Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アドレス帳とアドレス セット

アドレス帳は、アドレスとアドレス セットのコレクションです。アドレス帳は、コンポーネントやビルディングブロックのようなもので、セキュリティポリシーやセキュリティゾーンなどの他の設定で参照されます。アドレス帳にアドレスを追加したり、デフォルトで各アドレス帳で使用できる定義済みのアドレスを使用することができます

ゾーン内のアドレス帳は、個々のアドレスまたはアドレス セットで構成できます。アドレス セットは、アドレス帳内で定義された 1 つ以上のアドレスのセットです。アドレス セットを使用すると、アドレスを論理グループにまとめることができます。アドレス セットは、セキュリティ ポリシー、セキュリティ ゾーン、または NAT 設定でアドレスのグループを複数回参照する必要がある場合に便利です。

アドレス帳について

アドレス帳は、アドレスとアドレス セットのコレクションです。Junos OSでは、複数のアドレス帳を設定できます。アドレス帳にアドレスを追加することも、デフォルトで各アドレス帳で使用できる定義済みのアドレスを使用することもできます。

アドレス帳エントリーには、トラフィックが許可され、ブロックされ、暗号化され、またはユーザー認証されるホストとサブネットのアドレスが含まれます。これらのアドレスは、IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン ネーム システム (DNS) 名の任意の組み合わせにすることができます。

定義済みアドレス

アドレスを作成することも、デフォルトで使用可能な次の定義済みアドレスのいずれかを使用することもできます。

  • Any- このアドレスは、任意の IP アドレスに一致します。このアドレスがポリシー構成で送信元アドレスまたは宛先アドレスとして使用される場合、任意のパケットの送信元アドレスと宛先アドレスと一致します。

  • Any-ipv4- このアドレスは、任意の IPv4 アドレスに一致します。

  • Any-ipv6- このアドレスは、任意の IPv6 アドレスに一致します。

アドレス帳のネットワークプレフィックス

プレフィックス/長さの形式で、アドレスをネットワーク プレフィックスとして指定できます。たとえば、203.0.113.0/24 はネットワーク プレフィックスに変換されるため、アドレス帳アドレスとして受け入れられます。ただし、203.0.113.4/24 はサブネット長の 24 ビットを超えるため、アドレス帳として受け入れられません。サブネットの長さを超えるものはすべて 0 (ゼロ) として入力する必要があります。特殊なシナリオでは、完全な 32 ビット アドレス長を使用できるため、ホスト名を入力できます。

IPv6 アドレス プレフィックスは、IPv6 プレフィックス(アドレス)とプレフィックス長の組み合わせです。プレフィックスは ipv6-prefix/prefix-length の形式を取り、アドレス空間のブロック (またはネットワーク) を表します。ipv6-prefix 変数は、一般的な IPv6 アドレス指定規則に従います。/prefix-length 変数は、アドレスのネットワーク部分を構成する、アドレスの連続した上位ビットの数を示す 10 進値です。例えば、2001:db8::/32 は IPv6 プレフィックスとして可能です。IPv6アドレスとアドレスプレフィックスのテキスト表現の詳細については、RFC 4291、 IPバージョン6アドレッシングアーキテクチャを参照してください。

アドレス帳のワイルドカードアドレス

IP アドレスとドメイン名の他に、アドレス帳でワイルドカード アドレスを指定できます。ワイルドカード アドレスは、A.B.C.D/ワイルドカード マスクとして表されます。ワイルドカード マスクは、IP アドレス A.B.C.D のどのビットを無視するかを決定します。例えば、セキュリティ ポリシー内の送信元 IP アドレス 192.168.0.11/255.255.0.255 は、セキュリティ ポリシー一致条件が IP アドレスの 3 番目のオクテット(192.168.*.11 として記号的に表される)を破棄できることを意味します。したがって、送信元 IP アドレスが 192.168.1.11 や 192.168.22.11 などのパケットは一致条件に準拠します。ただし、送信元IPアドレスが192.168.0.1や192.168.1.21などのパケットは一致条件を満たしません。

ワイルドカード アドレスの使用は、フル オクテットだけに制限されません。任意のワイルドカード アドレスを設定できます。例えば、ワイルドカード アドレス 192.168.7.1/255.255.7.255 は、ポリシーを一致させる際に、ワイルドカード アドレスの 3 番目のオクテットの最初の 5 ビットのみを無視する必要があることを意味します。ワイルドカード アドレスの使用がフル オクテットのみに制限されている場合は、4 つのオクテットのそれぞれに 0 または 255 のみを持つワイルドカード マスクが許可されます。

アドレス帳の DNS 名

デフォルトでは、DNS の IPv4 アドレスと IPv6 アドレスを解決できます。IPv4 または IPv6 アドレスが指定されている場合は、キーワード ipv4-only および ipv6-only をそれぞれ使用して、それらのアドレスのみを解決できます。

Junos OS 15.1X49-D60以降のSRX5400、SRX5600、SRX5800デバイスおよびvSRX仮想ファイアウォールインスタンスでは、管理トラフィックはドメインネームシステム(DNS)名の特定の送信元アドレスから発信できます。

DNS の送信元アドレスを構成するときは、次の点を考慮してください。

  • DNS サーバー名ごとに送信元アドレスとして構成できる送信元アドレスは 1 つだけです。

  • IPv6 DNS サーバでは IPv6 送信元アドレスがサポートされ、IPv4 サーバでは IPv4 アドレスのみがサポートされます。IPv6 DNS サーバーの IPv4 アドレスまたは IPv4 DNS サーバーの IPv6 アドレスを構成することはできません。

すべての管理トラフィックが特定の送信元アドレスから発信されるようにするには、システム ネーム サーバーと送信元アドレスを設定します。例えば:

アドレスエントリーにドメイン名を使用する前に、DNSサービス用にセキュリティデバイスを設定する必要があります。DNS の詳細については、「 DNS の概要」を参照してください。

グローバルアドレス帳について

「グローバル」と呼ばれるアドレス帳は、常にシステムに存在します。他のアドレス帳と同様に、グローバル アドレス帳には、IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン ネーム システム (DNS) 名の任意の組み合わせを含めることができます。

グローバル アドレス帳にアドレスを作成することも、定義済みのアドレス(any、any-ipv4、any-ipv6)を使用することもできます。ただし、グローバル アドレス帳のアドレスを使用するために、セキュリティ ゾーンをアタッチする必要はありません。グローバル アドレス帳は、アドレス帳が接続されていないすべてのセキュリティ ゾーンで使用できます。

グローバル アドレス帳は、次のような場合に使用されます。

  • NAT 設定 - NAT ルールでは、グローバル アドレス帳のアドレス オブジェクトのみを使用できます。ゾーンベースのアドレス帳のアドレスは使用できません。

  • グローバルポリシー:グローバルポリシーで使用されるアドレスは、グローバルアドレス帳で定義する必要があります。グローバル アドレス帳オブジェクトは、特定のゾーンに属していません。

アドレス セットについて

アドレス帳は、多数のアドレスを含むように成長し、管理が困難になる可能性があります。アドレス セットと呼ばれるアドレスのグループを作成して、大きなアドレス帳を管理できます。アドレス セットを使用すると、アドレスを論理グループに整理し、ポリシーや NAT ルールなどの他の機能を簡単に構成できます。

any-ipv6 アドレスの両方any-ipv4を含む定義済みのアドレス セット(any)は、セキュリティ ゾーンごとに自動的に作成されます。

既存のユーザーでアドレスセットを作成することも、空のアドレスセットを作成して後でユーザーを入力することもできます。アドレス セットを作成するときに、IPv4 アドレスと IPv6 アドレスを組み合わせることができますが、アドレスは同じセキュリティ ゾーン内にある必要があります。

アドレス セット内にアドレス セットを作成することもできます。これにより、ポリシーをより効果的に適用できます。例えば、あるポリシーを 2 つのアドレス・セットに適用したい場合、 set1 set22 つのステートメントを使用する代わりに、1 つのステートメントだけを使用して、アドレス・セットset1set2と を含む新しいアドレス・セット にポリシーを適用できます。 set3

ポリシーにアドレスを追加すると、同じアドレスのサブセットが複数のポリシーに存在することがあり、ポリシーが各アドレス エントリにどのように影響するかを管理することが困難になります。個々のアドレス帳エントリなどのポリシーでアドレスセットエントリを参照して、多数の個別のアドレスエントリを管理するのではなく、少数のアドレスセットを管理できるようにします。

アドレスとアドレス セットの設定

アドレス帳でアドレスとアドレス セットを定義し、さまざまな機能を構成するときに使用できます。また、デフォルトで使用可能な定義済みのアドレス anyany-ipv4any-ipv6 を使用することもできます。ただし、定義済みのアドレスを any アドレス帳に追加することはできません。

アドレスブックとセットを設定した後は、セキュリティポリシー、セキュリティゾーン、NATなどの各種機能を設定する際に使用されます。

アドレスとアドレス セット

IPv4 アドレス、IPv6 アドレス、ワイルドカード アドレス、またはドメイン ネーム システム(DNS)名は、アドレス帳のアドレス エントリとして定義できます。

と呼ばれる book1 次のサンプルアドレス帳には、さまざまな種類のアドレスとアドレスセットが含まれています。定義すると、セキュリティ ゾーン、ポリシーまたは NAT ルールを設定する際に、これらのアドレスとアドレス セットを活用できます。

アドレスとアドレス セットを定義するときは、次のガイドラインに従います。

  • アドレス セットには、同じセキュリティ ゾーンに属するアドレス名のみを含めることができます。

  • アドレス名 anyany-ipv4 および any-ipv6 は予約されており、アドレスの作成には使用できません。

  • 同じゾーン内のアドレスとアドレス セットには、異なる名前が必要です。

  • アドレス名をアドレス セット名と同じにすることはできません。たとえば、 という名前の add1アドレスを設定する場合、 という名前の add1アドレス セットを作成しないでください。

  • アドレス帳から個々のアドレス帳エントリを削除する場合は、すべてのアドレスセットからアドレス(参照されている場所)を削除する必要があります。そうしないと、システムはコミット失敗の原因になります。

アドレス帳とセキュリティ ゾーン

セキュリティ ゾーンは、同一のセキュリティ要件を持つインターフェイスの論理グループです。セキュリティゾーンは、アドレス指定可能ネットワークとそのゾーンに属するエンドホスト(およびユーザー)のエントリを含むアドレス帳にアタッチします。

ゾーンでは、グローバル アドレス帳とゾーンが接続されているアドレス帳の 2 つのアドレス帳を同時に使用できます。セキュリティ ゾーンがアドレス帳にアタッチされていない場合は、自動的にグローバル アドレス帳が使用されます。したがって、セキュリティ ゾーンがアドレス帳にアタッチされると、システムはこのアタッチされたアドレス帳からアドレスを検索します。それ以外の場合、システムはデフォルトのグローバルアドレス帳からアドレスを検索します。グローバル アドレス帳は、既定ですべてのセキュリティ ゾーンで使用できます。グローバル アドレス帳にゾーンをアタッチする必要はありません。

アドレス帳にセキュリティ ゾーンを適用する場合は、次のガイドラインが適用されます。

  • セキュリティ ゾーンにアタッチされたアドレスは、ゾーンのセキュリティ要件に準拠しています。

  • セキュリティ ゾーンに接続するアドレス帳には、そのゾーン内で到達可能なすべての IP アドレスが含まれている必要があります。

  • 2 つのゾーン間にポリシーを構成する場合は、各ゾーンのアドレス帳のアドレスを定義する必要があります。

  • ユーザー定義アドレス帳のアドレスは、グローバル アドレス帳のアドレスよりも参照優先度が高くなります。したがって、ユーザー定義アドレス帳に接続されているセキュリティ ゾーンの場合、システムは最初にユーザー定義アドレス帳を検索します。アドレスが見つからない場合は、グローバルアドレス帳を検索します。

アドレス帳とセキュリティ ポリシー

アドレスとアドレス セットは、ポリシーの一致条件を指定するときに使用されます。個々のホストやサブネットとの間のトラフィックを許可、拒否、またはトンネリングするポリシーを構成する前に、アドレス帳にそれらのエントリを作成する必要があります。セキュリティポリシーの一致条件として、IPv4アドレス、IPv6アドレス、ワイルドカードアドレス、DNS名など、さまざまな種類のアドレスを定義できます。

ポリシーには、送信元アドレスと宛先アドレスの両方が含まれます。ポリシーで設定されたアドレスまたはアドレスは、ポリシーで指定されたゾーンにアタッチされているアドレス帳で指定した名前で参照できます。

  • トラフィックがゾーンに送信されると、トラフィックの送信先のゾーンとアドレスが、ポリシーの宛先ゾーンおよびアドレス一致条件として使用されます。

  • ゾーンからトラフィックを送信する場合、トラフィック送信元のゾーンとアドレスがポリシーの送信元ゾーンおよびアドレス一致条件として使用されます。

セキュリティ ポリシーに使用できるアドレス

ポリシー ルールの送信元アドレスと宛先アドレスを設定する場合、CLI に疑問符を入力して、選択可能なすべてのアドレスを一覧表示できます。

異なるアドレス帳にある異なるアドレスに同じアドレス名を使用できます。ただし、CLI はこれらのアドレスのうち 1 つだけ、つまりルックアップ優先度が最も高いアドレスのみをリストアップします。

例えば、2つのアドレス帳global (と book1)でアドレスを設定したとします。次に、ポリシーで送信元アドレスまたは宛先アドレスとして設定できるアドレスを表示します( 表 1 を参照)。

表 1: CLI に表示される使用可能なアドレス

設定されたアドレス

CLI に表示されるアドレス

[edit security address-book]
set global address a1 203.0.113.0/24; 
set global address a2 198.51.100.0/24;  
set global address a3 192.0.2.0/24;  
set book1 address a1 203.0.113.128/25;
[edit security policies from-zone trust to-zone untrust]
user@host# set policy p1 match set match source-address ?

Possible completions:
  [         Open a set of values
  a1        The address in address book book1
  a2        The address in address book global
  a3        The address in address book global
  any       Any IPv4 or IPv6 address
  any-ipv4  Any IPv4 address
  any-ipv6  Any IPv6 address

この例で表示されるアドレスは、次のことを示しています。

  • ユーザー定義アドレス帳のアドレスは、グローバル アドレス帳のアドレスよりも参照優先度が高くなります。

  • グローバルアドレス帳内のアドレスは、定義済みのアドレス anyany-ipv4、 よりも any-ipv6優先度が高くなります。

  • 2 つ以上の異なるアドレスに同じアドレス名が設定されている場合、アドレス ルックアップに基づいて、最も優先度の高いアドレスのみを使用できます。この例では、(203.0.113.128/25)からのbook1アドレスa1はグローバルアドレスa1(203.0.113.0/24)よりもルックアップ優先度が高いため、CLI に address が表示されます。

アドレス セットへのポリシーの適用

ポリシーでアドレス セットを指定すると、Junos OS によってアドレス セット メンバーごとにポリシーが自動的に適用されるため、アドレスごとに 1 つずつ作成する必要はありません。また、ポリシー内でアドレス セットが参照されている場合、ポリシー内でそのアドレス セットの参照を削除しないと削除できません。ただし、編集することはできます。

メモ:

アドレス セットごとに、システムがそのメンバーに対して個別のルールを作成することを考慮してください。グループ内の各メンバーと、各ユーザーに対して構成された各サービスの内部ルールを作成します。これを考慮せずにアドレス帳を設定すると、特に送信元アドレスと宛先アドレスの両方がアドレスグループで、指定したサービスがサービスグループである場合に、使用可能なポリシーリソースの数を超える可能性があります。

図 1 は、ポリシーがアドレス セットにどのように適用されるかを示しています。

図1:アドレスセット Applying Policies to Address Setsへのポリシーの適用

セキュリティ ポリシーでのアドレスとアドレス セットの制限

SRXシリーズファイアウォールでは、1つのポリシーで複数のアドレスセット、複数のアドレスエントリ、またはその両方を参照できます。1 つのアドレス セットは、最大 16384 個のアドレス エントリと最大 256 個のアドレス セットを参照できます。

ポリシーが参照できるアドレス オブジェクトの数には制限があります。ポリシーあたりのアドレス オブジェクトの最大数は、 表 2 に示すようにプラットフォームによって異なります。

SRXシリーズファイアウォールのコンテキストごとのポリシーの最大数の詳細については、 SRXシリーズデバイスでポリシーを定義するためのベストプラクティス を参照してください。

表 2: セキュリティ ポリシーごとのアドレス オブジェクト

SRXシリーズ デバイス

アドレス オブジェクト

SRX300、SRX320

2048

SRX340

2048

SRX345:

2048

SRX380

2048

SRX550M

2048

SRX1500

4096

SRX4100

4096

SRX4200

4096

SRX4600

4096

SRX5400 SRX5600 SRX5800

16384

すべての IPv6 アドレス エントリは、ポリシーごとに 1 つのアドレス オブジェクトに等しくなります。例:ポリシーあたり 2048 個のアドレス オブジェクトに制限がある SRX345 デバイスを設定するには、2040 個の IPv4 エントリと 8 個の IPv6 エントリ(2040 + 8 = 2048)を設定し、設定をコミットします。

2040 個の IPv4 アドレス エントリと 9 個の IPv6 アドレス エントリ (2040+9 = 2049) を構成する場合、構成をコミットしようとすると、次のエラー メッセージが表示されます。

""Error exceeding maximum limit of source addresses per policy (2048)

NAT 設定でのアドレスとアドレス セットの使用

アドレスブックでアドレスを定義したら、送信元、宛先、または静的NATルールで指定できます。NAT ルール構成では、IP プレフィックスの代わりに意味のあるアドレス名を送信元アドレスと宛先アドレスとして指定する方が簡単です。例えば、送信元アドレスとして 10.208.16.0/22 を指定する代わりに、アドレス 10.208.16.0/22 を含む というアドレス local を指定することができます。

また、NAT ルールでアドレス セットを指定すると、アドレス セット内に複数のアドレスを追加することができるため、多数の個別のアドレス エントリを管理するのではなく、少数のアドレス セットを管理できます。NATルールでアドレスセットを指定すると、Junos OSによってアドレスセットメンバーごとにルールが自動的に適用されるため、アドレスを1つずつ指定する必要はありません。

メモ:

NAT ルールでサポートされていないアドレスおよびアドレス セットの種類(ワイルドカード アドレス、DNS 名、IPv4 アドレスと IPv6 アドレスの組み合わせ)です。

NAT でアドレス帳を設定する場合は、次のガイドラインに従ってください。

  • NAT ルールでは、グローバル アドレス帳のアドレスのみを指定できます。ユーザー定義のアドレス帳は NAT ではサポートされていません。

  • 送信元 NAT ルールで送信元アドレス名としてアドレス セットを設定できます。ただし、宛先NATルールで宛先アドレス名としてアドレスセットを設定することはできません。

    以下のサンプル NAT ステートメントは、送信元と宛先の NAT ルールでサポートされているアドレスとアドレスのセットのタイプを示しています。

  • 静的 NAT ルールでは、アドレス セットを送信元アドレス名または宛先アドレス名として設定することはできません。以下のサンプル NAT ステートメントは、静的 NAT ルールでサポートされているアドレスのタイプを示しています。

例:アドレス帳とアドレス セットの設定

この例では、アドレス帳でアドレスとアドレス セットを構成する方法を示します。また、アドレス帳をセキュリティ ゾーンにアタッチする方法も示します。

要件

始める前に:

  • ネットワーク通信用にジュニパーネットワークスのセキュリティデバイスを設定します。

  • サーバーおよびメンバーデバイス上のネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。

  • ドメイン ネーム システム (DNS) サービスを構成します。DNS の詳細については、「 DNS の概要」を参照してください。

概要

この例では、アドレスとアドレス セットを使用してアドレス帳を構成し (図 2 を参照)、会社のネットワークの構成を簡素化します。というEng-deptアドレス帳を作成し、エンジニアリング部門のメンバーのアドレスを追加します。という名前のWeb別のアドレス帳を作成し、それに DNS 名を追加します。次に、セキュリティ ゾーンの信頼をアドレス帳にアタッチし、Eng-deptWebセキュリティ ゾーンの信頼をアドレス帳にアタッチします。また、エンジニアリング部門でソフトウェアとハードウェアのアドレスをグループ化するためのアドレスセットも作成します。これらのアドレスは、今後のポリシー構成で送信元アドレスと宛先アドレスとして使用する予定です。

さらに、グローバル アドレス帳にアドレスを追加して、アドレス帳が添付されていないセキュリティ ゾーンで使用できるようにします。

図2:アドレスとアドレスセット Configuring Addresses and Address Setsの設定

トポロジ

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。

アドレスとアドレス セットを設定するには:

  1. イーサネット インターフェイスを設定し、IPv4 アドレスを割り当てます。

  2. セキュリティ ゾーンを作成し、インターフェイスを割り当てます。

  3. アドレス帳を作成し、その中にアドレスを定義します。

  4. アドレス セットを作成します。

  5. アドレス帳をセキュリティ ゾーンにアタッチします。

  6. アドレス帳をもう1つ作成し、セキュリティ ゾーンにアタッチします。

  7. グローバルアドレス帳でアドレスを定義します。

結果

設定モードから、 および show security address-book コマンドを入力してshow security zones設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認します。

アドレス帳設定の確認

目的

設定されたアドレス帳とアドレスに関する情報を表示します。

アクション

設定モードから コマンド show security address-book を入力します。

グローバルアドレス帳設定の確認

目的

グローバルアドレス帳に設定されたアドレスに関する情報を表示します。

アクション

設定モードから コマンド show security address-book global を入力します。

ポリシーからのアドレスの除外

Junos OSでは、送信元アドレスと宛先アドレスをいくつでもポリシーに追加できます。ポリシーから特定のアドレスを除外する必要がある場合は、そのアドレスを否定アドレスとして設定できます。アドレスが否定アドレスとして設定されている場合、ポリシーから除外されます。ただし、ポリシーから次の IP アドレスを除外することはできません。

  • ワイルドカード

  • IPv6

  • どれでも

  • any-IPv4

  • any-IPv6

  • 0.0.0.0

アドレスの範囲または単一のアドレスが否定される場合、複数のアドレスに分割できます。これらの否定されたアドレスは、パケット転送エンジンに記憶するためにより多くのメモリを必要とするプレフィックスまたは長さとして表示されます。

各プラットフォームには、否定アドレスを持つ限られた数のポリシーがあります。ポリシーには、10 個の送信元アドレスまたは宛先アドレスを含めることができます。ポリシーの容量は、プラットフォームがサポートするポリシーの最大数によって異なります。

否定された送信元アドレス、宛先アドレス、またはその両方を設定する前に、以下のタスクを実行してください。

  1. 送信元、送信先、またはその両方のアドレス帳を作成します。

  2. アドレス名を作成し、送信元アドレスと宛先アドレスをアドレス名に割り当てます。

  3. 送信元、宛先、またはその両方のアドレス名をグループ化するアドレス セットを作成します。

  4. 送信元と送信先のアドレス帳をセキュリティ ゾーンに接続します。たとえば、送信元アドレス帳を送信元ゾーンの 信頼 にアタッチし、宛先アドレス帳を宛先ゾーン の信頼にアタッチします。

  5. 一致する送信元、宛先、またはその両方のアドレス名を指定します。

  6. 送信元アドレス除外、宛先アドレス除外、またはその両方のコマンドを実行します。送信元、宛先、または両方のアドレス帳に追加された送信元、宛先、またはその両方のアドレスは、ポリシーから除外されます。

メモ:

グローバル アドレス帳は、どのセキュリティ ゾーンにもアタッチする必要はありません。

例:ポリシーからのアドレスの除外

この例では、否定された送信元アドレスと宛先アドレスを設定する方法を示します。また、アドレス帳とアドレス セットの構成方法も示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズのファイアウォール

  • パソコン

  • Junos OSリリース12.1X45-D10

開始する前に、アドレス帳とアドレス セットを構成します。 例:アドレス帳とアドレス セットの設定を参照してください。

概要

この例では、送信元と宛先のアドレス帳、SOUR-ADDR と DES-ADDR を作成し、送信元アドレスと宛先アドレスを追加します。送信元アドレスと宛先アドレスのセット(as1 と as2)を作成し、送信元アドレスと宛先アドレスをグループ化します。次に、送信元アドレス帳をセキュリティ ゾーンの信頼に接続し、宛先アドレス帳をセキュリティ ゾーンの信頼解除に接続します。

セキュリティゾーンのfrom-trustとto-zoneのuntrustを作成します。ポリシー名を p1 に指定し、一致送信元アドレスの名前を as1 に、一致宛先アドレスを as2 に設定します。ポリシー p1 で設定された送信元アドレスと宛先アドレスを除外するには、コマンド source -address-excluded宛先-address-excluded を指定します。最後に、ポリシー p1 を設定して、ゾーンの信頼からゾーンの信頼へのトラフィックを許可します。

構成

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。

否定アドレスを設定するには:

  1. 送信元アドレス帳とアドレス名を作成します。送信元アドレスをアドレス帳に追加します。

  2. 送信元アドレス名をグループ化するアドレス セットを作成します。

  3. 送信元アドレス帳をセキュリティ送信元ゾーンにアタッチします。

  4. 宛先アドレス帳とアドレス名を作成します。アドレス帳に宛先アドレスを追加します。

  5. 宛先アドレス名をグループ化する別のアドレス セットを作成します。

  6. 宛先アドレス帳をセキュリティtoゾーンにアタッチします。

  7. ポリシー名と送信元アドレスを指定します。

  8. ポリシーから送信元アドレスを除外します。

  9. 宛先アドレスを指定します。

  10. ポリシーから宛先アドレスを除外します。

  11. セキュリティポリシーアプリケーションを設定します。

  12. ゾーンからの信頼からゾーンへの信頼のトラフィックを許可します。

結果

設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認します。

ポリシー設定の確認

目的

ポリシーの構成が正しいことを確認します。

アクション

動作モードから コマンド show security policies policy-name p1 を入力します。

この出力は、ポリシー設定をまとめたものです。

ポリシー設定の詳細の確認

目的

ポリシーと否定された送信元アドレスと宛先アドレスの設定が正しいことを確認します。

アクション

動作モードから コマンド show security policies policy-name p1 detail を入力します。

この出力は、ポリシー設定を要約し、ポリシーから除外された否定された送信元アドレスと宛先アドレスの名前を示しています。