アドレス帳とアドレス セット
アドレス帳は、アドレスとアドレス セットのコレクションです。アドレス帳は、コンポーネントやビルディングブロックのようなもので、セキュリティポリシーやセキュリティゾーンなどの他の設定で参照されます。アドレス帳にアドレスを追加したり、デフォルトで各アドレス帳で使用できる定義済みのアドレスを使用することができます
ゾーン内のアドレス帳は、個々のアドレスまたはアドレス セットで構成できます。アドレス セットは、アドレス帳内で定義された 1 つ以上のアドレスのセットです。アドレス セットを使用すると、アドレスを論理グループにまとめることができます。アドレス セットは、セキュリティ ポリシー、セキュリティ ゾーン、または NAT 設定でアドレスのグループを複数回参照する必要がある場合に便利です。
アドレス帳について
アドレス帳は、アドレスとアドレス セットのコレクションです。Junos OSでは、複数のアドレス帳を設定できます。アドレス帳にアドレスを追加することも、デフォルトで各アドレス帳で使用できる定義済みのアドレスを使用することもできます。
アドレス帳エントリーには、トラフィックが許可され、ブロックされ、暗号化され、またはユーザー認証されるホストとサブネットのアドレスが含まれます。これらのアドレスは、IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン ネーム システム (DNS) 名の任意の組み合わせにすることができます。
定義済みアドレス
アドレスを作成することも、デフォルトで使用可能な次の定義済みアドレスのいずれかを使用することもできます。
Any
- このアドレスは、任意の IP アドレスに一致します。このアドレスがポリシー構成で送信元アドレスまたは宛先アドレスとして使用される場合、任意のパケットの送信元アドレスと宛先アドレスと一致します。Any-ipv4
- このアドレスは、任意の IPv4 アドレスに一致します。Any-ipv6
- このアドレスは、任意の IPv6 アドレスに一致します。
アドレス帳のネットワークプレフィックス
プレフィックス/長さの形式で、アドレスをネットワーク プレフィックスとして指定できます。たとえば、203.0.113.0/24 はネットワーク プレフィックスに変換されるため、アドレス帳アドレスとして受け入れられます。ただし、203.0.113.4/24 はサブネット長の 24 ビットを超えるため、アドレス帳として受け入れられません。サブネットの長さを超えるものはすべて 0 (ゼロ) として入力する必要があります。特殊なシナリオでは、完全な 32 ビット アドレス長を使用できるため、ホスト名を入力できます。
IPv6 アドレス プレフィックスは、IPv6 プレフィックス(アドレス)とプレフィックス長の組み合わせです。プレフィックスは ipv6-prefix/prefix-length の形式を取り、アドレス空間のブロック (またはネットワーク) を表します。ipv6-prefix 変数は、一般的な IPv6 アドレス指定規則に従います。/prefix-length 変数は、アドレスのネットワーク部分を構成する、アドレスの連続した上位ビットの数を示す 10 進値です。例えば、2001:db8::/32 は IPv6 プレフィックスとして可能です。IPv6アドレスとアドレスプレフィックスのテキスト表現の詳細については、RFC 4291、 IPバージョン6アドレッシングアーキテクチャを参照してください。
アドレス帳のワイルドカードアドレス
IP アドレスとドメイン名の他に、アドレス帳でワイルドカード アドレスを指定できます。ワイルドカード アドレスは、A.B.C.D/ワイルドカード マスクとして表されます。ワイルドカード マスクは、IP アドレス A.B.C.D のどのビットを無視するかを決定します。例えば、セキュリティ ポリシー内の送信元 IP アドレス 192.168.0.11/255.255.0.255 は、セキュリティ ポリシー一致条件が IP アドレスの 3 番目のオクテット(192.168.*.11 として記号的に表される)を破棄できることを意味します。したがって、送信元 IP アドレスが 192.168.1.11 や 192.168.22.11 などのパケットは一致条件に準拠します。ただし、送信元IPアドレスが192.168.0.1や192.168.1.21などのパケットは一致条件を満たしません。
ワイルドカード アドレスの使用は、フル オクテットだけに制限されません。任意のワイルドカード アドレスを設定できます。例えば、ワイルドカード アドレス 192.168.7.1/255.255.7.255 は、ポリシーを一致させる際に、ワイルドカード アドレスの 3 番目のオクテットの最初の 5 ビットのみを無視する必要があることを意味します。ワイルドカード アドレスの使用がフル オクテットのみに制限されている場合は、4 つのオクテットのそれぞれに 0 または 255 のみを持つワイルドカード マスクが許可されます。
アドレス帳の DNS 名
デフォルトでは、DNS の IPv4 アドレスと IPv6 アドレスを解決できます。IPv4 または IPv6 アドレスが指定されている場合は、キーワード ipv4-only および ipv6-only をそれぞれ使用して、それらのアドレスのみを解決できます。
Junos OS 15.1X49-D60以降のSRX5400、SRX5600、SRX5800デバイスおよびvSRX仮想ファイアウォールインスタンスでは、管理トラフィックはドメインネームシステム(DNS)名の特定の送信元アドレスから発信できます。
DNS の送信元アドレスを構成するときは、次の点を考慮してください。
DNS サーバー名ごとに送信元アドレスとして構成できる送信元アドレスは 1 つだけです。
IPv6 DNS サーバでは IPv6 送信元アドレスがサポートされ、IPv4 サーバでは IPv4 アドレスのみがサポートされます。IPv6 DNS サーバーの IPv4 アドレスまたは IPv4 DNS サーバーの IPv6 アドレスを構成することはできません。
すべての管理トラフィックが特定の送信元アドレスから発信されるようにするには、システム ネーム サーバーと送信元アドレスを設定します。例えば:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
アドレスエントリーにドメイン名を使用する前に、DNSサービス用にセキュリティデバイスを設定する必要があります。DNS の詳細については、「 DNS の概要」を参照してください。
グローバルアドレス帳について
「グローバル」と呼ばれるアドレス帳は、常にシステムに存在します。他のアドレス帳と同様に、グローバル アドレス帳には、IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン ネーム システム (DNS) 名の任意の組み合わせを含めることができます。
グローバル アドレス帳にアドレスを作成することも、定義済みのアドレス(any、any-ipv4、any-ipv6)を使用することもできます。ただし、グローバル アドレス帳のアドレスを使用するために、セキュリティ ゾーンをアタッチする必要はありません。グローバル アドレス帳は、アドレス帳が接続されていないすべてのセキュリティ ゾーンで使用できます。
グローバル アドレス帳は、次のような場合に使用されます。
NAT 設定 - NAT ルールでは、グローバル アドレス帳のアドレス オブジェクトのみを使用できます。ゾーンベースのアドレス帳のアドレスは使用できません。
グローバルポリシー:グローバルポリシーで使用されるアドレスは、グローバルアドレス帳で定義する必要があります。グローバル アドレス帳オブジェクトは、特定のゾーンに属していません。
アドレス セットについて
アドレス帳は、多数のアドレスを含むように成長し、管理が困難になる可能性があります。アドレス セットと呼ばれるアドレスのグループを作成して、大きなアドレス帳を管理できます。アドレス セットを使用すると、アドレスを論理グループに整理し、ポリシーや NAT ルールなどの他の機能を簡単に構成できます。
と any-ipv6
アドレスの両方any-ipv4
を含む定義済みのアドレス セット(any
)は、セキュリティ ゾーンごとに自動的に作成されます。
既存のユーザーでアドレスセットを作成することも、空のアドレスセットを作成して後でユーザーを入力することもできます。アドレス セットを作成するときに、IPv4 アドレスと IPv6 アドレスを組み合わせることができますが、アドレスは同じセキュリティ ゾーン内にある必要があります。
アドレス セット内にアドレス セットを作成することもできます。これにより、ポリシーをより効果的に適用できます。例えば、あるポリシーを 2 つのアドレス・セットに適用したい場合、 set1
set2
2 つのステートメントを使用する代わりに、1 つのステートメントだけを使用して、アドレス・セットset1
set2
と を含む新しいアドレス・セット にポリシーを適用できます。 set3
ポリシーにアドレスを追加すると、同じアドレスのサブセットが複数のポリシーに存在することがあり、ポリシーが各アドレス エントリにどのように影響するかを管理することが困難になります。個々のアドレス帳エントリなどのポリシーでアドレスセットエントリを参照して、多数の個別のアドレスエントリを管理するのではなく、少数のアドレスセットを管理できるようにします。
アドレスとアドレス セットの設定
アドレス帳でアドレスとアドレス セットを定義し、さまざまな機能を構成するときに使用できます。また、デフォルトで使用可能な定義済みのアドレス any
、 any-ipv4
、 any-ipv6
を使用することもできます。ただし、定義済みのアドレスを any
アドレス帳に追加することはできません。
アドレスブックとセットを設定した後は、セキュリティポリシー、セキュリティゾーン、NATなどの各種機能を設定する際に使用されます。
アドレスとアドレス セット
IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン ネーム システム(DNS)名は、アドレス帳のアドレス エントリとして定義できます。
と呼ばれる book1
次のサンプルアドレス帳には、さまざまな種類のアドレスとアドレスセットが含まれています。定義すると、セキュリティ ゾーン、ポリシーまたは NAT ルールを設定する際に、これらのアドレスとアドレス セットを活用できます。
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
アドレスとアドレス セットを定義するときは、次のガイドラインに従います。
-
アドレス セットには、同じセキュリティ ゾーンに属するアドレス名のみを含めることができます。
-
アドレス名
any
、any-ipv4
およびany-ipv6
は予約されており、アドレスの作成には使用できません。 -
同じゾーン内のアドレスとアドレス セットには、異なる名前が必要です。
-
アドレス名をアドレス セット名と同じにすることはできません。たとえば、 という名前の
add1
アドレスを設定する場合、 という名前のadd1
アドレス セットを作成しないでください。 -
アドレス帳から個々のアドレス帳エントリを削除する場合は、すべてのアドレスセットからアドレス(参照されている場所)を削除する必要があります。そうしないと、システムはコミット失敗の原因になります。
アドレス帳とセキュリティ ゾーン
セキュリティ ゾーンは、同一のセキュリティ要件を持つインターフェイスの論理グループです。セキュリティゾーンは、アドレス指定可能ネットワークとそのゾーンに属するエンドホスト(およびユーザー)のエントリを含むアドレス帳にアタッチします。
ゾーンでは、グローバル アドレス帳とゾーンが接続されているアドレス帳の 2 つのアドレス帳を同時に使用できます。セキュリティ ゾーンがアドレス帳にアタッチされていない場合は、自動的にグローバル アドレス帳が使用されます。したがって、セキュリティ ゾーンがアドレス帳にアタッチされると、システムはこのアタッチされたアドレス帳からアドレスを検索します。それ以外の場合、システムはデフォルトのグローバルアドレス帳からアドレスを検索します。グローバル アドレス帳は、既定ですべてのセキュリティ ゾーンで使用できます。グローバル アドレス帳にゾーンをアタッチする必要はありません。
アドレス帳にセキュリティ ゾーンを適用する場合は、次のガイドラインが適用されます。
-
セキュリティ ゾーンにアタッチされたアドレスは、ゾーンのセキュリティ要件に準拠しています。
-
セキュリティ ゾーンに接続するアドレス帳には、そのゾーン内で到達可能なすべての IP アドレスが含まれている必要があります。
-
2 つのゾーン間にポリシーを構成する場合は、各ゾーンのアドレス帳のアドレスを定義する必要があります。
-
ユーザー定義アドレス帳のアドレスは、グローバル アドレス帳のアドレスよりも参照優先度が高くなります。したがって、ユーザー定義アドレス帳に接続されているセキュリティ ゾーンの場合、システムは最初にユーザー定義アドレス帳を検索します。アドレスが見つからない場合は、グローバルアドレス帳を検索します。
アドレス帳とセキュリティ ポリシー
アドレスとアドレス セットは、ポリシーの一致条件を指定するときに使用されます。個々のホストやサブネットとの間のトラフィックを許可、拒否、またはトンネリングするポリシーを構成する前に、アドレス帳にそれらのエントリを作成する必要があります。セキュリティポリシーの一致条件として、IPv4アドレス、IPv6アドレス、ワイルドカードアドレス、DNS名など、さまざまな種類のアドレスを定義できます。
ポリシーには、送信元アドレスと宛先アドレスの両方が含まれます。ポリシーで設定されたアドレスまたはアドレスは、ポリシーで指定されたゾーンにアタッチされているアドレス帳で指定した名前で参照できます。
-
トラフィックがゾーンに送信されると、トラフィックの送信先のゾーンとアドレスが、ポリシーの宛先ゾーンおよびアドレス一致条件として使用されます。
-
ゾーンからトラフィックを送信する場合、トラフィック送信元のゾーンとアドレスがポリシーの送信元ゾーンおよびアドレス一致条件として使用されます。
セキュリティ ポリシーに使用できるアドレス
ポリシー ルールの送信元アドレスと宛先アドレスを設定する場合、CLI に疑問符を入力して、選択可能なすべてのアドレスを一覧表示できます。
異なるアドレス帳にある異なるアドレスに同じアドレス名を使用できます。ただし、CLI はこれらのアドレスのうち 1 つだけ、つまりルックアップ優先度が最も高いアドレスのみをリストアップします。
例えば、2つのアドレス帳global
(と book1
)でアドレスを設定したとします。次に、ポリシーで送信元アドレスまたは宛先アドレスとして設定できるアドレスを表示します( 表 1 を参照)。
設定されたアドレス |
CLI に表示されるアドレス |
---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
この例で表示されるアドレスは、次のことを示しています。
-
ユーザー定義アドレス帳のアドレスは、グローバル アドレス帳のアドレスよりも参照優先度が高くなります。
-
グローバルアドレス帳内のアドレスは、定義済みのアドレス
any
、any-ipv4
、 よりもany-ipv6
優先度が高くなります。 -
2 つ以上の異なるアドレスに同じアドレス名が設定されている場合、アドレス ルックアップに基づいて、最も優先度の高いアドレスのみを使用できます。この例では、(203.0.113.128/25)からの
book1
アドレスa1
はグローバルアドレスa1
(203.0.113.0/24)よりもルックアップ優先度が高いため、CLI に address が表示されます。
アドレス セットへのポリシーの適用
ポリシーでアドレス セットを指定すると、Junos OS によってアドレス セット メンバーごとにポリシーが自動的に適用されるため、アドレスごとに 1 つずつ作成する必要はありません。また、ポリシー内でアドレス セットが参照されている場合、ポリシー内でそのアドレス セットの参照を削除しないと削除できません。ただし、編集することはできます。
アドレス セットごとに、システムがそのメンバーに対して個別のルールを作成することを考慮してください。グループ内の各メンバーと、各ユーザーに対して構成された各サービスの内部ルールを作成します。これを考慮せずにアドレス帳を設定すると、特に送信元アドレスと宛先アドレスの両方がアドレスグループで、指定したサービスがサービスグループである場合に、使用可能なポリシーリソースの数を超える可能性があります。
図 1 は、ポリシーがアドレス セットにどのように適用されるかを示しています。
セキュリティ ポリシーでのアドレスとアドレス セットの制限
SRXシリーズファイアウォールでは、1つのポリシーで複数のアドレスセット、複数のアドレスエントリ、またはその両方を参照できます。1 つのアドレス セットは、最大 16384 個のアドレス エントリと最大 256 個のアドレス セットを参照できます。
ポリシーが参照できるアドレス オブジェクトの数には制限があります。ポリシーあたりのアドレス オブジェクトの最大数は、 表 2 に示すようにプラットフォームによって異なります。
SRXシリーズファイアウォールのコンテキストごとのポリシーの最大数の詳細については、 SRXシリーズデバイスでポリシーを定義するためのベストプラクティス を参照してください。
SRXシリーズ デバイス |
アドレス オブジェクト |
---|---|
SRX300、SRX320 |
2048 |
SRX340 |
2048 |
SRX345: |
2048 |
SRX380 |
2048 |
SRX550M |
2048 |
SRX1500 |
4096 |
SRX4100 |
4096 |
SRX4200 |
4096 |
SRX4600 |
4096 |
SRX5400 SRX5600 SRX5800 |
16384 |
すべての IPv6 アドレス エントリは、ポリシーごとに 1 つのアドレス オブジェクトに等しくなります。例:ポリシーあたり 2048 個のアドレス オブジェクトに制限がある SRX345 デバイスを設定するには、2040 個の IPv4 エントリと 8 個の IPv6 エントリ(2040 + 8 = 2048)を設定し、設定をコミットします。
2040 個の IPv4 アドレス エントリと 9 個の IPv6 アドレス エントリ (2040+9 = 2049) を構成する場合、構成をコミットしようとすると、次のエラー メッセージが表示されます。
""Error exceeding maximum limit of source addresses per policy (2048)
NAT 設定でのアドレスとアドレス セットの使用
アドレスブックでアドレスを定義したら、送信元、宛先、または静的NATルールで指定できます。NAT ルール構成では、IP プレフィックスの代わりに意味のあるアドレス名を送信元アドレスと宛先アドレスとして指定する方が簡単です。例えば、送信元アドレスとして 10.208.16.0/22 を指定する代わりに、アドレス 10.208.16.0/22 を含む というアドレス local
を指定することができます。
また、NAT ルールでアドレス セットを指定すると、アドレス セット内に複数のアドレスを追加することができるため、多数の個別のアドレス エントリを管理するのではなく、少数のアドレス セットを管理できます。NATルールでアドレスセットを指定すると、Junos OSによってアドレスセットメンバーごとにルールが自動的に適用されるため、アドレスを1つずつ指定する必要はありません。
NAT ルールでサポートされていないアドレスおよびアドレス セットの種類(ワイルドカード アドレス、DNS 名、IPv4 アドレスと IPv6 アドレスの組み合わせ)です。
NAT でアドレス帳を設定する場合は、次のガイドラインに従ってください。
-
NAT ルールでは、グローバル アドレス帳のアドレスのみを指定できます。ユーザー定義のアドレス帳は NAT ではサポートされていません。
-
送信元 NAT ルールで送信元アドレス名としてアドレス セットを設定できます。ただし、宛先NATルールで宛先アドレス名としてアドレスセットを設定することはできません。
以下のサンプル NAT ステートメントは、送信元と宛先の NAT ルールでサポートされているアドレスとアドレスのセットのタイプを示しています。
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
静的 NAT ルールでは、アドレス セットを送信元アドレス名または宛先アドレス名として設定することはできません。以下のサンプル NAT ステートメントは、静的 NAT ルールでサポートされているアドレスのタイプを示しています。
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
例:アドレス帳とアドレス セットの設定
この例では、アドレス帳でアドレスとアドレス セットを構成する方法を示します。また、アドレス帳をセキュリティ ゾーンにアタッチする方法も示します。
要件
始める前に:
ネットワーク通信用にジュニパーネットワークスのセキュリティデバイスを設定します。
サーバーおよびメンバーデバイス上のネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
ドメイン ネーム システム (DNS) サービスを構成します。DNS の詳細については、「 DNS の概要」を参照してください。
概要
この例では、アドレスとアドレス セットを使用してアドレス帳を構成し (図 2 を参照)、会社のネットワークの構成を簡素化します。というEng-dept
アドレス帳を作成し、エンジニアリング部門のメンバーのアドレスを追加します。という名前のWeb
別のアドレス帳を作成し、それに DNS 名を追加します。次に、セキュリティ ゾーンの信頼をアドレス帳にアタッチし、Eng-dept
Web
セキュリティ ゾーンの信頼をアドレス帳にアタッチします。また、エンジニアリング部門でソフトウェアとハードウェアのアドレスをグループ化するためのアドレスセットも作成します。これらのアドレスは、今後のポリシー構成で送信元アドレスと宛先アドレスとして使用する予定です。
さらに、グローバル アドレス帳にアドレスを追加して、アドレス帳が添付されていないセキュリティ ゾーンで使用できるようにします。
トポロジ
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
アドレスとアドレス セットを設定するには:
イーサネット インターフェイスを設定し、IPv4 アドレスを割り当てます。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
セキュリティ ゾーンを作成し、インターフェイスを割り当てます。
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
アドレス帳を作成し、その中にアドレスを定義します。
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
アドレス セットを作成します。
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
アドレス帳をセキュリティ ゾーンにアタッチします。
[edit security address-book Eng-dept] user@host# set attach zone trust
アドレス帳をもう1つ作成し、セキュリティ ゾーンにアタッチします。
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
グローバルアドレス帳でアドレスを定義します。
[edit] user@host# set security address-book global address g1 198.51.100.2
結果
設定モードから、 および show security address-book
コマンドを入力してshow security zones
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security zones security-zone trust { interfaces { ge-0/0/0.0; } } security-zone untrust { interfaces { ge-0/0/1.0; } } [edit] user@host# show security address-book Eng-dept { address a1 203.0.113.1/32; address a2 203.0.113.2/32; address a3 203.0.113.3/32; address a4 203.0.113.4/32; address-set sw-eng { address a1; address a2; } address-set hw-eng { address a3; address a4; } attach { zone trust; } } Web { address Intranet { dns-name www-int.device1.example.com; } attach { zone untrust; } } global { address g1 198.51.100.2/32; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認します。
アドレス帳設定の確認
目的
設定されたアドレス帳とアドレスに関する情報を表示します。
アクション
設定モードから コマンド show security address-book
を入力します。
user@host#
show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
ポリシーからのアドレスの除外
Junos OSでは、送信元アドレスと宛先アドレスをいくつでもポリシーに追加できます。ポリシーから特定のアドレスを除外する必要がある場合は、そのアドレスを否定アドレスとして設定できます。アドレスが否定アドレスとして設定されている場合、ポリシーから除外されます。ただし、ポリシーから次の IP アドレスを除外することはできません。
ワイルドカード
IPv6
どれでも
any-IPv4
any-IPv6
0.0.0.0
アドレスの範囲または単一のアドレスが否定される場合、複数のアドレスに分割できます。これらの否定されたアドレスは、パケット転送エンジンに記憶するためにより多くのメモリを必要とするプレフィックスまたは長さとして表示されます。
各プラットフォームには、否定アドレスを持つ限られた数のポリシーがあります。ポリシーには、10 個の送信元アドレスまたは宛先アドレスを含めることができます。ポリシーの容量は、プラットフォームがサポートするポリシーの最大数によって異なります。
否定された送信元アドレス、宛先アドレス、またはその両方を設定する前に、以下のタスクを実行してください。
送信元、送信先、またはその両方のアドレス帳を作成します。
アドレス名を作成し、送信元アドレスと宛先アドレスをアドレス名に割り当てます。
送信元、宛先、またはその両方のアドレス名をグループ化するアドレス セットを作成します。
送信元と送信先のアドレス帳をセキュリティ ゾーンに接続します。たとえば、送信元アドレス帳を送信元ゾーンの 信頼 にアタッチし、宛先アドレス帳を宛先ゾーン の信頼にアタッチします。
一致する送信元、宛先、またはその両方のアドレス名を指定します。
送信元アドレス除外、宛先アドレス除外、またはその両方のコマンドを実行します。送信元、宛先、または両方のアドレス帳に追加された送信元、宛先、またはその両方のアドレスは、ポリシーから除外されます。
グローバル アドレス帳は、どのセキュリティ ゾーンにもアタッチする必要はありません。
例:ポリシーからのアドレスの除外
この例では、否定された送信元アドレスと宛先アドレスを設定する方法を示します。また、アドレス帳とアドレス セットの構成方法も示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズのファイアウォール
パソコン
Junos OSリリース12.1X45-D10
開始する前に、アドレス帳とアドレス セットを構成します。 例:アドレス帳とアドレス セットの設定を参照してください。
概要
この例では、送信元と宛先のアドレス帳、SOUR-ADDR と DES-ADDR を作成し、送信元アドレスと宛先アドレスを追加します。送信元アドレスと宛先アドレスのセット(as1 と as2)を作成し、送信元アドレスと宛先アドレスをグループ化します。次に、送信元アドレス帳をセキュリティ ゾーンの信頼に接続し、宛先アドレス帳をセキュリティ ゾーンの信頼解除に接続します。
セキュリティゾーンのfrom-trustとto-zoneのuntrustを作成します。ポリシー名を p1 に指定し、一致送信元アドレスの名前を as1 に、一致宛先アドレスを as2 に設定します。ポリシー p1 で設定された送信元アドレスと宛先アドレスを除外するには、コマンド source -address-excluded と 宛先-address-excluded を指定します。最後に、ポリシー p1 を設定して、ゾーンの信頼からゾーンの信頼へのトラフィックを許可します。
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
否定アドレスを設定するには:
送信元アドレス帳とアドレス名を作成します。送信元アドレスをアドレス帳に追加します。
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
送信元アドレス名をグループ化するアドレス セットを作成します。
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
送信元アドレス帳をセキュリティ送信元ゾーンにアタッチします。
[edit security address book ] user@host# set SOU-ADDR attach zone trust
宛先アドレス帳とアドレス名を作成します。アドレス帳に宛先アドレスを追加します。
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
宛先アドレス名をグループ化する別のアドレス セットを作成します。
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
宛先アドレス帳をセキュリティtoゾーンにアタッチします。
[edit security address book ] user@host# set DES-ADDR attach zone untrust
ポリシー名と送信元アドレスを指定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
ポリシーから送信元アドレスを除外します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
宛先アドレスを指定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
ポリシーから宛先アドレスを除外します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
セキュリティポリシーアプリケーションを設定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
ゾーンからの信頼からゾーンへの信頼のトラフィックを許可します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
結果
設定モードから、 コマンドを入力して show security policies
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address as1; destination-address as2; source-address-excluded; destination-address-excluded; application any; } then { permit; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認します。
ポリシー設定の確認
目的
ポリシーの構成が正しいことを確認します。
アクション
動作モードから コマンド show security policies policy-name p1
を入力します。
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
この出力は、ポリシー設定をまとめたものです。
ポリシー設定の詳細の確認
目的
ポリシーと否定された送信元アドレスと宛先アドレスの設定が正しいことを確認します。
アクション
動作モードから コマンド show security policies policy-name p1 detail
を入力します。
user@host>show security policies policy-name p1 detail Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses(excluded): ad1(SOU-ADDR): 255.255.255.255/32 ad2(SOU-ADDR): 203.0.113.130/25 ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116 ad4(SOU-ADDR): 192.0.2.128/25 Destination addresses(excluded): ad8(DES-ADDR): 198.51.100.1/24 ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199 ad10(DES-ADDR): 198.51.100.0/24 ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No
この出力は、ポリシー設定を要約し、ポリシーから除外された否定された送信元アドレスと宛先アドレスの名前を示しています。