論理システムのセキュリティプロファイル
論理システムのセキュリティプロファイルにより、リソースを割り当てることができます。セキュリティプロファイルは、セキュリティプロファイルがバインドされている論理システムに割り当てるリソースの数を指定します。すべてのシステムリソースはプライマリ論理システムに割り当てられ、プライマリ管理者はセキュリティプロファイルを使用してユーザー論理システムに割り当てます。詳細については、次のトピックを参照してください。
論理システムについて セキュリティプロファイル(プライマリ管理者のみ)
論理システムを使用すると、サポートされているSRXシリーズファイアウォールを複数のデバイスに仮想的に分割して、互いを分離し、侵入や攻撃から保護し、独自のコンテキスト外の障害状態から保護できます。論理システムを保護するために、セキュリティリソースは、個別デバイスの場合と同様の方法で構成されます。ただし、プライマリ管理者は、セキュリティリソースの種類と量を論理システムに割り当てる必要があります。論理システム管理者は、自分の論理システムにリソースを割り当てます。
論理システムを実行するSRXシリーズファイアウォールは、ユーザー論理システム、必要に応じて相互接続論理システム、デフォルトのプライマリ論理システムに分割できます。システムが初期化されると、ルート レベルでプライマリ論理システムが作成されます。すべてのシステムリソースが割り当てられ、デフォルトのプライマリ論理システムセキュリティプロファイルが効果的に作成されます。論理システム間でセキュリティリソースを分散するために、プライマリ管理者は、セキュリティプロファイルがバインドされている論理システムに割り当てるリソースの種類と量を指定するセキュリティプロファイルを作成します。プライマリ管理者のみがセキュリティプロファイルを設定し、論理システムにバインドできます。ユーザーの論理システム管理者は、自分の論理システム用にこれらのリソースを設定します。
論理システムは、セキュリティコンポーネント、インターフェイス、ルーティングインスタンス、静的ルート、動的ルーティングプロトコルなど、論理システムに割り当てられるリソースによって大きく定義されます。プライマリ管理者がユーザー論理システムを設定するときに、セキュリティプロファイルをバインドします。セキュリティプロファイルがバインドされていないユーザー論理システムの設定をコミットしようとすると、失敗します。
このトピックでは、次のセクションについて説明します。
論理システムセキュリティプロファイル
プライマリ管理者は、単一のセキュリティプロファイルを設定して、リソースを特定の論理システムに割り当てたり、複数の論理システムに同じセキュリティプロファイルを使用したり、両方の方法を組み合わせて使用することができます。論理システムを実行しているSRXシリーズファイアウォールには、最大32のセキュリティプロファイルを設定できます。上限に達したら、別のセキュリティプロファイルを作成してコミットする前に、セキュリティプロファイルを削除し、設定変更をコミットする必要があります。多くの場合、1つのセキュリティプロファイルを複数の論理システムにバインドできるため、必要なセキュリティプロファイルの数は少なくなります。
セキュリティプロファイルを使用すると、次のことが可能になります。
ポリシー、ゾーン、アドレスとアドレス帳、フローセッション、各種形式のNATなど、デバイスのリソースをすべての論理システムで適切に共有します。さまざまな量のリソースを論理システム専用に割り当て、自由リソースの使用をめぐって競合させることができます。
セキュリティプロファイルは、1つの論理システムが他の論理システムで同時に必要なリソースを使い果たさないように保護します。セキュリティプロファイルは、重要なシステムリソースを保護し、デバイスにトラフィックフローが多いときに、ユーザー論理システム間で公正なレベルのパフォーマンスを維持します。これらは、あるユーザーの論理システムがリソースの使用を支配し、他のユーザーの論理システムからリソースを奪うことに対して防御します。
将来追加のユーザー論理システムを作成できるように、拡張可能な方法でデバイスを設定します。
論理システムを削除する前に、その論理システムのセキュリティプロファイルを削除する必要があります。
論理システム全体でのリソース割当と使用状況をシステムが評価する方法
論理システムにセキュリティリソースをプロビジョニングするには、プライマリ管理者として、各リソースに以下を指定するセキュリティプロファイルを設定します。
指定されたリソース量が論理システムで常に利用可能であることを保証する予約済みクォータ。
許可される最大クォータ。論理システムが予約された量よりも多くのリソースを必要とする場合、利用可能な場合(つまり、他の論理システムに割り当てられていない場合)、グローバル最大量に設定されたリソースを活用できます。最大許容クォータは、論理システムが使用できる空きグローバルリソースの部分を指定します。許可される最大クォータは、セキュリティプロファイルのリソースに指定された量が利用可能であることを保証するものではありません。論理システムは、グローバルなリソースをめぐって競合しなければなりません。
リソースに予約されたクォータが構成されていない場合、デフォルト値は0です。リソースに最大許容クォータが構成されていない場合、デフォルト値はリソースのグローバルシステムクォータです(グローバルシステムクォータはプラットフォームによって異なります)。プライマリ管理者は、特定の論理システムの最大リソース使用量がデバイスに設定された他の論理システムに悪影響を及ぼさないように、セキュリティプロファイルで適切な最大許容クォータ値を設定する必要があります。
システムは、予約、使用され、論理システムが削除されたときに再び使用可能になる、すべての割り当て済みリソースのカウントを保持します。このカウントは、リソースが新しい論理システムに使用できるかどうか、またはセキュリティプロファイルを通じて既存の論理システムに割り当てられるリソースの量を増やすかどうかを決定します。
ユーザー論理システムが削除されると、その予約済みリソース割り当ては、他の論理システムが使用できるように解放されます。
セキュリティプロファイルで設定されたリソースは、静的リソース、モジュラーリソース、または動的リソースとして特徴付けられます。静的リソースの場合、論理システムのスケーラブルな設定を可能にするために、リソースの最大クォータを予約済みクォータとして指定された量と同じかそれに近い量に設定することをお勧めします。リソースの最大クォータが高いと、そのリソースの大量にアクセスできることで論理システムの柔軟性が高まる可能性がありますが、新しいユーザー論理システムに割り当てることができる量が制限されます。
動的リソースの予約量と最大許容量の違いは重要ではありません。なぜなら、動的リソースは古くなっており、他の論理システムへの割り当てに使用できるプールが枯渇しないためです。
セキュリティプロファイルでは、以下のリソースを指定できます。
スケジューラを含むセキュリティポリシー
セキュリティゾーン
セキュリティポリシーのアドレスとアドレス帳
アプリケーションファイアウォールルールセット
アプリケーションファイアウォールルール
ファイアウォール認証
フローセッションとゲート
NAT には以下が含まれます。
コーン NAT バインディング
NAT宛先ルール
NAT宛先プール
ポートアドレス変換(PAT)のない送信元プール内のNAT IPアドレス
注:PATのないIPv6送信元プールのIPv6アドレスは、セキュリティプロファイルに含まれません。
PATを使用した送信元プール内のNAT IPアドレス
NATポートの過負荷
NATソースプール
NAT送信元ルール
NAT静的ルール
フローセッションを除くすべてのリソースは静的です。
セキュリティプロファイルが他の論理システムに割り当てられている間、論理システムセキュリティプロファイルを動的に変更できます。ただし、システムリソースクォータを超えないようにするために、システムは以下のアクションを実行します。
静的クォータが変更された場合、セキュリティプロファイルで指定されたリソースの論理システムカウントを維持するシステムデーモンは、セキュリティプロファイルを再検証します。このチェックでは、すべての論理システムに割り当てられたリソースの数を特定し、割り当てられたリソース(増加した量を含めて)が利用可能かどうかを判断します。
これらのクォータチェックは、新しいユーザー論理システムを追加し、セキュリティプロファイルをバインドするときにシステムが実行するクォータチェックと同じです。また、現在割り当てられているセキュリティプロファイルとは異なるセキュリティプロファイルを既存のユーザー論理システム(またはプライマリ論理システム)にバインドする場合にも実行されます。
動的クォータが変更された場合、チェックは実行されませんが、新しいクォータは将来のリソース使用に課されます。
ケース: セキュリティ プロファイルを通じて割り当てられた予約済みリソースの評価
セキュリティプロファイルを介して予約済みリソースの割り当てをシステムがどのように評価するかを理解するために、1つのリソース(ゾーン)の割り当てに対処する次の3つのケースを考えてみましょう。例をシンプルにするために、security-profile-1 には 10 個のゾーン(4 つのリザーブド ゾーンと 6 つの最大ゾーン)が割り当てられています。この例では、指定された最大量(6つのゾーン)がユーザー論理システムで使用できることを前提としています。システムの最大ゾーン数は10です。
これらのケースは、論理システム全体の設定に対処します。ゾーンの割り当てに基づいて、設定がコミットされたときに設定が成功するか失敗するかをテストします。
表1は 、セキュリティプロファイルとそのゾーン割り当てを示しています。
設定ケースで使用される2つのセキュリティプロファイル |
|---|
セキュリティプロファイル-1
注:
その後、プライマリ管理者は、このプロファイルで指定された予約ゾーン数を動的に増やします。 |
プライマリ論理システムプロファイル
|
表2は 、セキュリティプロファイル設定に基づいて、論理システム全体のゾーンの予約リソースを評価する方法を示す3つのケースを示しています。
すべての論理システムにバインドされたセキュリティプロファイルで設定されたゾーンの累積予約済みリソースクォータが8であり、これはシステムの最大リソースクォータを下回っているため、最初のケースの設定は成功します。
すべての論理システムにバインドされたセキュリティプロファイルで設定されたゾーンの累積予約リソースクォータが12であり、これはシステムの最大リソースクォータよりも大きいため、2番目のケースの設定は失敗します。
3番目のケースの設定は失敗します。これは、すべての論理システムにバインドされたセキュリティプロファイルで構成されたゾーンの累積予約リソースクォータが12であり、これはシステムの最大リソースクォータよりも大きいためです。
論理システム全体の予約リソースクォータチェック |
|---|
例 1: 成功 この設定は、4+4+0=8、最大容量=10の範囲内です。 使用されるセキュリティプロファイル
|
例2:失敗 この設定は範囲外です:4+4+4=12、最大容量=10。
セキュリティプロファイル
|
例3:失敗 この設定は範囲外です:6+6=12、最大容量=10。 プライマリ管理者は、security-profile-1の予約ゾーンクォータを変更し、カウントを6に増やします。
|
関連項目
例:論理システムセキュリティプロファイルの設定(プライマリ管理者のみ)
この例では、プライマリ管理者が、ユーザー論理システムに割り当てる3つの論理システムセキュリティプロファイルと、セキュリティリソースをプロビジョニングするプライマリ論理システムを設定する方法を示しています。
要件
この例では、論理システムを備えたJunos OSを実行するSRX5600デバイスを使用しています。
開始する前に、 SRXシリーズ論理システムプライマリ管理者の設定タスクの概要 を読んで、このタスクが設定プロセス全体にどのように適合するかを理解してください。
概要
この例では、以下の論理システムに対してセキュリティプロファイルを設定する方法を示しています。
ルート論理システムの論理システム。セキュリティプロファイルprimary-profileは、プライマリまたはルート論理システムに割り当てられます。
ls-product-design論理システム。セキュリティプロファイルls-design-profileが論理システムに割り当てられます。
ls-marketing-dept論理システムセキュリティプロファイルls-accnt-mrkt-profileが論理システムに割り当てられます。
ls-accounting-dept論理システムセキュリティプロファイルls-accnt-mrkt-profileが論理システムに割り当てられます。
interconnect-logical-system(使用している場合)。ダミー(null)セキュリティプロファイルを割り当てる必要があります。
トポロジー
この設定は、例に示す導入に依存しています: ユーザー論理システム、その管理者、そのユーザー、相互接続論理システムの作成。
設定
論理システムセキュリティプロファイルの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
3つのセキュリティプロファイルを作成します。
最初のセキュリティプロファイルを作成します。
ステップバイステップの手順
最大ポリシーと予約済みポリシーの数を指定します。
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
最大ゾーンと予約ゾーンの数を指定します。
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
最大セッション数と予約セッション数を指定します。
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
最大および予約されたICAPリダイレクトプロファイルの数を指定します
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
送信元NATの最大および予約されたNO-PATアドレスと静的NATルールの数を指定します。
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
侵入検出および防止(IDP)を有効にします。IDPは、プライマリ(ルート)論理システムに対してのみ有効にできます。
[edit system security-profile] user@host# set idp
セキュリティプロファイルを論理システムにバインドします。
[edit system security-profile] user@host# set master-profile root-logical-system
2 番目のセキュリティプロファイルを作成します。
ステップバイステップの手順
最大ポリシーと予約済みポリシーの数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
最大ゾーンと予約ゾーンの数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
最大セッション数と予約セッション数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
最大および予約されたICAPリダイレクトプロファイルの数を指定します
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
送信元NAT no-PATアドレスの最大数と予約済み数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
静的NATルールの最大数と予約済み数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
セキュリティプロファイルを2つの論理システムにバインドします。
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
3つ目のセキュリティプロファイルを作成します。
ステップバイステップの手順
最大ポリシーと予約済みポリシーの数を指定します。
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
最大ゾーンと予約ゾーンの数を指定します。
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
最大セッション数と予約セッション数を指定します。
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
最大および予約されたICAPリダイレクトプロファイルの数を指定します
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
送信元NAT no-PATアドレスの最大数と予約済み数を指定します。
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
セキュリティプロファイルを論理システムにバインドします。
user@host# set system security-profile ls-design-profile logical-system ls-product-design
NULLセキュリティプロファイルを相互接続論理システムにバインドします。
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
結果
設定モードから、 show system security-profile コマンドを入力して設定を確認し、設定されたすべてのセキュリティプロファイルを確認します。
個々のセキュリティプロファイルを表示するには、 show system security-profile master-profile、 show system security-profile ls-accnt-mrkt-profile 、 show system security-profile ls-design-profile コマンドを入力します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
デバイスの設定が完了したら、設定モードからコミットを入力します。
検証
論理システムに割り当てたセキュリティリソースが割り当てられていることを確認するには、各論理システムとそのすべてのリソースについてこの手順に従います。
セキュリティプロファイルリソースが論理システムに効果的に割り当てられていることの検証
目的
各論理システムのセキュリティリソースを確認します。設定されたすべての論理システムについて、このプロセスに従います。
アクション
-
SSHを使用して、各ユーザーの論理システムにユーザー論理システム管理者としてログインします。
SSHを実行し、SRXシリーズファイアウォールのIPアドレスを指定します。
作成したユーザー論理システムの1つのログインIDとパスワードを入力します。
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
次のステートメントを入力して、プロファイルに設定されたリソースを識別します。
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
結果のプロンプトで次のコマンドを入力します。プロファイルに設定された各機能に対してこれを行います。
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
例:ユーザー論理システムのセキュリティプロファイルの設定
この例では、ユーザーの論理システムセキュリティプロファイルを設定します。セキュリティプロファイル内の論理システムに割り当てられたリソースに関する情報を提供します。
SRX4100およびSRX4200デバイスは、透過モードとルートモードの両方で論理システムをサポートします。
SRX4600デバイスは、ルートモードでのみ論理システムをサポートします。
レイヤー 2 クロス論理システム トラフィックはサポートされていません。
要件
この例では、論理システムを備えたJunos OSを実行するSRX4100およびSRX4200デバイスを使用します。
始める前に:
論理システムの構成プロセスを理解します。このタスクが設定プロセス全体にどのように適合するかについては、 ユーザー論理システム設定の概要 を参照してください。
概要
論理システムを使用すると、プライマリ管理者は、SRXシリーズファイアウォールをユーザー論理システムと呼ばれる個別のコンテキストに分割できます。ユーザー論理システムは自己完結型のプライベートコンテキストであり、互いに、またプライマリ論理システムから分離されています。ユーザー論理システムには、独自のセキュリティ、ネットワーキング、論理インターフェイス、ルーティング設定、および1人以上のユーザー論理システム管理者があります。
この例では、 表 3 で説明するユーザー論理システムのセキュリティ機能を設定します。この設定は、ユーザー論理システム管理者がユーザー論理システムのリソース情報を表示するために使用します。
フィールド名 |
フィールドの説明 |
|---|---|
MACフラグ |
各インターフェイスの MACアドレス学習プロパティのステータス:
|
イーサネットスイッチングテーブル |
学習されたエントリーでは、エントリーがイーサネットスイッチングテーブルに追加された時間。 |
論理システム |
論理システムの名前 |
ルーティングインスタンス |
ルーティングインスタンスの名前 |
VLAN名 |
VLANの名前 |
MACアドレス |
論理インターフェイスで学習されたMACアドレスまたはアドレス |
年齢 |
このフィールドはサポートされていません |
論理インターフェイス |
論理インターフェイスの名前 |
RTR ID |
ルーティングデバイスのID |
NHインデックス |
特定のプレフィックスのトラフィックをルーティングするために使用されるネクストホップのソフトウェアインデックス。 |
設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
手順
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムセキュリティプロファイルを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
セキュリティプロファイルを設定し、それを論理システムに割り当てます。
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
インターフェイスを適切なインターフェイスモードに設定し、タグなしデータパケットを受信する論理インターフェイスがネイティブVLANのメンバーであることを指定します。
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
IRB インターフェイスを作成し、サブネット内のアドレスを割り当てます。
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成し、各ゾーンにインターフェイスを割り当てます。
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
IRB インターフェイスを VLAN に関連付けます。
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
結果
設定モードから、 show ethernet-switching table コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
ユーザー論理システムセキュリティプロファイル設定の検証
目的
セキュリティポリシー情報を確認します。
アクション
動作モードから、 show ethernet-switching table コマンドを入力します。
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
例:論理システムのセキュリティログストリームの設定
この例では、論理システムのセキュリティプロファイルを設定する方法を示しています。
要件
この例では、論理システムでJunos OSを実行するSRXシリーズファイアウォールを使用します。
始める前に:
このタスクが設定プロセス全体にどのように適合するかを理解するには、 SRXシリーズ論理システムプライマリ管理者の設定タスクの概要 を参照してください。
例:論理システムセキュリティプロファイルの設定(プライマリ管理者のみ)を参照してください。
概要
プライマリ管理者は、単一のセキュリティプロファイルを設定して、特定の論理システムにリソースを割り当てることができます。複数の論理システムに同じセキュリティプロファイルを使用することも、両方の方法を組み合わせて使用することもできます。 set logical-system LSYS1 security log コマンドは、SRXシリーズファイアウォールでのログサポートのために導入されました。
設定
論理システムセキュリティプロファイルの設定 logical-system
CLIクイックコンフィグレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
セキュリティプロファイルを設定し、最大ポリシーと予約ポリシーの数を指定します。
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
設定したセキュリティプロファイルをLSYS1に割り当てます。
user@host# set security-profile p1 logical-system LSYS1
結果
設定モードから、 show system security-profile コマンドを入力して設定を確認し、設定されたすべてのセキュリティプロファイルを確認します。
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
- 論理システムのセキュリティプロファイルリソースの検証
- 論理システムのセキュリティログストリーム番号の検証
- 論理システムのセキュリティログストリーム番号の概要の検証
- 論理システムのセキュリティログストリーム番号詳細の検証
論理システムのセキュリティプロファイルリソースの検証
目的
各論理システムのセキュリティリソースを確認します。
アクション
動作モードから、 show system security-profile all-resource、 show system security-profile security-log-stream-number logical-system all、 show system security-profile security-log-stream-number summary、または show system security-profile security-log-stream-number detail logical-system all コマンドを入力すると、出力が表示されます。
システムセキュリティプロファイルall-resourceを表示
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
意味
サンプル出力には、セキュリティプロファイル内の論理システムに割り当てられたリソースに関する情報が表示されます。指定された各リソースについて、論理システムで使用される数と、設定された最大値と予約値が表示されます。
論理システムのセキュリティログストリーム番号の検証
目的
各論理システムのセキュリティログストリーム番号を確認します。
アクション
動作モードから、 show system security-profile security-log-stream-number logical-system all コマンドを入力して出力を確認します。
show system security-profile security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
意味
サンプル出力では、セキュリティプロファイル内の論理システムに割り当てられたリソースに関する情報が、セキュリティプロファイル名とともに表示されます。指定された各リソースについて、論理システムで使用される数と、設定された最大値と予約値が表示されます。
論理システムのセキュリティログストリーム番号の概要の検証
目的
セキュリティログストリーム番号の概要を確認します。
アクション
動作モードから、 show system security-profile security-log-stream-number summary コマンドを入力して出力を確認します。
show system security-profile security-log-stream-number summary
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
意味
サンプル出力には、すべての論理システムのリソースに関する概要情報が表示されます。
論理システムのセキュリティログストリーム番号詳細の検証
目的
セキュリティログストリーム番号の詳細を確認します。
アクション
動作モードから、 show system security-profile security-log-stream-number detail logical-system all コマンドを入力して出力を確認します。
show system security-profile security-log-stream-number detail logical-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
意味
サンプル出力には、すべての論理システムの出力の詳細レベルが表示されます。