セキュリティ ポリシー アプリケーションとアプリケーション セット
ポリシー適用は、プロトコル標準が存在するトラフィックのタイプです。ポリシーアプリケーションセットは、ポリシーアプリケーションのグループです。Junos OSは、多数の個別のポリシーアプリケーションエントリーではなく、少数のポリシーアプリケーションセットを管理できるようにすることで、プロセスを簡素化します。
ポリシー アプリケーションまたはアプリケーション セットは、セキュリティ ポリシーによって、セッションを開始するパケットの一致条件と呼ばれます。Junos OSでは、ポリシーの適用とアプリケーション セットの構成が可能です。承認されたすべてのアプリケーションを含むアプリケーションセットを登録することができます。
セキュリティ ポリシー アプリケーションの概要
アプリケーションは、プロトコル標準が存在するトラフィックのタイプです。各アプリケーションには、FTP の場合は TCP/ポート 21、Telnet の場合は TCP/ポート 23 のように、トランスポート プロトコルと宛先ポート番号が関連付けられています。ポリシーを作成するときは、そのポリシーのアプリケーションを指定する必要があります。
アプリケーション・ブックから事前定義アプリケーションの 1 つを選択するか、作成したカスタム・アプリケーションまたはアプリケーション・セットを選択できます。ポリシー show applications
で使用できるアプリケーションは、CLI コマンドを使用して確認できます。
事前定義された各アプリケーションには、 の 1–65535
送信元ポート範囲があり、これには有効なポート番号のセット全体が含まれます。これにより、潜在的な攻撃者が範囲外の送信元ポートを使用してアクセスするのを防ぎます。事前定義されたアプリケーションに異なる送信元ポート範囲を使用する必要がある場合は、カスタム・アプリケーションを作成します。詳細については、「 カスタム ポリシーの適用について」を参照してください。
関連項目
セキュリティ ポリシー アプリケーション セットの概要
ポリシーを作成するときは、そのタイプのトラフィックにポリシーが適用されることを示すアプリケーションまたはサービスを指定する必要があります。場合によっては、同じアプリケーションまたはそのサブセットが複数のポリシーに存在し、管理が困難になることがあります。Junos OSでは、アプリケーションセットと呼ばれるアプリケーションのグループを作成できます。アプリケーションセットを使用すると、多数の個別のアプリケーションエントリではなく、少数のアプリケーションセットを管理できるため、プロセスが簡素化されます。
アプリケーション(またはアプリケーション セット)は、セキュリティ ポリシーによって、開始セッションのパケットの一致基準と呼ばれます。パケットがポリシーで指定されたアプリケーション タイプに一致し、他のすべての条件が一致する場合、ポリシー アクションがパケットに適用されます。
ポリシーでアプリケーションセットの名前を指定できます。この場合、他のすべての基準が一致すると、アプリケーションセット内のいずれかのアプリケーションが有効な一致基準として機能します。 any
は、使用可能なすべてのアプリケーションを示す既定のアプリケーション名です。
アプリケーションは、 .../applications/application/application-name
ディレクトリに作成されます。システムによって事前定義されたサービスに対してアプリケーションを構成する必要はありません。
定義済みのサービスに加えて、カスタム サービスを構成できます。カスタムサービスを作成したら、ポリシーで参照できます。
例:セキュリティ ポリシー アプリケーションとアプリケーション セットの設定
この例では、アプリケーションとアプリケーション セットを構成する方法を示します。
要件
開始する前に、必要なアプリケーションを構成します。 「セキュリティ ポリシー アプリケーション セットの概要」を参照してください。
概要
複数の個別のアプリケーション名を作成またはポリシーに追加する代わりに、アプリケーションセットを作成して、ポリシー内のセットの名前を参照することができます。たとえば、従業員のグループに対して、承認されたすべてのアプリケーションを含むアプリケーションセットを登録することができます。
この例では、ABC (イントラネット) ゾーンのサーバへのログイン、データベースへのアクセス、およびファイルの転送に使用するアプリケーションセットを作成します。
設定したアプリケーションセットでアプリケーションを定義します。
ゾーンAのマネージャとゾーンBのマネージャがこれらのサービスを使用します。したがって、アプリケーション・セットには、MgrAppSet などの総称名を付けます。
外部ゾーンの 2 つのサーバーによって配信される電子メールおよび Web ベースのアプリケーションに使用されるアプリケーションのアプリケーション セットを作成します。
トポロジ
構成
手順
手順
アプリケーションとアプリケーション・セットを構成するには:
マネージャ用のアプリケーションセットを作成します。
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
電子メールおよびWebベースのアプリケーション用に別のアプリケーションセットを作成します。
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、設定モードで コマンドを入力します show applications
。
ポリシー適用タイムアウトの設定とルックアップについて
アプリケーションに設定したアプリケーション・タイムアウト値によって、セッション・タイムアウトが決まります。タイムアウトしきい値は、事前定義アプリケーションまたはカスタム・アプリケーションに対して設定できます。アプリケーションの既定のタイムアウトを使用することも、カスタム タイムアウトを指定することも、タイムアウトをまったく使用しないこともできます。
アプリケーションのタイムアウト値は、ルート TCP および UDP ポートベースのタイムアウト テーブルと、プロトコルベースの既定のタイムアウト テーブルに格納されます。アプリケーションのタイムアウト値を設定すると、Junos OS はこれらのテーブルを新しい値で更新します。アプリケーションエントリデータベースには、事前定義されたアプリケーションから取得されたデフォルトのタイムアウト値もあります。タイムアウトを設定することはできますが、デフォルト値を変更することはできません。
各カスタム アプリケーションは、独自のカスタム アプリケーション タイムアウトで構成できます。複数のカスタム アプリケーションがカスタム タイムアウトで構成されている場合、各アプリケーションには独自のカスタム アプリケーション タイムアウトがあります。
トラフィックに一致するアプリケーションにタイムアウト値がある場合は、そのタイムアウト値が使用されます。それ以外の場合、アプリケーションのタイムアウト値が見つかるまで、検索は次の順序で続行されます。
ルート TCP および UDP ポートベースのタイムアウト テーブルでタイムアウト値が検索されます。
プロトコルベースのデフォルトのタイムアウトテーブルでタイムアウト値が検索されます。 表 1 を参照してください。
表 1: プロトコルベースのデフォルトタイムアウト プロトコル
デフォルトのタイムアウト(秒)
Tcp
1800
Udp
60
Icmp
60
Ospf
60
他
1800
ポリシー適用タイムアウトの不測の事態について
タイムアウトを設定するときは、次の不測の事態に注意してください。
アプリケーションに複数のアプリケーション ルール エントリが含まれている場合、すべてのルール エントリが同じタイムアウトを共有します。アプリケーションのタイムアウトを定義する必要があるのは一度だけです。たとえば、2 つのルールを持つアプリケーションを作成する場合、次のコマンドは両方のルールのタイムアウトを 20 秒に設定します。
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
複数のカスタム アプリケーションがカスタム タイムアウトで構成されている場合、各アプリケーションには独自のカスタム アプリケーション タイムアウトがあります。例えば:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
この設定では、Junos OS は、アプリケーション グループ内の宛先ポート 2121 に 10 秒のタイムアウトを、宛先ポート 2300 に 20 秒のタイムアウトを適用します。
例:ポリシー適用タイムアウトの設定
この例では、ポリシー適用タイムアウト値を設定する方法を示しています。
要件
開始する前に、ポリシー適用のタイムアウトについて理解しておいてください。 ポリシー適用タイムアウトの設定とルックアップについてを参照してください。
概要
アプリケーション タイムアウト値は、アプリケーション エントリ データベースと、対応する vsys TCP および UDP ポート ベースのタイムアウト テーブルに保存されます。この例では、ポリシー適用タイムアウトのデバイスを、FTP 事前定義アプリケーションの 75 分(4500 秒)に設定します。
アプリケーションのタイムアウト値を設定すると、Junos OS はこれらのテーブルを新しい値で更新します。
構成
手順
手順
ポリシー適用のタイムアウトを設定するには:
非アクティブ・タイムアウト値を設定します。
[edit applications application ftp] user@host# set inactivity-timeout 4500
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します show applications
。