グローバルセキュリティポリシー

Junos OSステートフルファイアウォールでは、セキュリティポリシーによって、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションというルールがトランジットトラフィックに適用されます。セキュリティ ポリシーでは、トラフィックが 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出る必要があります。この始点ゾーンと終点ゾーンの組み合わせを contextと呼びます。各コンテキストには、ポリシーの順序付きリストが含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。トラフィックは、ポリシーの送信元ゾーン、送信先ゾーン、送信元アドレス、宛先アドレス、プロトコルヘッダーでトラフィックが伝送するアプリケーションを照合して分類されます。各グローバル ポリシーには、他のセキュリティ ポリシーと同様に、許可、拒否、拒否、ログ、カウントのアクションがあります。

セキュリティー・ポリシーは、ユーザー・インターフェースから構成できます。セキュリティ ポリシーは、特定の IP ソースから特定の IP 宛先へのスケジュールされた時間に許可されるトラフィックの種類を定義することで、あるゾーンから別のゾーンへのトラフィック フローを制御します。ほとんどの場合、これはうまく機能しますが、柔軟性が十分ではありません。たとえば、トラフィックに対してアクションを実行する場合は、可能なコンテキストごとにポリシーを設定する必要があります。考えられるすべてのコンテキストで複数のポリシーを作成しないようにするには、すべてのゾーンを含むグローバルポリシー、または複数のゾーンを含むマルチゾーンポリシーを作成します。

グローバルポリシーを使用すると、ユーザー定義のアドレスまたは「any」事前定義されたアドレスを選択しますを参照することで、セキュリティゾーンに関係なく、アドレスとアプリケーションでトラフィックを規制できます。これらのアドレスは、複数のセキュリティ ゾーンにまたがることができます。たとえば、複数のゾーンとの間のアクセスを提供する場合は、すべてのゾーンのすべてのアドレスを含む、アドレス「any」を持つグローバル ポリシーを作成できます。「any」アドレスを選択すると、任意のIPアドレスに一致し、グローバルポリシー設定で「any」が送信元/宛先アドレスとして使用されている場合、任意のパケットの送信元/宛先アドレスと一致します。

グローバルポリシーを使用すると、1つのポリシーで複数の送信元ゾーンと複数の宛先ゾーンへのアクセスを提供することもできます。ただし、セキュリティ上の理由から、またトラフィックのスプーフィングを回避するために、マルチゾーンポリシーを作成する際には、同一のポリシーの一致基準を定義(送信元アドレス、宛先アドレス、アプリケーション)と同じアクションを使用することを推奨します。 たとえば、図 1 では、DMZ と Untrust from-zones を含むマルチゾーン ポリシーを作成した場合、DMZ ゾーンからの 203.0.113.0/24 からのスプーフィング トラフィックはポリシーに正常に一致し、Trust to-ゾーンの保護されたホストに到達できます。

手記：

VPNトンネルは特定のゾーン情報を必要とするため、from-zoneおよびto-zone情報を持たないグローバルポリシーはVPNトンネルをサポートしません。

ポリシー検索が実行されると、ゾーン内(trust-to-trust)、ゾーン間(trust-to-untrust)、グローバルの順でポリシーがチェックされます。通常のポリシーと同様に、コンテキスト内のグローバルポリシーは、最初に一致したポリシーがトラフィックに適用されるように順序付けられます。

手記：

グローバル ポリシーがある場合は、グローバル ポリシーがチェックされないため、ゾーン内ポリシーまたはゾーン間ポリシーで、match source any、match destination any、match application any などの「キャッチオール」ルールが定義されていないことを確認してください。グローバル ポリシーがない場合は、ゾーン内ポリシーまたはゾーン間ポリシーに「すべて拒否」アクションを含めることを推奨します。グローバル ポリシーがある場合は、グローバル ポリシーに「すべて拒否」アクションを含める必要があります。

論理システムでは、論理システムごとにグローバルポリシーを定義することができます。ある論理システムのグローバルポリシーは、他のセキュリティポリシーとは別のコンテキストにあり、ポリシー検索では通常のセキュリティポリシーよりも優先度が低くなります。たとえば、ポリシー検索が実行されると、通常のセキュリティポリシーがグローバルポリシーよりも優先されます。したがって、ポリシー検索では、通常のセキュリティポリシーが最初に検索され、一致しない場合はグローバルポリシー検索が実行されます。

Junos OSの他のセキュリティポリシーとは異なり、グローバルポリシーは特定の送信元ゾーンや宛先ゾーンを参照しません。グローバルポリシーは、複数のセキュリティゾーンにまたがることができる事前定義されたアドレスを選択します「任意の」アドレスまたはユーザー定義アドレスを参照します。グローバルポリシーにより、ゾーン制限なしでトラフィックに対してアクションを実行する柔軟性が得られます。たとえば、グローバル ポリシーを作成して、すべてのゾーンのすべてのホストが会社の Web サイト (www.example.com など) にアクセスできるようにすることができます。グローバル ポリシーの使用は、セキュリティ ゾーンが多数ある場合に便利なショートカットです。トラフィックは、送信元アドレス、宛先アドレス、プロトコルヘッダーでトラフィックが伝送するアプリケーションを照合して分類されます。

この例では、トラフィックを拒否または許可するグローバル ポリシーを設定する方法を示しています。

Junos OSの他のセキュリティポリシーとは異なり、グローバルポリシーではマルチゾーンポリシーを作成できます。グローバルポリシーは、セキュリティゾーンが多い場合に便利なショートカットです。送信元ゾーンや宛先アドレスなどの他の属性が同一であっても、送信元ゾーンと宛先ゾーンのペアごとに個別のポリシーを作成する代わりに、1つのグローバルポリシーで複数の送信元ゾーンと複数の宛先ゾーンを設定できるためです。