テナント システムのセキュリティ ポリシー
テナントシステムでセキュリティポリシーを設定できます。詳細については、以下のトピックを参照してください。
テナント システムのセキュリティ ポリシーについて
セキュリティポリシーは、ファイアウォールを通過できるトラフィックのルールと、ファイアウォールを通過するトラフィックに対して実行する必要のあるアクションを適用します。セキュリティ ポリシーの作成により、テナント システムの管理者は、送信元から宛先へのトラフィックの許可される種類を定義することで、ゾーンからゾーンまでのトラフィック フローを制御できます。セキュリティ ポリシーの観点から、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンを経由して出ます。デフォルトでは、テナントシステムはゾーン内およびゾーン間の方向を含むすべての方向のすべてのトラフィックを拒否します。
Junos OSリリース18.3R1以降、論理システムでサポートされるセキュリティポリシー機能がテナントシステムに拡張されました。
テナントシステムでセキュリティポリシーを設定できます。テナントセキュリティポリシーは、論理システムセキュリティポリシーやファイアウォール全体のセキュリティポリシーと同じ方法で設定されます。テナント システム内で作成されたセキュリティ ポリシー、ポリシー ルール、アドレス ブック、アプリケーション とアプリケーション セット、スケジューラは、そのテナント システムにのみ適用されます。テナント システム間では、事前定義されたアプリケーションとアプリケーション セット(など junos-ftp
)のみが共有されます。
テナント システムの管理者は、テナント システム内のセキュリティー ポリシーのすべての属性を構成および表示できます。
Junos OS リリース 18.4R1 以降、テナント システム管理者はテナント システム内に動的アドレスを作成できるようになりました。動的アドレスエントリーには、外部ソースから抽出されたIPアドレスとプレフィックスが含まれています。セキュリティ ポリシーは、送信元アドレス フィールドまたは宛先アドレス フィールドの動的アドレスを使用します。コマンド show security dynamic-address
を使用すると、テナント システムの名前、フィード、プロパティなどの動的アドレス情報を表示できます。
動的アドレス エントリー(DAE)とは、手動で入力したり、テナント システム内の外部ソースからインポートしたりできる IP アドレスのグループです。DAE機能により、フィードベースのIPオブジェクトをセキュリティポリシーで使用して、送信元または宛先のIP基準に基づいてトラフィックを拒否または許可できます。
特定のテナント システムの DAE の最大数は、システム全体のスケーリング数と同じです。さらに、すべてのテナント システムの DAE の合計は、DAE のシステム全体のスケーリング数以下である必要があります。1 つのテナント システムが IP エントリーの最大数を使用する場合、他のテナント システムは IP エントリーを DAE に取り込むのに失敗します。
Junos 18.4R1以降、 set security dynamic-address feed-server
コマンドはテナントシステムで設定できます。
アプリケーションのタイムアウト
アプリケーションに設定されたアプリケーションタイムアウト値によって、セッションのタイムアウトが決まります。アプリケーションのタイムアウト動作は、ルート レベルと同じテナント システムで行われます。テナントシステムの管理者は、セキュリティポリシーで事前定義されたアプリケーションを使用できますが、管理者はこれらの事前定義されたアプリケーションのタイムアウト値を変更できません。アプリケーションタイムアウト値は、アプリケーションエントリーデータベースと、対応するテナントシステムTCPおよびUDPポートベースのタイムアウトテーブルに格納されます。
セキュリティ ポリシーの割り当て
1 次管理者は、各テナント・システムに対して構成できるポリシーの最大数を割り当てるためのセキュリティー・プロファイルを作成します。その後、テナント システムの管理者はセキュリティ プロファイルによって制限され、セキュリティ プロファイルに記載されているポリシーの数以下を作成できます。テナント システムの管理者は、 コマンドを show system security-profile policy
使用して、テナント システムに割り当てられたセキュリティ ポリシーの数を表示します。
user@host> show system security-profile policy
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 16000
例:テナントシステムでのセキュリティポリシーの設定
この例では、テナントシステムのセキュリティポリシーを設定する方法を示しています。
要件
設定を開始する前に、以下を行います。
ゾーンを設定します。 例: テナント システムでのセキュリティ ゾーンの設定を参照してください。
コマンドを
show system security-profiles policy
使用して、テナント システムに割り当てられたセキュリティ ポリシー リソースを表示します。
概要
この例では、テナントシステムのセキュリティポリシーを設定できます。テナント システム ユーザーの管理者は、階層レベルを使用 [edit tenants tenant-name security policies]
してセキュリティ ポリシーを構成できます。この例では、 表 1 で説明されているセキュリティ ポリシーを設定します。
機能 |
設定パラメータ |
---|---|
ポリシー 1 |
以下のトラフィックを許可します。
|
ポリシー 2 |
以下のトラフィックを許可します。
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match source-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match destination-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match application any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 then permit set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
テナント システムでセキュリティ ポリシーを設定するには、次の手順にしたがっています。
テナント システムにログインし、テナント システム名を TSYS1 として定義します。
[edit] user@host# set tenants TSYS1
ゾーン信頼からゾーン信頼へのトラフィックを許可するセキュリティポリシーをp1として作成し、 一致条件を設定します。
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
セキュリティポリシーをp2として作成し、ゾーン untrustからゾーンの信頼へのトラフィックを許可し、 一致条件を設定します。
[edit tenants TSYS1 security policies from-zone untrust to-zone trust] user@host# set policy p2 match source-address any user@host# set policy p2 match destination-address any user@host# set policy p2 match application any user@host# set policy p2 then permit
結果
設定モードから、 コマンドを入力して設定を show tenants tenant-name security policies
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show tenants TSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy p2 { match { source-address any; destination-address any; application any; } then { permit; } } }
検証
ポリシー設定の検証
目的
セキュリティ ポリシーに関する情報を確認します。
アクション
設定が正常に機能していることを確認するには、運用モードから コマンドを show security policies detail tenant TSYS1
入力します。
user@host> show security policies detail tenant TSYS1
Default policy: deny-all Pre ID default policy: permit-all Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any Destination addresses: any Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Application: junos-telnet IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [23-23] Application: app_udp IP protocol: udp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5000-5000] Application: junos-icmp6-all IP protocol: 58, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy statistics: Input bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Output bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Input packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Output packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Session rate : 0 0 sps Active sessions : 0 Session deletions: 0 Policy lookups : 0
意味
出力には、テナント システムで設定されたセキュリティ ポリシーに関する情報が表示されます。
テナントシステムの動的アドレスの設定
テナント システムの動的アドレス エントリーは、セキュリティ ポリシーに動的 IP アドレス情報を提供します。動的アドレスを使用するには、テナント システムの名前、フィード、プロパティを含む動的アドレスの基本情報を指定する必要があります。
『例: テナント システムでのセキュリティ ポリシーの設定』を読み、この手順がセキュリティ ポリシーのテナント サポート全体のどこに適合するかを理解します。
テナントシステム内のIPv4ネットワークで動的アドレスを設定するには:
テナント システムでセキュリティ ポリシーを設定するには、次の手順にしたがっています。
テナント・システム名を TSYS1 として定義します。
[edit] user@host# set tenants TSYS1
ゾーン信頼からゾーン信頼へのトラフィックを許可するセキュリティポリシーをp1として作成し、 一致条件を設定します。
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
コマンドを入力して設定を
show tenants tenant-name security policies
確認します。[edit] user@host# show tenants TSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }