セキュリティデバイスのセキュリティゾーンとセキュリティポリシー
レイヤー2セキュリティゾーンについて
レイヤー 2 セキュリティ ゾーンは、レイヤー 2 インターフェイスをホストするゾーンです。セキュリティ ゾーンは、レイヤー 2 ゾーンまたはレイヤー 3 ゾーンのいずれかです。すべてのレイヤー 2 インターフェイスまたはすべてのレイヤー 3 インターフェイスをホストできますが、レイヤー 2 インターフェイスとレイヤー 3 インターフェイスを混在させることはできません。
セキュリティ ゾーン タイプ(レイヤー 2 またはレイヤー 3)は、セキュリティ ゾーンに設定された最初のインターフェイスから暗黙的に設定されます。同じセキュリティ ゾーンに設定される後続のインターフェイスは、最初のインターフェイスと同じタイプである必要があります。
レイヤー 2 とレイヤー 3 の両方のセキュリティ ゾーンを持つデバイスを設定することはできません。
レイヤー 2 セキュリティ ゾーンに対して次のプロパティを構成できます。
インターフェイス—ゾーン内のインターフェイスのリスト。
ポリシー:ファイアウォールを通過できるトラフィックと、ファイアウォールを通過する際にトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックにルールを適用するアクティブなセキュリティポリシー。
スクリーン:ジュニパーネットワークスのステートフルファイアウォールは、あるセキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することでネットワークを保護します。すべてのセキュリティ ゾーンおよび MGT ゾーンでは、デバイスが潜在的に有害であると判断したさまざまな種類のトラフィックを検知してブロックする、事前定義された画面オプションのセットを有効にすることができます。
注:レイヤー 2 セキュリティ ゾーンにも、レイヤー 3 セキュリティ ゾーンにも同じ画面オプションを設定できます。
アドレスブック - ポリシーを適用できるように、そのメンバーを識別するためにアドレス帳を構成するIPアドレスとアドレスセット。
TCP-RST:この機能を有効にすると、既存のセッションに一致せず、同期フラグが設定されていないトラフィックが到着すると、システムはリセットフラグが設定されたTCPセグメントを送信します。
さらに、ホスト インバウンド トラフィック用のレイヤー 2 ゾーンを構成できます。これにより、ゾーン内のインターフェイスに直接接続されているシステムからデバイスに到達できるトラフィックの種類を指定できます。デバイスのインターフェイスに直接接続されたデバイスからのインバウンドトラフィックはデフォルトでドロップされるため、予想されるすべてのホストインバウンドトラフィックを指定する必要があります。
関連項目
例:レイヤー 2 セキュリティ ゾーンの設定
この例では、レイヤー 2 セキュリティ ゾーンを設定する方法を示します。
要件
開始する前に、レイヤー 2 セキュリティ ゾーンに設定するプロパティを決定します。レイヤー 2 セキュリティ ゾーンについてを参照してください。
概要
この例では、セキュリティ ゾーン l2-zone1 に ge-3/0/0.0 と呼ばれるレイヤー 2 論理インターフェイスを含めるように設定し、セキュリティ ゾーン l2-zone2 に ge-3/0/1.0 と呼ばれるレイヤー 2 論理インターフェイスを含めるように設定します。次に、サポートされているすべてのアプリケーション サービス(SSH、Telnet、SNMP など)をホスト インバウンド トラフィックとして許可するように l2-zone2 を設定します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
レイヤー 2 セキュリティ ゾーンを設定するには:
レイヤー 2 セキュリティ ゾーンを作成し、インターフェイスを割り当てます。
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
レイヤー2セキュリティゾーンの1つを設定します。
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します 。show security zones
透過モードでのセキュリティポリシーの理解
透過モードでは、セキュリティポリシーはレイヤー2ゾーン間でのみ設定できます。パケットが VLAN を介して転送されると、セキュリティ ゾーン間でセキュリティ ポリシーが適用されます。透過モードのセキュリティポリシーは、レイヤー3ゾーンに設定されるポリシーと似ていますが、次の例外があります。
NAT はサポートされません。
IPsec VPNはサポートされません。
アプリケーション ANY はサポートされていません。
レイヤー2転送は、デバイスに明示的に設定されたポリシーがない限り、ゾーン間のトラフィックを許可しません。デフォルトでは、レイヤー2転送は以下のアクションを実行します。
設定されたポリシーで指定されたトラフィックを許可または拒否します。
アドレス解決プロトコル(ARP)およびレイヤー 2 の非 IP マルチキャストおよびブロードキャスト トラフィックを許可します。
すべての非 IP および非 ARP ユニキャスト トラフィックをブロックし続けます。
イーサネット スイッチング パケット フローのこのデフォルト動作は、J-Web または CLI 設定エディターを使用して変更できます。
マルチキャストとブロードキャストトラフィックを含む、すべてのレイヤー2非IPおよび非ARPトラフィックをブロックするオプションを設定します。
block-non-ip-allすべてのレイヤー 2 非 IP トラフィックがデバイスを通過できるようにする オプションを設定します。
bypass-non-ip-unicast
両方のオプションを同時に設定することはできません。
Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1以降、レイヤー2およびレイヤー3インターフェイス用に混合モード(デフォルトモード)で個別のセキュリティゾーンを作成できるようになりました。ただし、IRB インターフェイス間および IRB インターフェイスとレイヤー 3 インターフェイス間のルーティングはありません。そのため、レイヤー 2 ゾーンとレイヤー 3 ゾーン間でセキュリティ ポリシーを構成することはできません。セキュリティ ポリシーは、レイヤー 2 ゾーン間またはレイヤー 3 ゾーン間でのみ設定できます。
関連項目
例:透過モードでのセキュリティポリシーの設定
この例では、レイヤー2ゾーン間で透過モードでセキュリティポリシーを設定する方法を示しています。
要件
開始する前に、レイヤー 2 セキュリティ ゾーンに含めるポリシーの動作を決定します。透過モードでのセキュリティポリシーを理解するを参照してください。
概要
この例では、l2–zone1セキュリティゾーンの192.0.2.0/24サブネットワークからl2–zone2セキュリティゾーンの192.0.2.1/24のサーバーへのHTTPトラフィックを許可するセキュリティポリシーを設定します。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
透過モードでセキュリティポリシーを設定するには:
ポリシーを作成し、ゾーンのインターフェイスにアドレスを割り当てます。
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
アプリケーションのポリシーを設定します。
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
結果
設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
透過モードでのファイアウォールユーザー認証について
ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。ファイアウォールユーザー認証を使用すると、管理者は、送信元IPアドレスやその他の資格情報に基づいて、ファイアウォールの背後にある保護されたリソースにアクセスするユーザーを制限および許可できます。Junos OSは、 SRXシリーズファイアウォールの透過モードで、以下のタイプのファイアウォールユーザー認証をサポートしています。
パススルー認証 - あるゾーンのホストまたはユーザーが、別のゾーンのリソースにアクセスしようとします。FTP、Telnet、または HTTP クライアントを使用して、保護対象リソースの IP アドレスにアクセスし、ファイアウォールによって認証される必要があります。デバイスは FTP、Telnet、または HTTP を使用してユーザー名とパスワードの情報を収集し、この認証の結果に基づいて、ユーザーまたはホストからの後続のトラフィックを許可または拒否します。
Web 認証 - ユーザーは、HTTP を使用して、Web 認証が有効になっている IRB インターフェイス上の IP アドレスに接続しようとします。デバイスによって検証されるユーザー名とパスワードの入力を求められます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。