テナント システムのセキュリティ ゾーン
テナント システムでセキュリティ ゾーンを設定できます。詳細については、以下のトピックを参照してください。
テナント システムのゾーンについて
セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。管理者はテナント システムにセキュリティ ゾーンを設定できます。テナント システムでは、管理者は複数のセキュリティ ゾーンを構成し、ネットワークをさまざまなセキュリティ オプションを適用できるネットワーク セグメントに分割できます。
プライマリ管理者は、テナント システムのセキュリティ ゾーンの最大数と予約数を設定します。その後、テナント システムの管理者は、テナント システムにセキュリティ ゾーンを作成し、各セキュリティ ゾーンにインターフェイスを割り当てることができます。テナント システムで構成されたゾーン数は、デバイスで使用可能なゾーンの最大数に対してカウントされます。コマンドは show system security-profile zones 、テナント システムに割り当てられたセキュリティ ゾーンの数を表示し、コマンドを show interfaces 使用してテナント システムに割り当てられたインターフェイスを表示します。
テナント システム セキュリティ ゾーンでは、以下の機能を設定できます。
セキュリティ ゾーンの一部であるインターフェイス。
画面オプション — すべてのセキュリティ ゾーンで、デバイスが有害であると判断するさまざまな種類のトラフィックを検知してブロックする、事前定義された一連の画面オプションを有効にできます。
TCP-Reset—この機能が有効になっている場合、システムは、既存のセッションに一致せず、同期フラグが設定されていないトラフィックが到着すると、RESETフラグが設定されたTCPセグメントを送信します。
ホストインバウンドトラフィック—この機能は、インターフェイスに直接接続されたシステムからデバイスに到達できるトラフィックの種類を指定します。これらのパラメータはゾーンレベルで設定することができ、その場合はゾーンのすべてのインターフェイスに影響を与え、インターフェイスレベルで設定できます。インターフェイス設定はゾーンの設定を上書きします。
テナント システムに事前設定されたセキュリティ ゾーンはありません。
テナント システムに対して管理機能ゾーン(MGT)を設定できます。テナント システムに割り当てられたデバイスごとの管理インターフェイスがあります。
テナント システムの管理者は、テナント システム内のセキュリティ ゾーンのすべての属性を構成および表示できます。テナント システム内のすべてのセキュリティ ゾーン属性も、プライマリ管理者に表示されます。
例:テナント システム内のゾーンの設定
この例では、テナント システムのゾーンを構成する方法を示します。
要件
設定を開始する前に、以下を行います。
プライマリ管理者が作成したインターフェイスを設定します。 例: テナントシステムのインターフェイスとルーティングインスタンスの設定を参照してください。
概要
この例では、テナント システムのゾーンを設定できます。セキュリティ ゾーンはポリシーの構成要素です。1つ以上のインターフェイスがバインドされている論理エンティティです。階層レベルは [edit tenants tenant-name security zones] 、セキュリティゾーンの設定に使用されます。この例では、 表 1 で説明されているセキュリティ ポリシーとゾーンを設定します。
機能 |
設定パラメータ |
|---|---|
ゾーン 1 |
|
ゾーン 2 |
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set tenants TN1 security zones security-zone trust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone trust interfaces xe-0/0/1.0 set tenants TN1 security zones security-zone untrust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone untrust interfaces xe-0/0/3.0
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
テナント システムでセキュリティ ゾーンを設定するには、次の手順にしたがっています。
テナント システム名を TN1 として定義します。
[edit] user@host# set tenants TN1
ゾーンの信頼からのトラフィックを許可するセキュリティゾーンを信頼として設定し、インターフェイスに割り当てます。
[edit tenants TN1 security zones security-zone trust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/1.0
ゾーン untrust からのトラフィックを許可する untrust としてセキュリティ ゾーンを設定し、インターフェイスに割り当てます。
[edit tenants TN1 security zones security-zone untrust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/3.0
結果
設定モードから、 および show tenants tenant-name security zones コマンドを入力して設定をshow tenants tenant-name security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show tenants TN1 security zones
security-zone trust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/3.0;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ゾーン設定の検証
目的
セキュリティ ゾーンに関する情報を確認します。
アクション
設定が正常に機能していることを確認するには、運用モードから コマンドを show security zones tenant all 入力します。
user@host> show security zones tenant all
Tenant: TN1 Security zone: Host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: Security zone: abc Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces:xe-0/0/1.0 Security zone: def Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 1 Interfaces:xe-0/0/3.0
意味
出力には、テナント システムで設定されたセキュリティ ゾーンの情報が表示されます。