Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ユーザー論理システムの概要

ユーザー論理システムを使用すると、独自のユーザー論理システムに割り当てられたゾーン、セキュリティポリシー、論理インターフェイス、セキュリティリソースを設定できます。詳細については、次のトピックを参照してください。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 プラットフォーム固有のユーザー論理システム動作」 セクションを参照してください。

ユーザー論理システム構成の概要

プライマリ管理者がユーザー論理システムを作成するときに、そのシステムを管理するユーザー論理システム管理者を割り当てます。ユーザー論理システムには、複数のユーザー論理システム管理者を含めることができます。

ユーザー論理システム管理者は、自分のユーザー論理システム内のリソースにアクセスして表示できますが、他のユーザー論理システムやプライマリ論理システムのリソースにアクセスして表示することはできません。ユーザー論理システムに割り当てられたリソースを設定することはできますが、割り当てられたリソースの数は変更できません。

以下の手順は、ユーザー論理システム管理者がユーザー論理システム内のリソースを設定するために実行するタスクの一覧です。

  1. プライマリ管理者が設定したログイン名とパスワードを使用して、ユーザー論理システムにログインします。

    1. デバイスに設定された管理IPアドレスへのSSH接続。プライマリ管理者から提供された管理者ログインとパスワードを使用して、ユーザー論理システムにログインします。

      プライマリ管理者が設定したユーザー論理システムにUNIXシェルを入力します。

      Trusted Platform Module(TPM)チップは、デフォルトで有効になっています。論理システムでTPM機能を使用するには、ルート論理システムでのみマスター暗号化キー(MEK)を設定する必要があり、ユーザー論理システムは同じMEKを継承して、設定ハッシュと公開鍵基盤(PKI)キーペアを暗号化します。TPMの詳細については、 トラステッドプラットフォームモジュールを使用してSRXシリーズデバイスでシークレットをバインドするを参照してください。

    2. > プロンプトが表示されている場合は、CLIが開始されたことを示します。プロンプトの前に、ユーザー名、ルーターのホスト名、ユーザー論理システムの名前を含む文字列が表示されます。CLIが起動すると、動作モードの最上位レベルになります。 configure 動作モードコマンドを入力することで、設定モードに入ります。CLI プロンプトが user@host: logical-system> から user@host: logical-system# に変わります。

      CLIを終了してUNIXシェルに戻るには、 quit コマンドを入力します。

  2. プライマリ管理者によってユーザー論理システムに割り当てられた論理インターフェイスを設定します。1つ以上のルーティングインスタンスと、各インスタンス内のルーティングプロトコルとオプションを設定します。 例:ユーザー論理システム用のインターフェイスとルーティングインスタンスの設定を参照してください。

  3. ユーザー論理システムのセキュリティリソースを設定します。

    1. ユーザー論理システムのゾーンを作成し、論理インターフェイスをゾーンにバインドします。ポリシーで使用するためにゾーンに添付するアドレス帳を作成できます。 例:ユーザー論理システムのセキュリティゾーンの設定を参照してください。

    2. ゾーンレベルで画面オプションを設定します。 例:ユーザー論理システムの画面オプションの設定を参照してください。

    3. ユーザー論理システム内のゾーン間のセキュリティポリシーを設定します。 例:ユーザー論理システムにおけるセキュリティポリシーの設定を参照してください。

      特定のタイプのトラフィックに対して、カスタムアプリケーションまたはアプリケーションセットを作成できます。カスタムアプリケーションを作成するには、[edit applications]階層レベルでapplication設定ステートメントを使用します。アプリケーションセットを作成するには、[edit applications]階層レベルでapplication-set設定ステートメントを使用します。

    4. ファイアウォール認証を設定します。プライマリ管理者は、プライマリ論理システムでアクセスプロファイルを作成します。 例:アクセスプロファイルの設定(プライマリ管理者のみ)を参照してください。

      次に、ユーザーの論理システム管理者は、トラフィックを照合するファイアウォール認証指定し、認証のタイプ(パススルーまたはWeb認証)、デフォルトのアクセスプロファイル、および成功バナーを設定するセキュリティポリシーを設定します。 例:ユーザー論理システム向けのファイアウォール認証の設定を参照してください。

    5. ルートベースのVPNトンネルを設定して、ユーザー論理システムとリモートサイト間のトラフィックを保護します。プライマリ管理者は、セキュアなトンネルインターフェイスをユーザー論理システムに割り当て、VPNトンネル用のIKEおよびIPsec SAを設定します。 例:VPNトンネル用のIKEおよびIPsec SAの設定(プライマリ管理者のみ)を参照してください。

      次に、ユーザーの論理システム管理者が、ルートベースのVPNトンネルを設定します。 例:ユーザー論理システムでのルートベースVPNトンネルの設定を参照してください。

    6. ネットワークアドレス変換(NAT)を設定します。 例:ユーザー論理システムのネットワークアドレス変換の設定を参照してください。

    7. 事前定義された IDP ポリシーを設定し、ユーザー論理システムに割り当てます。プライマリ管理者は、ルートレベルで IDP ポリシーを設定し、論理システムにバインドされたセキュリティプロファイルで IDP ポリシーを指定します。 例:ユーザー論理システムに定義済みの IDP ポリシーを設定および割り当てを参照してください。

      その後、ユーザー論理システム管理者は、セキュリティポリシーでIDPを有効にします。 例:ユーザー論理システムセキュリティポリシーでIDPを有効にするを参照してください。

    8. ユーザー論理システムで IDP ポリシーを設定し、有効にします。 例:ユーザー論理システムの IDP ポリシーの設定を参照してください。

    9. アプリケーションシステムキャッシュ(ASC)エントリを表示またはクリアします。 論理システムアプリケーション識別サービスについてを参照してください。

    10. ユーザー論理システム上でアプリケーションファイアウォールサービスを設定します。 論理システムについてアプリケーションファイアウォールサービス および 例:ユーザー論理システム用のアプリケーションファイアウォールサービスの設定を参照してください。

    11. AppTrackアプリケーション追跡ツールを設定します。 例:ユーザー論理システム用AppTrackの設定を参照してください。

関連項目

ユーザー論理システムとユーザー論理システム管理者の役割について

論理システムを使用すると、プライマリ管理者は、SRXシリーズファイアウォールをユーザー論理システムと呼ばれる個別のコンテキストに分割できます。ユーザー論理システムは自己完結型のプライベートコンテキストであり、互いに、またプライマリ論理システムから分離されています。ユーザー論理システムには、独自のセキュリティ、ネットワーキング、論理インターフェイス、ルーティング設定、および1人以上のユーザー論理システム管理者があります。

プライマリ管理者がユーザー論理システムを作成するときに、その管理を1人以上のユーザー論理システム管理者に割り当てます。ユーザーの論理システム管理者は、自分の論理システムに限定されたデバイスのビューを表示できます。ユーザー論理システムはユーザー論理システム管理者によって管理されますが、プライマリ管理者はデバイスのグローバルビューを持ち、すべてのユーザー論理システムにアクセスできます。必要に応じて、プライマリ管理者はデバイス上の任意のユーザー論理システムを管理できます。

ユーザー論理システム管理者の役割と責任は、プライマリ管理者の役割と責任とは異なります。ユーザー論理システム管理者は、自分のユーザー論理システムリソースの設定、設定、および表示できますが、他のユーザー論理システムやプライマリ論理システムの設定はアクセスできません。

ユーザー論理システム管理者は、以下を実行できます。

  • 割り当てられたリソースに基づいて、ユーザーの論理システム環境にゾーン、アドレス帳、セキュリティポリシー、ユーザーリスト、カスタムサービスなどを設定します。

    例えば、プライマリ管理者がユーザー論理システムに40のゾーンを割り当てている場合、それらのゾーンを設定および管理することはできますが、割り当てられた数を変更することはできません。

  • ルーティングインスタンスを設定し、割り当てられたインターフェイスを割り当てます。静的ルートを作成し、ルーティングインスタンスに追加します。ルーティングプロトコルを設定します。

  • ユーザー論理システムでアプリケーションファイアウォールポリシーを設定、有効化、監視します。

  • AppTrackを設定します。

  • 割り当てられたすべての論理インターフェイスを表示し、その属性を設定します。ユーザー論理システムの論理インターフェイスに設定した属性は、他のユーザー論理システム管理者には表示されません。

  • ユーザー論理システムの運用コマンドを実行します。

関連項目

プラットフォーム固有のユーザー論理システムの動作

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォーム固有の動作を確認するには、以下の表を使用して下さい。

表1:プラットフォーム固有の動作

プラットフォーム

違い

SRXシリーズ

  • ユーザー論理システムをサポートするSRX5400、SRX5600、SRX5800ファイアウォールは、SRX5K-RE3-128Gルーティングエンジン(RE3)でTPMをサポートします。