルと同じです。ただし、ユーザー論理システム管理者は、セキュリティポリシーで事前定義されたアプリケーションを使用できますが、事前定義されたアプリケーションのタイムアウト値を変更することはできません。これは、事前定義されたアプリケーションが 1 次論理システムとすべてのユーザー論理システムによって共有されるため、ユーザー論理システム管理者はその動作を変更できません。アプリケーションタイムアウト値は、アプリケーションエントリーデータベースと、対応する論理システムTCPおよびUDPポートベースのタイムアウトテーブルに格納されます。
トラフィックに一致するアプリケーションにタイムアウト値がある場合、そのタイムアウト値が使用されます。それ以外の場合、ルックアップは、アプリケーションのタイムアウト値が見つかるまで、以下の順序で続行されます。
論理システムTCPおよびUDPポートベースのタイムアウトテーブルは、タイムアウト値を検索します。
ルートTCPおよびUDPポートベースのタイムアウトテーブルは、タイムアウト値を検索します。
プロトコルベースのデフォルトタイムアウトテーブルは、タイムアウト値を検索します。
セキュリティ ポリシーの割り当て
プライマリ管理者は、各ユーザー論理システムに対して、セキュリティポリシーの最大数と予約数を設定します。その後、ユーザー論理システム管理者は、ユーザー論理システムにセキュリティー ポリシーを作成できます。ユーザー論理システムから、ユーザー論理システム管理者は、 コマンドを show system security-profile policy 使用して、ユーザー論理システムに割り当てられたセキュリティ ポリシーの数を表示できます。
1 次管理者は、1 次論理システムに適用されるセキュリティー・ポリシーの最大数と予約数を指定する、1 次論理システムのセキュリティー・プロファイルを構成できます。デバイスで利用可能なポリシーの最大数に向けて、プライマリ論理システムで設定されたポリシー数。
「」も参照
例:ユーザー論理システムにおけるセキュリティ ポリシーの設定
この例では、ユーザー論理システムにセキュリティ ポリシーを設定する方法を示します。
要件
開始する前に、以下を行います。
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム構成の概要を参照してください。
コマンドを
show system security-profiles policy使用して、論理システムに割り当てられたセキュリティー・ポリシー・リソースを表示します。ゾーンとアドレス帳を設定します。 例: ユーザー論理システムのセキュリティゾーンの設定を参照してください。
概要
この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示す ls-product-design ユーザー論理システムを設定します。
この例では、 表 1 で説明されているセキュリティ ポリシーを設定します。
名前 |
設定パラメータ |
|---|---|
permit-all-to-otherlsys |
以下のトラフィックを許可します。
|
permit-all-from-otherlsys |
以下のトラフィックを許可します。
|
トポロジ
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムでセキュリティ ポリシーを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ls-product-design-trustゾーンからls-product-design-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
論理システムの動的アドレスの設定
論理システムの動的アドレスエントリーは、セキュリティポリシーに動的IPアドレス情報を提供します。動的アドレスを使用するには、論理システムの名前、フィード、およびプロパティを含む動的アドレスの基本情報を指定する必要があります。
『例: ユーザー論理システムでのセキュリティポリシーの設定』を読み、この手順がセキュリティポリシーの設定方法と適合場所を理解します。
論理システム内のIPv4ネットワークで動的アドレスを設定するには:
論理システムでセキュリティ ポリシーを設定するには、次の手順にしたがっています。
論理システム名を LSYS1 として定義します。
[edit] user@host# set logical-systems LSYS1
ゾーン信頼からゾーン信頼へのトラフィックを許可するセキュリティポリシーをp1として作成し、 一致条件を設定します。
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
コマンドを入力して、設定を
show logical-systems LSYS1 security policies確認します。[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }