Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

論理システムのセキュリティ ゾーン

セキュリティ ゾーンは、ポリシーの構成要素です。セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティであり、ホストのグループ(ユーザー論理システムとサーバーなど、その他のホスト)、リソースを相互に識別して、さまざまなセキュリティ対策を適用する手段を提供します。詳細については、以下のトピックを参照してください。

論理システム ゾーンについて

セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティー・ゾーンは、1 次管理者が 1 次論理システム上で構成することも、ユーザー論理システム管理者がユーザー論理システム上で構成することもできます。論理システムでは、管理者は複数のセキュリティ ゾーンを設定し、ネットワークをさまざまなセキュリティ オプションを適用できるネットワーク セグメントに分割できます。

プライマリ管理者は、各ユーザー論理システムに対して、セキュリティ ゾーンの最大数と予約数を設定します。ユーザー論理システム管理者は、ユーザー論理システムにセキュリティ ゾーンを作成し、各セキュリティ ゾーンにインターフェイスを割り当てることができます。ユーザー論理システムから、ユーザー論理システム管理者は、 コマンドを show system security-profile zones 使用して、ユーザー論理システムに割り当てられたセキュリティ ゾーンの数を表示し show interfaces 、 コマンドを使用してユーザー論理システムに割り当てられたインターフェイスを表示できます。

メモ:

1 次管理者は、1 次論理システムに適用されるセキュリティー・ゾーンの最大数と予約数を指定する、1 次論理システムのセキュリティー・プロファイルを構成できます。デバイスで使用可能なゾーンの最大数に向けて、プライマリ論理システムで設定されたゾーン数。

プライマリ管理者とユーザー管理者は、論理システム内のセキュリティ ゾーンの以下のプロパティを設定できます。

  • セキュリティ ゾーンの一部であるインターフェイス。

  • 画面オプション — すべてのセキュリティ ゾーンで、デバイスが有害であると判断するさまざまな種類のトラフィックを検知してブロックする、事前定義された一連の画面オプションを有効にできます。

  • TCP-Reset—この機能が有効になっている場合、システムは、既存のセッションに一致せず、同期フラグが設定されていないトラフィックが到着すると、RESETフラグが設定されたTCPセグメントを送信します。

  • ホストインバウンドトラフィック—この機能は、インターフェイスに直接接続されたシステムからデバイスに到達できるトラフィックの種類を指定します。これらのパラメータはゾーンレベルで設定することができ、その場合はゾーンのすべてのインターフェイスに影響を与え、インターフェイスレベルで設定できます。(インターフェイス設定はゾーンの設定を上書きします。

1 次論理システムまたはユーザー論理システムには、セキュリティー・ゾーンが事前に構成されていません。

管理機能ゾーン(MGT)は、プライマリ論理システムに対してのみ設定できます。デバイスごとに管理インターフェイスは1つだけであり、そのインターフェイスはプライマリ論理システムに割り当てられます。

インターフェイスは all 、プライマリ管理者がプライマリ論理システム内のゾーンにのみ割り当てることができます。

ユーザー論理システム管理者は、ユーザー論理システム内のセキュリティ ゾーンのすべての属性を構成および表示できます。ユーザー論理システム内のセキュリティ ゾーンのすべての属性も、プライマリ管理者に表示されます。

「」も参照

例:ユーザー論理システムの設定

この例では、ユーザー論理システムのインターフェイス、ルーティングインスタンス、ゾーン、セキュリティポリシーの設定を示しています。

要件

開始する前に、以下を行います。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、相互接続論理システムの作成」で示す ls-marketing-dept と ls-accounting-dept ユーザー論理システムを設定します。

この例では、 表 1 および表 2 で説明されているパラメーターを設定 します

表 1: ls-marketing-dept Logical System Configuration

機能

名前

設定パラメータ

インターフェイス

ge-0/0/6.1

  • IP アドレス 13.1.1.1/24

  • VLAN ID 800

ルーティング インスタンス

mk-vr1

  • インスタンス タイプ:仮想ルーター

  • インターフェイスge-0/0/6.1およびlt-0/0/0.5を含む

  • 静的ルート:

    • 12.1.1.0/24 ネクストホップ 10.0.1.2

    • 14.1.1.0/24 ネクストホップ 10.0.1.4

    • 12.12.1.0/24 ネクストホップ 10.0.1.1

ゾーン

ls-marketing-trust

インターフェイス ge-0/0/6.1 にバインドします。

ls-marketing-untrust

インターフェイス lt-0/0/0.5 へのバインド

アドレス帳

マーケティング- 社内

  • 住所マーケティング担当者:13.1.1.0/24

  • ゾーン ls-marketing-trust にアタッチ

マーケティング-外部

  • アドレス設計:12.1.1.0/24

  • アドレス アカウンティング:14.1.1.0/24

  • Address others:12.12.1.0/24

  • アドレス セット otherlsys:設計、アカウンティング

  • ゾーン ls-marketing-untrust にアタッチ

ポリシー

permit-all-to-otherlsys

以下のトラフィックを許可します。

  • ゾーンから:ls-marketing-trust

  • ゾーン: ls-marketing-untrust

  • 送信元アドレス:マーケティング担当者

  • 宛先アドレス:otherlsys

  • アプリケーション:任意

permit-all-from-otherlsys

以下のトラフィックを許可します。

  • ゾーンから: ls-marketing-untrust

  • ゾーン:ls-marketing-trust

  • 送信元アドレス:otherlsys

  • 宛先アドレス:マーケティング担当者

  • アプリケーション:任意
表 2: ls 会計部門論理システム構成

機能

名前

設定パラメータ

インターフェイス

ge-0/0/7.1

  • IP アドレス 14.1.1.1/24

  • VLAN ID 900

ルーティング インスタンス

acct-vr1

  • インスタンス タイプ:仮想ルーター

  • インターフェイス ge-0/0/7.1 および lt-0/0/0.7 を含む

  • 静的ルート:

    • 12.1.1.0/24 ネクストホップ 10.0.1.2

    • 13.1.1.0/24 ネクストホップ 10.0.1.3

    • 12.12.1.0/24 ネクストホップ 10.0.1.1

ゾーン

ls-accounting-trust

インターフェイスge-0/0/7.1にバインドします。

ls-accounting-untrust

インターフェイス lt-0/0/0.7 へのバインド

アドレス帳

アカウンティング内部

  • アドレス アカウンティング:14.1.1.0/24

  • ゾーン ls-accounting-trust にアタッチ

アカウンティング外部

  • アドレス設計:12.1.1.0/24

  • 住所マーケティング:13.1.1.0/24

  • Address others:12.12.1.0/24

  • アドレス セット otherlsys:設計、マーケティング

  • ゾーン ls-accounting-untrust にアタッチ

ポリシー

permit-all-to-otherlsys

以下のトラフィックを許可します。

  • ゾーンから: ls-accounting-trust

  • ゾーンへ: ls-accounting-untrust

  • 送信元アドレス:アカウンティング

  • 宛先アドレス:otherlsys

  • アプリケーション:任意

permit-all-from-otherlsys

以下のトラフィックを許可します。

  • ゾーンから: ls-accounting-untrust

  • ゾーンへ:ls-accounting-trust

  • 送信元アドレス:otherlsys

  • 宛先アドレス:アカウンティング

  • アプリケーション:任意

構成

lsマーケティング部門ユーザー論理システムの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザー論理システムを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ユーザー論理システムの論理インターフェイスを設定します。

  3. ルーティングインスタンスを設定し、インターフェイスを割り当てます。

  4. 静的ルートを設定します。

  5. セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  6. アドレス帳エントリを作成します。

  7. アドレス帳をゾーンに添付します。

  8. ls-marketing-trustゾーンからls-marketing-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

  9. ls-marketing-untrustゾーンからls-marketing-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、 および show security コマンドを入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

ls アカウンティング部門ユーザー論理システムの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

ユーザー論理システムを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. ユーザー論理システムの論理インターフェイスを設定します。

  3. ルーティングインスタンスを設定し、インターフェイスを割り当てます。

  4. 静的ルートを設定します。

  5. セキュリティ ゾーンを設定し、各ゾーンにインターフェイスを割り当てます。

  6. アドレス帳エントリを作成します。

  7. アドレス帳をゾーンに添付します。

  8. ls-accounting-trustゾーンからls-accounting-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

  9. ls-accounting-untrustゾーンからls-accounting-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、 および show security コマンドを入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ポリシー設定の検証

目的

ポリシーとルールに関する情報を検証します。

アクション

運用モードから、 コマンドを show security policies detail 入力して、論理システムで設定されたすべてのポリシーの概要を表示します。

「」も参照

例:ユーザー論理システムのセキュリティ ゾーンの設定

この例では、ユーザー論理システムにゾーンを設定する方法を示します。

要件

開始する前に、以下を行います。

概要

この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示す ls-product-design ユーザー論理システムを設定します。

この例では、 表 3 に記載されているゾーンとアドレス 帳を作成します。

表 3:ユーザー論理システム ゾーンとアドレス帳の設定

機能

名前

設定パラメータ

ゾーン

ls-product-design-trust

  • インターフェイス ge-0/0/5.1 にバインドします。

  • TCP リセットが有効になっています。

ls-product-design-untrust

  • インターフェイス lt-0/0/0.3 にバインドします。

アドレス帳

製品設計 - 内部

  • 製品設計者への対応:12.1.1.0/24

  • ゾーン ls-product-design-trust にアタッチ

製品設計-外部

  • 住所マーケティング:13.1.1.0/24

  • アドレス アカウンティング:14.1.1.0/24

  • Address others:12.12.1.0/24

  • アドレスセット otherlsys:マーケティング、アカウンティング

  • ゾーン ls-product-design-untrust にアタッチ

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

ユーザー論理システムでゾーンを設定するには:

  1. 論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。

  2. セキュリティ ゾーンを設定し、インターフェイスに割り当てます。

  3. ゾーンの TCP リセット パラメーターを設定します。

  4. セキュリティ ゾーンを設定し、インターフェイスに割り当てます。

  5. グローバル アドレス帳エントリを作成します。

  6. アドレス帳をゾーンに添付します。

結果

設定モードから、 コマンドを入力して設定を show security 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

「」も参照

関連ドキュメント