アドレス帳とアドレスセット
アドレス帳は、アドレスとアドレス セットのコレクションです。アドレス帳は、セキュリティ ポリシーやセキュリティ ゾーンなどの他の構成で参照されるコンポーネントや構成要素のようなものです。アドレスブックにアドレスを追加することも、各アドレスブックでデフォルトで使用可能な定義済みのアドレスを使用することもできます
ゾーン内のアドレス帳は、個々のアドレスまたはアドレス セットで構成できます。アドレス セットは、アドレス帳内で定義された 1 つ以上のアドレスのセットです。アドレス セットを使用すると、アドレスを論理グループに整理できます。アドレス セットは、セキュリティ ポリシー、セキュリティ ゾーン、または NAT 設定でアドレスのグループを複数回参照する必要がある場合に便利です。
アドレス帳について
アドレス帳は、アドレスとアドレス セットのコレクションです。Junos OSでは、複数のアドレス帳を設定できます。アドレスブックにアドレスを追加することも、各アドレスブックでデフォルトで使用可能な定義済みのアドレスを使用することもできます。
アドレス帳のエントリーには、トラフィックが許可、ブロック、暗号化、またはユーザー認証されているホストとサブネットのアドレスが含まれます。これらのアドレスには、IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン生成アルゴリズム(DNS)名の任意の組み合わせを使用できます。
事前定義されたアドレス
アドレスを作成するか、デフォルトで使用可能な次の定義済みアドレスのいずれかを使用できます。
Any- このアドレスは、任意の IP アドレスと一致します。このアドレスをポリシー設定で送信元アドレスまたは宛先アドレスとして使用する場合、任意のパケットの送信元アドレスおよび宛先アドレスと一致します。Any-ipv4- このアドレスは、任意の IPv4 アドレスと一致します。Any-ipv6- このアドレスは、任意の IPv6 アドレスと一致します。
アドレス帳のネットワークプレフィックス
プレフィックス/長さ形式のネットワーク プレフィックスとしてアドレスを指定できます。たとえば、203.0.113.0/24 はネットワーク プレフィックスに変換されるため、アドレス帳アドレスとして使用できます。ただし、203.0.113.4/24 はサブネット長の 24 ビットを超えるため、アドレス帳としては使用できません。サブネットの長さを超えるものはすべて、0(ゼロ)として入力する必要があります。特殊なシナリオでは、ホスト名を入力できます。これは、32 ビットのアドレス長をすべて使用できるためです。
IPv6アドレスプレフィックスは、IPv6プレフィックス(アドレス)とプレフィックス長の組み合わせです。プレフィックスは ipv6-prefix/prefix-length という形式で、アドレス空間(またはネットワーク)のブロックを表します。ipv6-prefix 変数は、一般的な IPv6 アドレス指定規則に従います。/prefix-length 変数は、アドレスのネットワーク部分を構成するアドレスの連続した上位ビットの数を示す 10 進数値です。たとえば、2001:db8::/32 は IPv6 のプレフィックスとして使用できます。IPv6アドレスとアドレスプレフィックスのテキスト表現の詳細については、RFC 4291、 IPバージョン6アドレッシングアーキテクチャを参照してください。
アドレス帳のワイルドカードアドレス
アドレス帳には、IPアドレスとドメイン名の他に、ワイルドカードアドレスを指定できます。ワイルドカードアドレスは、A.B.C.D/wildcard-mask として表されます。ワイルドカードマスクは、IP アドレス A.B.C.D のどのビットを無視するかを決定します。たとえば、セキュリティ ポリシーの送信元 IP アドレス 192.168.0.11/255.255.0.255 は、セキュリティ ポリシーの一致条件によって IP アドレスの 3 番目のオクテット(192.168.*.11 として記号的に表される)を破棄できることを意味します。そのため、192.168.1.11 や 192.168.22.11 などの送信元 IP アドレスを持つパケットは、一致条件に準拠します。ただし、192.168.0.1 や 192.168.1.21 などの送信元 IP アドレスを持つパケットは一致基準を満たしません。
ワイルドカードアドレスの使用は、フルオクテットのみに限定されません。任意のワイルドカード アドレスを設定できます。例えば、ワイルドカード アドレス 192.168.7.1/255.255.7.255 は、ポリシーを一致させる際に、ワイルドカード アドレスの 3 番目のオクテットの最初の 5 ビットのみを無視する必要があることを意味します。ワイルドカードアドレスの使用がフルオクテットのみに制限されている場合、4つのオクテットのそれぞれに0または255のみを持つワイルドカードマスクが許可されます。
アドレス帳のDNS名
既定では、DNS の IPv4 アドレスと IPv6 アドレスを解決できます。IPv4 または IPv6 アドレスが指定されている場合は、それぞれキーワード ipv4-only と ipv6-only を使用して、それらのアドレスのみを解決できます。
DNS の送信元アドレスを構成するときは、次の点を考慮してください。
-
各 DNS サーバー名の送信元アドレスとして設定できる送信元アドレスは 1 つだけです。
-
IPv6 DNS サーバーでは IPv6 送信元アドレスがサポートされ、IPv4 サーバーでは IPv4 アドレスのみがサポートされます。IPv6 DNS サーバー用に IPv4 アドレスを構成したり、IPv4 DNS サーバー用に IPv6 アドレスを構成したりすることはできません。
すべての管理トラフィックが特定の送信元アドレスから発信されるようにするには、システムネームサーバーと送信元アドレスを設定します。例えば:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
アドレス エントリにドメイン名を使用する前に、DNS サービスのセキュリティ デバイスを設定する必要があります。DNS の詳細については、「 DNS の概要」を参照してください。
グローバルアドレス帳について
「グローバル」と呼ばれるアドレス帳は、常にシステム上に存在します。他のアドレス帳と同様に、グローバルアドレス帳には、IPv4アドレス、IPv6アドレス、ワイルドカードアドレス、またはドメイン生成アルゴリズム(DNS)名を任意に組み合わせて含めることができます。
グローバルアドレス帳にアドレスを作成することも、定義済みのアドレス(any、any-ipv4、any-ipv6)を使用することもできます。ただし、グローバル アドレス帳のアドレスを使用する場合、セキュリティ ゾーンをアタッチする必要はありません。グローバルアドレス帳は、アドレス帳が添付されていないすべてのセキュリティゾーンで使用できます。
グローバル アドレス帳は、次の場合に使用されます。
デバイスからも削除されます - NAT ルールでは、グローバルアドレス帳のアドレスオブジェクトのみを使用できます。ゾーンベースのアドレス帳のアドレスを使用することはできません。
グローバル ポリシー:グローバル ポリシーで使用されるアドレスは、グローバル アドレス帳で定義する必要があります。グローバル アドレス帳オブジェクトは、特定のゾーンに属しません。
アドレス セットについて
アドレス帳は、多数のアドレスを含むように大きくなり、管理が困難になる可能性があります。アドレス セットと呼ばれるアドレスのグループを作成して、大量のアドレス帳を管理できます。アドレスセットを使用すると、アドレスを論理グループに整理し、ポリシーやNATルールなどの他の機能を簡単に設定するために使用できます。
any-ipv4アドレスとany-ipv6アドレスの両方を含む事前定義されたアドレスを選択しますセットanyは、セキュリティゾーンごとに自動的に作成されます。
既存のユーザーでアドレス セットを作成することも、空のアドレス セットを作成して後でユーザーを入力することもできます。アドレス セットを作成する場合、IPv4 アドレスと IPv6 アドレスを組み合わせることができますが、アドレスは同じセキュリティ ゾーンにある必要があります。
また、アドレス セット内にアドレス セットを作成することもできます。これにより、ポリシーをより効果的に適用できます。例えば、2 つのステートメントを使用する代わりに、set1 と set2 の 2 つのアドレス セットにポリシーを適用する場合、1 つのステートメントだけで、アドレス セット set1 と set2 を含む新しいアドレス セットset3にポリシーを適用できます。
ポリシーにアドレスを追加すると、複数のポリシーに同じアドレスのサブセットが存在することがあり、ポリシーが各アドレス エントリにどのように影響するかを管理することが困難になります。個々のアドレス帳エントリーなどのポリシーでアドレスセットエントリーを参照すると、多数の個別アドレスエントリーを管理するのではなく、少数のアドレスセットを管理できるようになります。
アドレスとアドレス セットの設定
アドレス帳でアドレスとアドレス セットを定義し、さまざまな機能を設定するときに使用できます。また、デフォルトで使用可能な事前定義されたアドレス any、 any-ipv4、および any-ipv6 を使用することもできます。ただし、アドレス帳に事前定義されたアドレスを選択します any を追加することはできません。
アドレス帳とアドレス帳セットを設定した後は、セキュリティポリシー、セキュリティゾーン、NATなどの異なる機能を設定する際に使用します。
アドレスとアドレス セット
IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン生成アルゴリズム(DNS)名をアドレス帳のアドレス エントリとして定義できます。
次の book1 と呼ばれるアドレス帳のサンプルには、さまざまな種類のアドレスとアドレス セットが含まれています。いったん定義すると、セキュリティ ゾーン、ポリシー、または NAT ルールを設定する際に、これらのアドレスとアドレス セットを活用できます。
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
アドレスとアドレス セットを定義するときは、次のガイドラインに従ってください。
-
アドレス セットには、同じセキュリティ ゾーンに属するアドレス名のみを含めることができます。
-
アドレス名
any、any-ipv4、およびany-ipv6は予約されており、アドレスの作成には使用できません。 -
同じゾーン内のアドレスとアドレス セットは、異なる名前を持つ必要があります。
-
アドレス名をアドレス セット名と同じにすることはできません。例えば、
add1という名前のアドレスを設定する場合、add1という名前のアドレス セットは作成しないでください。 -
アドレス帳から個々のアドレス帳エントリを削除する場合は、すべてのアドレスセットからアドレス(参照先)を削除する必要があります。そうしないと、システムはコミット失敗を引き起こします。
アドレス帳とセキュリティゾーン
セキュリティ ゾーンは、同一のセキュリティ要件を持つインターフェイスの論理グループです。セキュリティ ゾーンは、アドレス指定可能なネットワークと、そのゾーンに属するエンド ホスト (つまりユーザー) のエントリを含むアドレス帳にアタッチします。
ゾーンでは、グローバル アドレス帳と、ゾーンがアタッチされているアドレス帳の 2 つのアドレス帳を同時に使用できます。セキュリティ ゾーンがアドレス帳にアタッチされていない場合は、自動的にグローバル アドレス帳が使用されます。したがって、セキュリティ ゾーンがアドレス帳にアタッチされている場合、システムはこのアタッチされたアドレス帳からアドレスを検索します。それ以外の場合、システムはデフォルトのグローバルアドレス帳からアドレスを検索します。グローバルアドレス帳は、デフォルトですべてのセキュリティゾーンで使用できます。グローバル アドレス帳にゾーンをアタッチする必要はありません。
アドレス帳にセキュリティゾーンをアタッチする場合、次のガイドラインが適用されます。
-
セキュリティ ゾーンにアタッチされたアドレスは、ゾーンのセキュリティ要件に準拠しています。
-
セキュリティ ゾーンにアタッチするアドレス帳には、そのゾーン内で到達可能なすべての IP アドレスが含まれている必要があります。
-
2 つのゾーン間でポリシーを構成する場合は、ゾーンのアドレス帳ごとにアドレスを定義する必要があります。
-
ユーザー定義アドレス帳のアドレスは、グローバルアドレス帳のアドレスよりも検索の優先度が高くなります。したがって、ユーザー定義のアドレス帳に添付されているセキュリティ ゾーンの場合、システムは最初にユーザー定義のアドレス帳を検索します。アドレスが見つからない場合は、グローバル・アドレス帳を検索します。
アドレス帳とセキュリティポリシー
アドレスとアドレス セットは、ポリシーの一致条件を指定するときに使用されます。個々のホストおよびサブネットとの間のトラフィックを許可、拒否、またはトンネリングするポリシーを構成する前に、アドレス帳にそれらのエントリを作成する必要があります。IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、DNS 名など、さまざまなタイプのアドレスをセキュリティ ポリシーの一致条件として定義できます。
ポリシーには、送信元アドレスと宛先アドレスの両方が含まれます。アドレスまたはポリシーに設定されたアドレスは、ポリシーで指定されたゾーンにアタッチされたアドレス帳で指定した名前で参照できます。
-
トラフィックがゾーンに送信されると、トラフィックが送信されたゾーンとアドレスが、ポリシーの宛先ゾーンおよびアドレスポリシーの一致基準を定義として使用されます。
-
トラフィックがゾーンから送信される場合、トラフィックの送信元のゾーンとアドレスが、ポリシーの送信元ゾーンおよびアドレスポリシーの一致基準を定義として使用されます。
セキュリティポリシーで使用可能なアドレス
ポリシー ルールの送信元アドレスと宛先アドレスを設定する場合、CLI で疑問符を入力すると、選択可能なすべてのアドレスが一覧表示されます。
異なるアドレス帳にある異なるアドレスには、同じアドレス名を使用できます。ただし、CLI はこれらのアドレスのうちの 1 つ(ルックアップ優先度が最も高いアドレス)のみをリストします。
たとえば、global と book1の2つのアドレス帳にアドレスを設定するとします。次に、ポリシーで送信元アドレスまたは宛先アドレスとして設定できるアドレスを表示します( 表 1 を参照)。
| 設定されたアドレス |
CLIに表示されるアドレス |
|---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
この例で表示されるアドレスは、次のことを示しています。
-
ユーザー定義アドレス帳のアドレスは、グローバルアドレス帳のアドレスよりも検索の優先度が高くなります。
-
グローバルアドレス帳のアドレスは、定義済みのアドレス
any、any-ipv4、any-ipv6よりも優先度が高くなります。 -
2つ以上の異なるアドレスに同じアドレス名を設定した場合、アドレス検索に基づいて、最も優先度の高いアドレスのみを使用できます。この例では、
book1(203.0.113.128/25)のアドレスa1は、グローバルアドレスa1(203.0.113.0/24)よりも高いルックアップ優先度を持っているため、CLIに表示されます。
アドレスセットへのポリシーの適用
ポリシーでアドレス セットを指定すると、Junos OS がアドレス セット メンバーごとに自動的にポリシーを適用するため、アドレスごとに 1 つずつ作成する必要はありません。また、アドレスセットがポリシーで参照されている場合、ポリシーでその参照を削除しない限り、アドレスセットを削除することはできません。ただし、編集はできます。
アドレス セットごとに、システムはそのメンバーに対して個別のルールを作成することを考慮してください。グループ内の各メンバー、および各ユーザーに設定された各サービスに対して内部ルールを作成します。この点を考慮せずにアドレス帳を設定すると、特に送信元アドレスと宛先アドレスの両方がアドレスグループで、指定されたサービスがサービスグループである場合に、利用可能なポリシーリソースの数を超える可能性があります。
図 1 は、アドレス セットに対するポリシーの適用方法を示しています。
へのポリシーの適用
NAT 設定でのアドレスとアドレス セットの使用
アドレス帳でアドレスを定義したら、送信元、宛先、または静的 NAT ルールでアドレスを指定できます。NAT ルール設定の送信元アドレスと宛先アドレスとして、IP プレフィックスではなく、意味のあるアドレス名を指定する方が簡単です。例えば、送信元アドレスとして 10.208.16.0/22 を指定する代わりに、アドレス 10.208.16.0/22 を含む local と呼ばれるアドレスを指定することができます。
また、NAT ルールでアドレス セットを指定することで、アドレス セット内に複数のアドレスを追加できるため、多数のアドレス エントリーを管理するのではなく、少数のアドレス セットを管理することができます。NAT ルールでアドレス セットを指定すると、Junos OS がそのルールを各アドレス セット メンバーに自動的に適用するため、各アドレスを 1 つずつ指定する必要はありません。
アドレスおよびアドレス セット タイプ(ワイルドカード アドレス、DNS 名、IPv4 アドレスと IPv6 アドレスの組み合わせ)は、NAT ルールではサポートされていません。
NAT でアドレス帳を設定する場合は、次のガイドラインに従ってください。
-
NAT ルールでは、グローバル アドレス帳のアドレスのみを指定できます。ユーザー定義のアドレス帳はNATではサポートされていません。
-
アドレス セットは、送信元 NAT ルールの送信元アドレス名として設定できます。ただし、宛先 NAT ルールで宛先アドレス名として設定されたアドレスを設定することはできません。
以下の NAT ステートメント例は、送信元と宛先の NAT ルールでサポートされるアドレスとアドレス セット タイプを示しています。
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
静的 NAT ルールでは、アドレス セットを送信元または宛先アドレス名として設定することはできません。以下の NAT ステートメント例は、静的 NAT ルールでサポートされるアドレスのタイプを示しています。
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
例:アドレスブックとアドレスセットの設定
この例では、アドレスブックでアドレスとアドレスセットを設定する方法を示しています。また、アドレス帳をセキュリティ ゾーンにアタッチする方法も示します。
必要条件
開始する前に、以下を実行します。
-
ネットワーク通信用のジュニパーネットワークスセキュリティデバイスを設定します。
-
サーバーおよびメンバーデバイスのネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
-
ドメイン生成アルゴリズム (DNS) サービスを構成します。DNS の詳細については、「 DNS の概要」を参照してください。
概要
この例では、アドレスとアドレス セット ( 図 2 参照) を使用してアドレス帳を構成し、会社のネットワークの構成を簡略化します。 Eng-dept というアドレス帳を作成し、エンジニアリング部門のメンバーのアドレスを追加します。 Web というアドレス帳をもう 1 つ作成し、そのアドレス帳にDNS名を追加します。次に、セキュリティ ゾーンの信頼を Eng-dept アドレス帳にアタッチし、セキュリティ ゾーンの信頼解除を Web アドレス帳にアタッチします。また、アドレス セットを作成して、エンジニアリング部門のソフトウェアおよびハードウェアのアドレスをグループ化します。これらのアドレスは、今後のデバイスからも削除されます。
さらに、アドレス帳をグローバル アドレス帳に追加して、アドレス帳がアタッチされていないセキュリティ ゾーンで使用できるようにします。
位相幾何学
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
set security zones security-zone trust interfaces ge-0/0/0
set security zones security-zone untrust interfaces ge-0/0/1
set security address-book Eng-dept address a1 203.0.113.1
set security address-book Eng-dept address a2 203.0.113.2
set security address-book Eng-dept address a3 203.0.113.3
set security address-book Eng-dept address a4 203.0.113.4
set security address-book Eng-dept address-set sw-eng address a1
set security address-book Eng-dept address-set sw-eng address a2
set security address-book Eng-dept address-set hw-eng address a3
set security address-book Eng-dept address-set hw-eng address a4
set security address-book Eng-dept attach zone trust
set security address-book Web address Intranet dns-name www-int.device1.example.com
set security address-book Web attach zone untrust
set security address-book global address g1 198.51.100.2
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
アドレスとアドレス セットを設定するには、次の手順に従います。
-
イーサネットインターフェイスを設定し、IPv4アドレスを割り当てます。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 -
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1 -
アドレス帳を作成し、その中でアドレスを定義します。
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4 -
アドレス セットを作成します。
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4 -
アドレス帳をセキュリティ ゾーンにアタッチします。
[edit security address-book Eng-dept] user@host# set attach zone trust -
アドレス帳をもう1つ作成し、セキュリティゾーンに添付します。
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust -
グローバルアドレス帳でアドレスを定義します。
[edit] user@host# set security address-book global address g1 198.51.100.2
業績
設定モードから、 show security zones コマンドと show security address-book コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
アドレス帳設定の確認
目的
設定されたアドレス帳とアドレスに関する情報を表示します。
アクション
設定モードから、 show security address-book コマンドを入力します。
user@host#
show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
ポリシーからのアドレスの除外
Junos OSでは、送信元アドレスと宛先アドレスをいくつでもポリシーに追加できます。ポリシーから特定のアドレスを除外する必要がある場合は、否定アドレスとして設定できます。アドレスが否定アドレスとして設定されている場合、そのアドレスはポリシーから除外されます。ただし、以下の IP アドレスをポリシーから除外することはできません。
ワイルドカード
IPv6
任意
任意-IPv4
任意-IPv6
0.0.0.0
アドレスの範囲または単一のアドレスを否定する場合、複数のアドレスに分割できます。これらの否定アドレスは、パケット転送エンジン でのストレージにより多くのメモリを必要とするプレフィックスまたは長さとして表示されます。
各プラットフォームには、否定アドレスを持つポリシーの数が限られています。ポリシーには、10個の送信元アドレスまたは宛先アドレスを含めることができます。ポリシーの容量は、プラットフォームがサポートするポリシーの最大数によって異なります。
否定された送信元アドレス、宛先アドレス、またはその両方を設定する前に、以下のタスクを実行してください。
送信元、宛先、またはその両方のアドレス帳を作成します。
アドレス名を作成し、アドレス名に送信元アドレスと宛先アドレスを割り当てます。
グループ送信元、宛先、またはその両方のアドレス名に対するアドレス セットを作成します。
送信元と宛先のアドレス帳をセキュリティ ゾーンに添付します。たとえば、送信元アドレス帳を送信元ゾーン の信頼 にアタッチし、宛先アドレス帳を送信先ゾーンの 信頼解除にアタッチします。
一致する送信元、宛先、またはその両方のアドレス名を指定します。
source-address-excluded、destination-address excluded、またはその両方のコマンドを実行します。送信元、宛先、またはその両方のアドレス帳に追加された送信元、宛先、またはその両方のアドレスは、ポリシーから除外されます。
グローバル アドレス帳は、どのセキュリティ ゾーンにもアタッチする必要はありません。
例:ポリシーからのアドレスの除外
この例では、否定された送信元アドレスと宛先アドレスを設定する方法を示しています。また、アドレスブックとアドレスセットの設定方法も示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXファイアウォール
パソコン
サポートされているすべての Junos OS リリース
開始する前に、アドレス帳とアドレスセットを設定します。 例:アドレスブックとアドレスセットの設定を参照してください。
概要
この例では、送信元と宛先のアドレス帳 SOUR-ADDR と DES-ADDR を作成し、それに送信元アドレスと宛先アドレスを追加します。送信元アドレスと宛先アドレス セットとして as1 と as2 を作成し、それらに送信元アドレスと宛先アドレスをグループ化します。次に、送信元アドレス帳をセキュリティ ゾーン trust にアタッチし、宛先アドレス帳をセキュリティ ゾーン untrust にアタッチします。
セキュリティ ゾーンを from-zone trust、to-zone untrust を作成します。ポリシー名を p1 に指定し、一致元アドレスの名前を as1 に、一致宛先アドレスの名前を as2 に設定します。ポリシー p1 で設定された送信元アドレスと宛先アドレスを除外するには、 source -address-excluded コマンドと destination -address-excluded コマンドを指定します。最後に、ポリシーp1を設定して、ゾーンのtrustからto-zone untrustへのトラフィックを許可します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
否定アドレスを設定するには:
送信元アドレス帳とアドレス名を作成します。アドレス帳に送信元アドレスを追加します。
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
送信元アドレス名をグループ化するためのアドレス セットを作成します。
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
送信元アドレス帳をセキュリティ元ゾーンにアタッチします。
[edit security address book ] user@host# set SOU-ADDR attach zone trust
宛先アドレス帳とアドレス名を作成します。宛先アドレスをアドレス帳に追加します。
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
宛先アドレス名をグループ化するために、別のアドレス セットを作成します。
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
宛先アドレス帳をセキュリティゾーンにアタッチします。
[edit security address book ] user@host# set DES-ADDR attach zone untrust
ポリシー名と送信元アドレスを指定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
ポリシーから送信元アドレスを除外します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
宛先アドレスを指定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
ポリシーから宛先アドレスを除外します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
セキュリティポリシーアプリケーションを設定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
ゾーンの信頼から信頼されていないゾーンへのトラフィックを許可します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
業績
設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address as1;
destination-address as2;
source-address-excluded;
destination-address-excluded;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
ポリシー設定の検証
目的
ポリシー設定が正しいことを確認します。
アクション
動作モードから、 show security policies policy-name p1 コマンドを入力します。
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
この出力は、ポリシー設定を要約したものです。
ポリシー設定の詳細の確認
目的
ポリシーと否定された送信元および宛先アドレスの設定が正しいことを確認します。
アクション
動作モードから、 show security policies policy-name p1 detail コマンドを入力します。
user@host>show security policies policy-name p1 detail
Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses(excluded):
ad1(SOU-ADDR): 255.255.255.255/32
ad2(SOU-ADDR): 203.0.113.130/25
ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116
ad4(SOU-ADDR): 192.0.2.128/25
Destination addresses(excluded):
ad8(DES-ADDR): 198.51.100.1/24
ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199
ad10(DES-ADDR): 198.51.100.0/24
ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No
この出力は、ポリシー設定を要約し、ポリシーから除外された否定された送信元アドレスと宛先アドレスの名前を示しています。
プラットフォーム固有のポリシー、アドレス帳、アドレスセットの動作
アドレス帳のプラットフォーム固有のDNS名の動作
アドレス帳と機能エクスプローラーを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットホーム |
差 |
|---|---|
| SRXファイアウォールとvSRX3.0 |
|
プラットフォーム固有のアドレスとアドレスセットの動作
| プラットホーム |
差 セキュリティポリシー当たりのアドレス オブジェクト数 |
|
|---|---|---|
| SRXファイアウォール |
ポリシーが参照できるアドレス オブジェクトの数には制限があります。ポリシーあたりのアドレス オブジェクトの最大数は、次の表に示すように、プラットフォームごとに異なります。 SRXファイアウォールのコンテキストごとのポリシーの最大数の詳細については、 SRXファイアウォールでポリシーを定義するためのベストプラクティス を参照してください。 |
|
| SRX5400デバイスは、ポリシーごとに最大16,000のアドレスオブジェクト、およびコンテキストごとに最大80,000のポリシーをサポートします。 |
||