グローバルセキュリティポリシー

Junos OSのステートフルファイアウォールでは、セキュリティポリシーによって、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックにルールが適用されます。セキュリティ ポリシーでは、トラフィックが 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出る必要があります。この開始ゾーンと終了ゾーンの組み合わせは、 contextと呼ばれます。各コンテキストには、ポリシーの順序付きリストが含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。トラフィックは、ポリシーの送信元ゾーン、宛先ゾーン、送信元アドレス、宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションに一致することによって分類されます。各グローバル ポリシーには、他のセキュリティ ポリシーと同様に、許可、拒否、拒否、ログ記録、カウントのアクションがあります。

ユーザー インターフェイスからセキュリティ ポリシーを構成できます。セキュリティ ポリシーは、特定の IP ソースから特定の IP 宛先にスケジュールされた時間に許可されるトラフィックの種類を定義することで、あるゾーンから別のゾーンへのトラフィック フローを制御します。ほとんどの場合、これはうまく機能しますが、十分な柔軟性がありません。たとえば、トラフィックに対してアクションを実行する場合、可能なコンテキストごとにポリシーを設定する必要があります。考えられるすべてのコンテキストで複数のポリシーを作成しないようにするには、すべてのゾーンを含むグローバルポリシー、または複数のゾーンを含むマルチゾーンポリシーを作成します。

グローバル ポリシーを使用すると、セキュリティ ゾーンに関係なく、ユーザー定義アドレスまたは定義済みアドレス「any」を参照することで、アドレスおよびアプリケーションでトラフィックを規制できます。これらのアドレスは、複数のセキュリティ ゾーンにまたがることができます。たとえば、複数のゾーンへのアクセスまたは複数のゾーンからのアクセスを提供する場合は、すべてのゾーンのすべてのアドレスを含むアドレス "any" を持つグローバル ポリシーを作成できます。「any」アドレスを選択すると、任意のIPアドレスに一致し、グローバルポリシー設定で送信元/宛先アドレスとして「any」が使用されている場合は、任意のパケットの送信元/宛先アドレスと一致します。

グローバル ポリシーを使用すると、1 つのポリシーで複数の送信元ゾーンと複数の宛先ゾーンへのアクセスを提供することもできます。ただし、セキュリティ上の理由とトラフィックのなりすましを避けるために、マルチゾーンポリシーを作成するときは、同一の一致条件(送信元アドレス、宛先アドレス、アプリケーション)と同一のアクションを使用することをお勧めします。たとえば、 図 1 で、DMZ と Untrust from-zones を含むマルチゾーン ポリシーを作成した場合、DMZ ゾーンからの 203.0.113.0/24 からのスプーフィング トラフィックはポリシーに正常に一致し、Trust to ゾーン内の保護されたホストに到達できます。

メモ：

VPN トンネルは特定のゾーン情報を必要とするため、from-zone およびto-zone 情報のないグローバル ポリシーは VPN トンネルをサポートしていません。

ポリシー検索が実行されると、ポリシーはゾーン内(信頼から信頼)、ゾーン間(信頼から信頼)、グローバルの順でチェックされます。通常のポリシーと同様に、コンテキスト内のグローバルポリシーは、最初に一致したポリシーがトラフィックに適用されるように順序付けられます。

メモ：

グローバル ポリシーがある場合は、グローバル ポリシーがチェックされないため、ゾーン内ポリシーまたはゾーン間ポリシーで、"source any に一致"、宛先 any に一致"、"アプリケーション any に一致" などの「キャッチオール」ルールを定義していないことを確認してください。グローバル ポリシーがない場合は、ゾーン内ポリシーまたはゾーン間ポリシーに "すべて拒否" アクションを含めることをお勧めします。グローバル ポリシーがある場合は、グローバル ポリシーに "すべて拒否" アクションを含める必要があります。

論理システムでは、論理システムごとにグローバルポリシーを定義できます。1 つの論理システム内のグローバル ポリシーは、他のセキュリティ ポリシーとは別のコンテキストにあり、ポリシー検索における通常のセキュリティ ポリシーよりも優先度が低くなります。たとえば、ポリシールックアップが実行される場合、通常のセキュリティポリシーがグローバルポリシーよりも優先されます。したがって、ポリシールックアップでは、通常のセキュリティポリシーが最初に検索され、一致するものがない場合は、グローバルポリシールックアップが実行されます。

Junos OSの他のセキュリティポリシーとは異なり、グローバルポリシーは特定のソースゾーンと宛先ゾーンを参照しません。グローバル ポリシーは、複数のセキュリティ ゾーンにまたがることができる定義済みのアドレス「any」またはユーザー定義アドレスを参照します。グローバル ポリシーを使用すると、ゾーン制限なしでトラフィックに対してアクションを実行できる柔軟性が得られます。たとえば、すべてのゾーンのすべてのホストが会社の Web サイト (www.example.com など) にアクセスできるように、グローバル ポリシーを作成できます。グローバル ポリシーの使用は、セキュリティ ゾーンが多数ある場合に便利なショートカットです。トラフィックは、送信元アドレス、宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションに一致することによって分類されます。

この例では、トラフィックを拒否または許可するグローバル ポリシーを設定する方法を示しています。

Junos OS の他のセキュリティ ポリシーとは異なり、グローバル ポリシーではマルチゾーン ポリシーを作成できます。グローバル ポリシーは、セキュリティ ゾーンが多い場合に便利なショートカットです。送信元アドレスや宛先アドレスなどの他の属性が同一であっても、送信元ゾーンと宛先ゾーンのペアごとに個別のポリシーを作成する代わりに、1 つのグローバル ポリシーで複数の送信元ゾーンと複数の宛先ゾーンを設定できるためです。