Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

論理システムのセキュリティゾーン

セキュリティゾーンは、ポリシーの構成要素です。セキュリティゾーンは、1つ以上のインターフェイスがバインドされている論理エンティティであり、ホストのグループ(ユーザー論理システムとサーバーなどの他のホスト)とリソースを相互に区別して、さまざまなセキュリティ対策を適用する手段を提供します。詳細については、次のトピックを参照してください。

論理システムゾーンについて

セキュリティゾーンは、1つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティゾーンは、プライマリ論理システム上にプライマリ管理者が設定するか、ユーザー論理システム管理者がユーザー論理システム上に設定できます。論理システム上で、管理者は複数のセキュリティゾーンを設定し、ネットワークをネットワークセグメントに分割し、さまざまなセキュリティオプションを適用できます。

プライマリ管理者は、ユーザー論理システムごとにセキュリティゾーンの最大数と予約数を設定します。その後、ユーザー論理システム管理者は、ユーザー論理システムにセキュリティゾーンを作成し、各セキュリティゾーンにインターフェイスを割り当てることができます。ユーザー論理システム管理者は、ユーザー論理システムから、 show system security-profile zones コマンドを使用してユーザー論理システムに割り当てられているセキュリティゾーンの数を表示し、 show interfaces コマンドを使用してユーザー論理システムに割り当てられたインターフェイスを表示することができます。

注:

プライマリ管理者は、プライマリ論理システムに適用されるセキュリティゾーンの最大数と予約済み数を指定するプライマリ論理システムのセキュリティプロファイルを設定できます。プライマリ論理システムに設定されたゾーンの数は、デバイスで使用可能なゾーンの最大数にカウントされます。

プライマリ管理者とユーザー管理者は、論理システム内のセキュリティゾーンの以下のプロパティを設定できます。

  • セキュリティゾーンの一部であるインターフェイス。

  • 画面オプション—すべてのセキュリティゾーンに対して、デバイスが潜在的に有害であると判断したさまざまな種類のトラフィックを検出してブロックする定義済みの画面オプションを有効にできます。

  • TCP-Reset—この機能を有効にすると、既存のセッションに一致せず、同期フラグが設定されていないトラフィックが到着すると、システムはRESETフラグが設定されたTCPセグメントを送信します。

  • ホストインバウンドトラフィック—この機能は、そのインターフェイスに直接接続されているシステムからデバイスに到達できるトラフィックの種類を指定します。これらのパラメータは、ゾーンレベル(ゾーンのすべてのインターフェイスに影響する)またはインターフェイスレベルで設定できます。(インターフェイス設定はゾーンの設定よりも優先されます)。

プライマリ論理システムまたはユーザー論理システムに事前設定されたセキュリティゾーンはありません。

管理機能ゾーン(MGT)は、プライマリ論理システムに対してのみ設定できます。デバイスごとに管理インターフェイスは1つだけあり、そのインターフェイスはプライマリ論理システムに割り当てられます。

プライマリ論理システム内のゾーンに割り当てるには、プライマリ管理者のみが all インターフェイスを割り当てることができます。

ユーザー論理システム管理者は、ユーザー論理システム内のセキュリティゾーンのすべての属性を設定および表示できます。ユーザー論理システム内のセキュリティゾーンのすべての属性もプライマリ管理者に表示されます。

関連項目

例:ユーザー論理システムの設定

この例では、ユーザー論理システムのインターフェイス、ルーティングインスタンス、ゾーン、セキュリティポリシーの設定を示しています。

要件

始める前に:

概要

この例では、ユーザー 論理システム、その管理者、そのユーザー、相互接続論理システムの作成で示す ls-marketing-dept と ls-accounting-dept のユーザー論理システムを設定します。

この例では、 表 1 および 表 2 に示すパラメーターを設定します。

表1: ls-marketing-deptの論理システム設定

機能

名前

設定パラメータ

インターフェース

ge-0/0/6.1

  • IPアドレス 13.1.1.1/24

  • VLAN ID 800

ルーティングインスタンス

MK-VR1

  • インスタンスタイプ:仮想ルーター

  • インターフェイスge-0/0/6.1およびlt-0/0/0.5を含む

  • 静的ルート:

    • 12.1.1.0/24ネクストホップ10.0.1.2

    • 14.1.1.0/24ネクストホップ10.0.1.4

    • 12.12.1.0/24ネクストホップ10.0.1.1

ゾーン

lsマーケティングトラスト

インターフェイスge-0/0/6.1にバインドします。

lsマーケティング信頼なし

インターフェイスlt-0/0/0.5にバインドします。

アドレス帳

マーケティング部門の内部担当

  • アドレスマーケター:13.1.1.0/24

  • ゾーンにアタッチ ls-marketing-trust

マーケティング-外部

  • アドレス設計:12.1.1.0/24

  • アドレスアカウンティング:14.1.1.0/24

  • その他アドレス:12.12.1.0/24

  • アドレスセットotherlsys:設計、会計

  • ゾーンへのアタッチ ls-marketing-untrust

ポリシー

許可すべてを他のシステムに許可lsys

以下のトラフィックを許可します。

  • 送信元ゾーン:ls-marketing-trust

  • ゾーンへ:ls-marketing-untrust

  • 送信元アドレス:マーケター

  • 宛先アドレス:otherlsys

  • アプリケーション:任意

許可-すべてからlsys

以下のトラフィックを許可します。

  • 送信元ゾーン:ls-marketing-untrust

  • ゾーンへ: ls-marketing-trust

  • 送信元アドレス: otherlsys

  • 宛先アドレス:マーケター

  • アプリケーション:任意
表2: ls-accounting-deptの論理システム設定

機能

名前

設定パラメータ

インターフェース

ge-0/0/7.1

  • IPアドレス 14.1.1.1/24

  • VLAN ID 900

ルーティングインスタンス

ACCT-VR1

  • インスタンスタイプ:仮想ルーター

  • インターフェイスge-0/0/7.1およびlt-0/0/0.7を含む

  • 静的ルート:

    • 12.1.1.0/24ネクストホップ10.0.1.2

    • 13.1.1.0/24ネクストホップ10.0.1.3

    • 12.12.1.0/24ネクストホップ10.0.1.1

ゾーン

lsアカウンティングトラスト

インターフェイスge-0/0/7.1にバインドします。

ls-accounting-untrust

インターフェイスlt-0/0/0.7にバインドします。

アドレス帳

会計内部

  • アドレスアカウンティング:14.1.1.0/24

  • ゾーンls-accounting-trustにアタッチ

アカウンティング外部

  • アドレス設計:12.1.1.0/24

  • アドレスマーケティング:13.1.1.0/24

  • その他アドレス:12.12.1.0/24

  • アドレスセットotherlsys:設計、マーケティング

  • ゾーンls-accounting-untrustにアタッチ

ポリシー

許可すべてを他のシステムに許可lsys

以下のトラフィックを許可します。

  • ゾーン送信元:ls-accounting-trust

  • ゾーンへ:ls-accounting-untrust

  • 送信元アドレス:会計処理

  • 宛先アドレス:otherlsys

  • アプリケーション:任意

許可-すべてからlsys

以下のトラフィックを許可します。

  • ゾーン送信元:ls-accounting-untrust

  • ゾーンへ:ls-accounting-trust

  • 送信元アドレス: otherlsys

  • 宛先アドレス:アカウンティング

  • アプリケーション:任意

設定

ls-marketing-deptユーザー論理システムの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

ユーザー論理システムを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ユーザー論理システムの論理インターフェイスを設定します。

  3. ルーティングインスタンスを設定し、インターフェイスを割り当てます。

  4. スタティックルートを設定します。

  5. セキュリティゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  6. アドレス帳エントリを作成します。

  7. アドレス帳をゾーンに添付します。

  8. ls-marketing-trustゾーンからls-marketing-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

  9. ls-marketing-untrustゾーンからls-marketing-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、 show routing-instances および show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ls-accounting-deptユーザー論理システムの設定

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。

ユーザー論理システムを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ユーザー論理システムの論理インターフェイスを設定します。

  3. ルーティングインスタンスを設定し、インターフェイスを割り当てます。

  4. スタティックルートを設定します。

  5. セキュリティゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  6. アドレス帳エントリを作成します。

  7. アドレス帳をゾーンに添付します。

  8. ls-accounting-trustゾーンからls-accounting-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

  9. ls-accounting-untrustゾーンからls-accounting-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、 show routing-instances および show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

ポリシー設定の検証

目的

ポリシーとルールに関する情報を検証します。

アクション

動作モードから、 show security policies detail コマンドを入力して、論理システム上で設定されたすべてのポリシーの概要を表示します。

関連項目

例:ユーザー論理システムのセキュリティゾーンの設定

この例では、ユーザー論理システムのゾーンを設定する方法を示しています。

要件

始める前に:

概要

この例では、例: ユーザー論理システム、その管理者、そのユーザー、および相互接続論理システムの作成に示されている ls-product-design ユーザー論理システムを設定します。

この例では、 表 3 に示すゾーンとアドレス帳を作成します。

表3:ユーザー論理システムゾーンとアドレス帳の設定

機能

名前

設定パラメータ

ゾーン

ls-プロダクトデザイン-トラスト

  • インターフェイスge-0/0/5.1にバインドします。

  • TCPリセットが有効になっています。

ls-product-design-untrust

  • インターフェイスlt-0/0/0.3にバインドします。

アドレス帳

製品設計内部

  • アドレス product-designers: 12.1.1.0/24

  • ゾーンにアタッチ ls-product-design-trust

製品設計外部

  • アドレスマーケティング:13.1.1.0/24

  • アドレスアカウンティング:14.1.1.0/24

  • その他アドレス:12.12.1.0/24

  • アドレスセットotherlsys: マーケティング、会計

  • ゾーンにアタッチ ls-product-design-untrust

設定

手順

CLIクイックコンフィグレーション

この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。

ユーザー論理システムでゾーンを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. セキュリティゾーンを設定し、インターフェイスに割り当てます。

  3. ゾーンのTCP-Resetパラメータを設定します。

  4. セキュリティゾーンを設定し、インターフェイスに割り当てます。

  5. グローバルアドレス帳エントリを作成します。

  6. アドレス帳をゾーンに添付します。

結果

設定モードから、 show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

関連項目

関連ドキュメント