Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

テナント システムのセキュリティ ポリシー

テナントシステムでセキュリティポリシーを設定できます。詳細については、以下のトピックを参照してください。

テナント システムのセキュリティ ポリシーについて

セキュリティポリシーは、ファイアウォールを通過できるトラフィックのルールと、ファイアウォールを通過するトラフィックに対して実行する必要のあるアクションを適用します。セキュリティ ポリシーの作成により、テナント システムの管理者は、送信元から宛先へのトラフィックの許可される種類を定義することで、ゾーンからゾーンまでのトラフィック フローを制御できます。セキュリティ ポリシーの観点から、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンを経由して出ます。デフォルトでは、テナントシステムはゾーン内およびゾーン間の方向を含むすべての方向のすべてのトラフィックを拒否します。

Junos OSリリース18.3R1以降、論理システムでサポートされるセキュリティポリシー機能がテナントシステムに拡張されました。

テナントシステムでセキュリティポリシーを設定できます。テナントセキュリティポリシーは、論理システムセキュリティポリシーやファイアウォール全体のセキュリティポリシーと同じ方法で設定されます。テナント システム内で作成されたセキュリティ ポリシー、ポリシー ルール、アドレス ブック、アプリケーション とアプリケーション セット、スケジューラは、そのテナント システムにのみ適用されます。テナント システム間では、事前定義されたアプリケーションとアプリケーション セット(など junos-ftp)のみが共有されます。

テナント システムの管理者は、テナント システム内のセキュリティー ポリシーのすべての属性を構成および表示できます。

Junos OS リリース 18.4R1 以降、テナント システム管理者はテナント システム内に動的アドレスを作成できるようになりました。動的アドレスエントリーには、外部ソースから抽出されたIPアドレスとプレフィックスが含まれています。セキュリティ ポリシーは、送信元アドレス フィールドまたは宛先アドレス フィールドの動的アドレスを使用します。コマンド show security dynamic-addressを使用すると、テナント システムの名前、フィード、プロパティなどの動的アドレス情報を表示できます。

動的アドレス エントリー(DAE)とは、手動で入力したり、テナント システム内の外部ソースからインポートしたりできる IP アドレスのグループです。DAE機能により、フィードベースのIPオブジェクトをセキュリティポリシーで使用して、送信元または宛先のIP基準に基づいてトラフィックを拒否または許可できます。

メモ:

特定のテナント システムの DAE の最大数は、システム全体のスケーリング数と同じです。さらに、すべてのテナント システムの DAE の合計は、DAE のシステム全体のスケーリング数以下である必要があります。1 つのテナント システムが IP エントリーの最大数を使用する場合、他のテナント システムは IP エントリーを DAE に取り込むのに失敗します。

Junos 18.4R1以降、 set security dynamic-address feed-server コマンドはテナントシステムで設定できます。

アプリケーションのタイムアウト

アプリケーションに設定されたアプリケーションタイムアウト値によって、セッションのタイムアウトが決まります。アプリケーションのタイムアウト動作は、ルート レベルと同じテナント システムで行われます。テナントシステムの管理者は、セキュリティポリシーで事前定義されたアプリケーションを使用できますが、管理者はこれらの事前定義されたアプリケーションのタイムアウト値を変更できません。アプリケーションタイムアウト値は、アプリケーションエントリーデータベースと、対応するテナントシステムTCPおよびUDPポートベースのタイムアウトテーブルに格納されます。

セキュリティ ポリシーの割り当て

1 次管理者は、各テナント・システムに対して構成できるポリシーの最大数を割り当てるためのセキュリティー・プロファイルを作成します。その後、テナント システムの管理者はセキュリティ プロファイルによって制限され、セキュリティ プロファイルに記載されているポリシーの数以下を作成できます。テナント システムの管理者は、 コマンドを show system security-profile policy 使用して、テナント システムに割り当てられたセキュリティ ポリシーの数を表示します。

例:テナントシステムでのセキュリティポリシーの設定

この例では、テナントシステムのセキュリティポリシーを設定する方法を示しています。

要件

設定を開始する前に、以下を行います。

  • ゾーンを設定します。 例: テナント システムでのセキュリティ ゾーンの設定を参照してください。

  • コマンドを show system security-profiles policy 使用して、テナント システムに割り当てられたセキュリティ ポリシー リソースを表示します。

概要

この例では、テナントシステムのセキュリティポリシーを設定できます。テナント システム ユーザーの管理者は、階層レベルを使用 [edit tenants tenant-name security policies] してセキュリティ ポリシーを構成できます。この例では、 表 1 で説明されているセキュリティ ポリシーを設定します。

表 1:セキュリティ ポリシー パラメーター

機能

設定パラメータ

ポリシー 1

以下のトラフィックを許可します。

  • ポリシー名:p1

  • テナント名:TSYS1

  • ゾーンから:信頼

  • ゾーンへの送信: untrust

  • 送信元アドレス:任意

  • 宛先アドレス:任意

  • アプリケーション:任意

ポリシー 2

以下のトラフィックを許可します。

  • ポリシー名:p1

  • テナント名:TSYS1

  • ゾーンから: untrust

  • ゾーンへ:信頼

  • 送信元アドレス:任意

  • 宛先アドレス:任意

  • アプリケーション:任意

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

テナント システムでセキュリティ ポリシーを設定するには、次の手順にしたがっています。

  1. テナント システムにログインし、テナント システム名を TSYS1 として定義します。

  2. ゾーン信頼からゾーン信頼へのトラフィックを許可するセキュリティポリシーをp1として作成し、 一致条件を設定します。

  3. セキュリティポリシーをp2として作成し、ゾーン untrustからゾーンの信頼へのトラフィックを許可し、 一致条件を設定します。

結果

設定モードから、 コマンドを入力して設定を show tenants tenant-name security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

検証

ポリシー設定の検証

目的

セキュリティ ポリシーに関する情報を確認します。

アクション

設定が正常に機能していることを確認するには、運用モードから コマンドを show security policies detail tenant TSYS1 入力します。

意味

出力には、テナント システムで設定されたセキュリティ ポリシーに関する情報が表示されます。

テナントシステムの動的アドレスの設定

テナント システムの動的アドレス エントリーは、セキュリティ ポリシーに動的 IP アドレス情報を提供します。動的アドレスを使用するには、テナント システムの名前、フィード、プロパティを含む動的アドレスの基本情報を指定する必要があります。

テナントシステム内のIPv4ネットワークで動的アドレスを設定するには:

  1. テナント・システム名を TSYS1 として定義します。
  2. テナント システム内に動的アドレスを作成します。
  3. コマンドを入力して、設定を show tenants TSYS1 security dynamic-address 確認します。
  • テナント システムでセキュリティ ポリシーを設定するには、次の手順にしたがっています。

    1. テナント・システム名を TSYS1 として定義します。

    2. ゾーン信頼からゾーン信頼へのトラフィックを許可するセキュリティポリシーをp1として作成し、 一致条件を設定します。

    3. コマンドを入力して設定を show tenants tenant-name security policies 確認します。

リリース履歴テーブル
リリース
説明
18.3R1
Junos OSリリース18.3R1以降、論理システムでサポートされるセキュリティポリシー機能がテナントシステムに拡張されました。