統合されたセキュリティ ポリシー

利点

• レイヤー7でのアプリケーションベースのセキュリティポリシー管理を簡素化します。

• デバイスがネットワークの動的なトラフィックの変化に対応できるようにします。

• 従来のセキュリティポリシーよりも優れた制御性と拡張性を提供し、動的なアプリケーショントラフィックを管理できます。

SRXシリーズファイアウォールで統一ポリシーを使用する前に

Junos OS リリース 18.2 での統合ポリシーの導入に伴い、後方互換性を確保するために、一部のコマンドがすぐには削除されませんが、非推奨とされました。これにより、古い設定を新しい設定に適合させることができます。

Junos OS リリース 19.4R3 または 20.2R3 にアップグレードする場合、非推奨のコマンドを含む設定をコミットしようとすると、セキュリティ デバイスに次の警告が表示されます。

統合ポリシーに移行して、サポートされている機能で設定を最新の状態にすることをお勧めします。

次のセクションでは、古いリリースでサポートされていない設定の詳細と、新しいリリースでそれらを有効にする方法について説明します。

• アプリケーションセキュリティ
• IDP ポリシー
• コンテンツセキュリティ

Junos OS リリース 15.1X49	統合ポリシー(Junos OS リリース 18.2 以降)
個々のアプリケーションファイアウォールルールを設定して、アプリケーションに基づいてトラフィックを許可または拒否します。 set security application-firewall 階層レベルのルールを構成とルール セット。 アプリケーション ファイアウォール機能の適用 set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services application-firewall rule-set.	アプリケーションファイアウォールと同じ機能を得るために、動的なアプリケーションを一致条件とするセキュリティポリシーを作成します。 set security policies from-zone <zone> to-zone <zone> policy <policy> match dynamic-application <application-name>

例： 次の例は、統合ポリシーの 15.1X49 を使用したアプリケーション ファイアウォール構成と 19.4R3-S1 の構成の違いを示しています。ここでは、Facebookアプリケーションをブロックするためにアプリケーションファイアウォールルールを設定する例を使用しています。

Junos OS リリース 15.1X49	統合ポリシー(Junos OS リリース 18.2 以降)
IDPポリシーをアクティブなIDPポリシーとして割り当て、セキュリティポリシーの一致条件として使用して、侵入検出と防止を実行します。	複数のIDPポリシーを設定し、セキュリティポリシーに適用します。IDP ポリシーの 1 つをデフォルト ポリシーとして定義することもできます。
アクティブなIDPポリシーを指定します。 set security idp active-policy <IDP policy name> セキュリティポリシーでIDPポリシーを適用します。 set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services idp	ルールオプションは、ファイアウォールルールごとに複数の IDP ポリシーを指定します。 set security policies from-zone <zone> to-zone <zone> policy <policy-1> then permit application-services <IDP-policy-name-1> set security policies from-zone <zone> to-zone <zone> policy <policy-2> then permit application-services <IDP-policy-name-2> set security idp default-policy <IDP-policy name>

例： 次の例は、統合ポリシーの 15.1X49 での IDP 設定と 19.4R3 での設定の違いを示しています。統合ポリシーでは、複数のIDPポリシーを柔軟に設定できることに注意してください。

Junos OS リリース 15.1X49	統合ポリシー(Junos OS リリース 18.2 以降)
各機能プロファイルでコンテンツセキュリティ機能パラメータを設定します。 set security utm feature-profile anti-virus set security utm feature-profile anti-spam set security utm feature-profile web-filtering set security utm feature-profile content-filtering	デフォルト設定でコンテンツセキュリティ機能を設定します。コンテンツ セキュリティのデフォルト設定では、特定のコンテンツ セキュリティ機能で設定し損ねた可能性のあるパラメータが適用されます。 set security utm default-configuration anti-virus set security utm default-configuration anti-spam set security utm default-configuration web-filtering set security utm default-configuration content-filtering

例： 次の例は、統合ポリシーの 15.1X49 でのコンテンツ セキュリティ設定と 19.4R3-S1 の設定の違いを示しています。ここでは、セキュリティデバイス上のSophosアンチウイルスの設定例を使用しています。

動的アプリケーション構成オプション

表 1 は、動的なアプリケーションで統一ポリシーを構成するためのオプションを示しています。

表 1: 動的アプリケーション構成オプション

動的アプリケーション構成オプション	形容
動的アプリケーションまたはアプリケーション グループ	動的アプリケーションまたは動的アプリケーション・グループを指定します。 次に例を示します。 junos:FTP (動的アプリケーション) junos:web:shopping (動的アプリケーション グループ)
任意	動的アプリケーションを any として設定すると、アプリケーションをワイルドカード(デフォルト)とするポリシーがインストールされます。アプリケーションを指定できない場合は、 any を既定のアプリケーションとして構成します。統合ポリシーのパラメータに一致するデータトラフィックは、アプリケーションタイプに関係なくポリシーと一致します。
何一つ	動的アプリケーションを none として構成すると、AppID からの分類結果が無視され、セキュリティ ポリシーのルックアップで動的アプリケーションが使用されません。一致する可能性のあるポリシーのリスト内で、動的アプリケーションを noneとして設定されたポリシーがある場合、このポリシーは最終ポリシーとして一致し、最終ポリシーになります。このポリシーでレイヤー7サービスが設定されている場合、トラフィックのディープパケットインスペクションが実行されます。 Junos OSリリース(動的アプリケーションがサポートされていなかった)をアップグレードする場合、既存の従来のポリシーはすべて、動的アプリケーションが noneに設定されたポリシーと見なされます。
動的アプリケーションが構成されていません	動的アプリケーションがセキュリティ ポリシー内で構成されていない場合、そのポリシーは従来のセキュリティ ポリシーと見なされます このポリシーは、動的アプリケーションが noneとして構成されているポリシーと類似しています。

Junos OS リリース 19.4R1 および 20.1R1 以降、セキュリティ ポリシーでは、動的アプリケーションの一致条件として以下のアプリケーションを使用することはサポートされていません。

• junos:HTTPS

• junos:POP3S

• junos:IMAPS[junos:IMAPS]

• junos:SMTPS[junos:smtps]

Junos OSリリース19.4R1および20.1R1以降のリリースへのソフトウェアアップグレードは、一致条件としてjunos:HTTPS、junos:POP3S、junos:IMAPS、junos:SMTPSのいずれかのセキュリティポリシーが設定されている場合、検証中に失敗します。

上記のリリースにアップグレードする前に、request system software validate package-name オプションを使用することをお勧めします。

セキュリティ ポリシーの一致条件として動的アプリケーション junos:HTTPS、junos:IMAPS、junos:SMTPS、または junos:POP3S を含む設定はすべて削除することをお勧めします。

アプリケーション一致基準としてのデフォルトポートとプロトコル

Junos OS リリース 18.2R1以降、アプリケーションの一致条件としてセキュリティポリシー設定に junos-defaults オプションが導入されました。 junos-defaults グループには、一般的なアプリケーション向けに事前定義された値を含む、事前設定されたステートメントが含まれています。デフォルトのプロトコルとポートは junos-defaultsから継承されるため、ポートとプロトコルを明示的に設定する必要がなく、セキュリティポリシーの設定が簡素化されます。

次の例では、セキュリティ ポリシー L7-test-policy は動的アプリケーションとして junos:HTTP を使用し、アプリケーションの一致条件として宛先 TCP ポート 80、3128、8000、8080 を継承します。

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

アプリケーションに既定のポートとプロトコルがない場合、アプリケーションは依存するアプリケーションの既定のポートとプロトコルを使用します。例えば、junos:FACEBOOK-CHATは、デフォルトのプロトコルとHTTP2、HTTPS、SPDYのポートを使用します。

junos-defaults オプションは、動的アプリケーションと共に設定する必要があります。動的アプリケーションを指定せずに junos-defaults オプションを設定すると、エラー メッセージが表示され、設定のコミットが失敗します。show security policies detailコマンドを使用して、junos-defaultsオプションを検証します。

Pre-ID デフォルト ポリシー

統合ポリシーは、AppIDからの情報を活用してアプリケーションを照合し、ポリシーで指定されたアクションを実行します。最終的なアプリケーションを特定する前に、ポリシーを正確に一致させることはできません。

pre-ID のデフォルト ポリシーでは、DPI がパケットを取得してアプリケーション ID(AppID)を実行できるように、セッションの作成を一時的に許可します。

Junos OS リリース 23.4R1以降、フローを許可する可能性のあるポリシーがない場合、事前IDデフォルトポリシー( pre-id-default-policy )は、アプリケーション識別(AppID)を実行する前にフローを拒否します。

デバイスは、トラフィックフローの最初のパケットを受信すると、基本的な5タプルマッチングを実行し、定義された潜在的なポリシーをチェックして、パケットの処理方法を決定します。すべての潜在的なポリシーでアクションが「拒否」になっていて、デフォルトのポリシーアクションも「拒否」に設定されている場合、デバイスはトラフィックを拒否し、アプリケーション識別(AppID)を実行しません。

いずれかのポリシーに「拒否」以外のアクションがある場合、デバイスは DPI を実行してアプリケーションを識別します。

デバイスは、ゾーンコンテキストとグローバルコンテキストの両方で潜在的なポリシーをチェックします。

動的アプリケーション識別前のデフォルトポリシーアクション

アプリケーションがアプリケーション識別(AppID)によって識別される前に、 pre-id-default-policy オプションがセッションに適用されます。セッションタイムアウト値は、必要なセッションログのモードとともに、 pre-id-default-policy 設定に従って適用されます。 pre-id-default-policy スタンザ内に設定がない場合は、デフォルトのセッションタイムアウト値がセッションに適用され、 pre-id-default-policyのログは生成されません。

以下に示すような set security policies pre-id-default-policy then log session-close 構成を、お客様の環境に実装することをお勧めします。

この構成により、フローが pre-id-default-policyから出られない場合に、SRXシリーズファイアウォールによってセキュリティ ログが生成されます。これらのイベントは、通常、JDPIがトラフィックを適切に分類できなかった結果ですが、APPIDエンジンを回避しようとする潜在的な試みを示している可能性もあります。

Junos OSの最近のバージョンでは、SRXシリーズファイアウォールの工場出荷時のデフォルト設定に session-close 設定が含まれています。

注意：

pre-id-default-policyのsession-initロギングを設定すると、大量のログが生成される場合があります。最初にpre-id-default-policyと一致するSRXシリーズファイアウォールに入る各セッションは、イベントを生成します。このオプションは、トラブルシューティングの目的でのみ使用することをお勧めします。

統合ポリシーによるグローバルポリシーの活用

ポリシールックアップが実装されると、ゾーンベースのセキュリティポリシーがグローバルポリシーよりも優先されます。

ゾーンレベルまたはグローバルレベルのいずれかで、セッションが任意の統合ポリシーに一致する場合、そのポリシーは潜在的なポリシー一致リストに追加されます。セッションがゾーンレベルでポリシーと一致しない場合、次のポリシー一致はグローバルレベルで発生します。グローバルレベルのポリシーには、他のセキュリティポリシーと同じ一致基準があります(例:送信元アドレス、宛先アドレス、アプリケーション、動的アプリケーションなど)。

統合ポリシー アクション

統合ポリシー構成で、以下のアクションのいずれかを指定します。

• [許可(Permit)]:トラフィックを許可します。

• 拒否—トラフィックをドロップし、セッションを閉じます。

• 拒否—クライアントに通知し、トラフィックをドロップして、セッションを閉じます。

拒否アクションのリダイレクト プロファイル

統合ポリシーでは、ドロップおよび拒否アクションをログに記録します。統合ポリシーは、接続されたクライアントにドロップおよび拒否アクションを通知しません。クライアントは、Web ページにアクセスできないことに気付かず、引き続きアクセスを試みる可能性があります。

Junos OS リリース 18.2R1 以降、統合ポリシー内でリダイレクト プロファイルを設定できます。ポリシーが拒否または拒否アクションでHTTPまたはHTTPSトラフィックをブロックした場合、統合ポリシーで応答を定義して、接続されているクライアントに通知できます。

アクションの説明を提供したり、クライアントを有益な Web ページにリダイレクトしたりするには、統合ポリシー構成で拒否または拒否アクションで[edit security dynamic-application profile name]階層レベルでredirect-messageオプションを使用し、カスタムメッセージを表示します。

リダイレクトオプションを設定するときに、クライアントのリダイレクト先のカスタムメッセージまたはURLを指定できます。

拒否アクションのSSLプロキシプロファイル

Junos OS リリース 18.2R1 以降、統合ポリシー内でリダイレクトプロファイルを設定できます。ポリシーが拒否または拒否アクションでHTTPまたはHTTPSトラフィックをブロックする場合、SSLプロキシプロファイルをトラフィックに適用できます。SSLプロキシがトラフィックを復号化し、アプリケーション識別機能がアプリケーションを識別します。次に、設定に従って、トラフィックをリダイレクトまたはドロップするアクションを実行できます。

次の例について考えてみます。

この例では、ポリシー「policy-1」でchat、FarmvilleなどのFacebookアプリケーションの一部を拒否しています。Facebookは暗号化されたアプリケーションであるため、最初にトラフィックを復号化するためにSSLプロキシが必要です。

この例では、ポリシーは暗号化された Facebook トラフィックを拒否し、設定された SSL プロキシ プロファイルを適用します。SSLプロキシがトラフィックを復号化し、JDPIがアプリケーションを識別します。

これで、ポリシーは構成に基づいて次のアクションを実行します。

• クライアント アクセスを他の URL にリダイレクトし、元のセッションを閉じます。

• 事前定義されたテキストメッセージでクライアントに通知し、セッションを閉じます

• セッションのみを閉じます。この例では、ポリシーによってセッションが閉じられます。

統合ポリシーの一致条件とルール

• 統合ポリシーの暗黙的および明示的一致
• レイヤー 7 サービスのプロファイルの重複
• ポリシーの再照合

統合ポリシーの設定に対する制限

統合ポリシーの設定には制限があります。それらには以下が含まれます:

• 既存のセッションは、以下の場合に終了することがあります。

  • ポリシーの最終的な一致に変更があった場合。

  • 既存のポリシー内に新しいポリシーが挿入されたとき、およびこの新しいポリシーが新しいサービスで構成されている場合。

  • 最終一致ポリシーが、セッション作成後、最終一致前に新しいサービスを有効にする場合。

• ポリシーベースVPNは統合ポリシーではサポートされておらず、従来のポリシーにのみ適用できます。

• 統合ポリシーでのALGトラフィック処理は、ALG機能を使用しません。
• ALGは、従来のセキュリティポリシーと照合する場合に適用されます。
  • 一致条件が dynamic-application as none を使用するポリシーは、従来のポリシーとして扱われます。
• FTPは、コンテンツセキュリティアンチウイルスのFTPファイルスキャンを許可する統合ポリシーでのALGサポートの例外です。
  • dynamic-application anyまたはdynamic-application junos:FTPを使用する必要があります。
  • FTP アンチウィルス スキャンの有効化(CLI 手順)を参照してください

• GPRS で設定されたセキュリティ ポリシーは、ポリシーが潜在的な一致リストの一部である場合には機能しないことがあります。

• グループVPNおよびユーザー ファイアウォール認証は、従来のセキュリティポリシーに適用できます。

• 動的アプリケーションを利用するポリシーの場合、最終的なポリシー一致情報は、session-initログ内で利用できない場合があります。

ポリシー検索回数の制限

ポリシーを処理するには、ポリシー検索でアプリケーションの最終 一致 状態を返す必要があります。マイクロアプリケーションを使用する場合、マイクロアプリケーションはセッションごとに絶えず変更されるため、アプリケーション分類は 最終的な一致 状態に達しません。マイクロアプリケーションは 1 つのトランザクションから別のトランザクションに変更されるため、試行されるポリシー検索の数に制限はありません。

ポリシー検索の数を制限するには、[edit security policies]階層レベルでunified-policy max-lookupsステートメントを使用します。

マイクロアプリケーションの構成

基本レベルのアプリケーションとそのすべての依存するマイクロアプリケーションを許可するには、基本レベルのアプリケーションを一致条件として指定して、統合ポリシーを構成します。各依存アプリケーションをポリシーのポリシーの一致基準を定義として明示的に指定する必要はありません。たとえば、統合ポリシーで基本レベルのアプリケーション junos-MODBUS を一致条件として指定する場合、 junos-MODBUS アプリケーション (junos:MODBUS-READ-COILS と junos:MODBUS-WRITE-SINGLE-COIL) のマイクロアプリケーションをポリシーのポリシーの一致基準を定義として構成する必要はありません。

きめ細かく制御するための統合ポリシーを定義する場合は、基本レベルアプリケーションのマイクロアプリケーションをポリシーのポリシーの一致基準を定義として指定する必要があります。基本レベルのアプリケーションをポリシーの一致条件として定義しないでください。より詳細なレベルのポリシー設定を行うには、統合ポリシーでポリシーの一致基準を定義 junos:MODBUS-READ-COILS を指定します。基本レベルのアプリケーション junos:MODBUS が、同じ統合ポリシーの一致条件として定義されていないことを確認します。