項目一覧
セキュリティ ポリシーの設定
ネットワークを保護するには、ネットワーク管理者が、そのビジネス内のすべてのネットワークリソースと、それらのリソースに必要なセキュリティレベルの概要を示すセキュリティポリシーを作成する必要があります。Junos OSでは、セキュリティポリシーを設定できます。セキュリティポリシーは、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションの観点から、トランジットトラフィックのルールを適用します。
セキュリティポリシー要素について
セキュリティポリシーとは、指定されたサービスを使用して、指定された送信元から特定の宛先へのトラフィックを制御する一連のステートメントです。ポリシーは、2 つのポイント間で特定のタイプのトラフィックを一方方向に許可、拒否、またはトンネリングします。
各ポリシーは、次のもので構成されます。
ポリシーの一意の名前。
from-zoneとto-zone(例: user@host)#set security policies from-zone untrust to-zone untrustポリシー ルールを適用するために満たす必要のある条件を定義する一致条件のセット。一致条件は、送信元 IP アドレス、IP アドレス、およびアプリケーションに基づいています。ユーザー・アイデンティティ・ファイアウォールは、ポリシー・ステートメントの一部として追加のタプルsource-identityを含めることで、より細分性を提供します。
一致した場合に実行する一連のアクション (許可、拒否、または拒否)。
アカウンティングおよび監査の要素 - カウント、ログ記録、または構造化システム ログ記録。
デバイスは、これらの仕様に一致するパケットを受信すると、ポリシーで指定されたアクションを実行します。
セキュリティ ポリシーは、トランジット トラフィックに一連のルールを適用し、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行されるアクションを特定します。指定した基準に一致するトラフィックに対するアクションには、許可、拒否、拒否、ログ、カウントなどがあります。
セキュリティポリシールールについて
セキュリティポリシーは、セキュリティルールをコンテキスト内のトランジットトラフィック(from-zone から to-zone)に適用します。各ポリシーは、その名前によって一意に識別されます。トラフィックは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションをデータプレーンのポリシーデータベースと照合することによって分類されます。
各ポリシーは、次の特性に関連付けられています。
送信元ゾーン
宛先ゾーン
1 つまたは複数の送信元アドレス名またはアドレス セット名
1 つまたは複数の宛先アドレス名またはアドレス セット名
1つまたは複数のアプリケーション名またはアプリケーション・セット名
これらの特性を 一致条件と呼びます。各ポリシーには、許可、拒否、拒否、カウント、ログ、VPNトンネルなどのアクションも関連付けられています。一致条件の引数は、ポリシー、送信元アドレス、宛先アドレス、アプリケーション名を設定するときに指定する必要があります。
を指定して、ワイルドカードエントリー anyを使用して IPv4 または IPv6 アドレスでポリシーを設定できます。IPv6 トラフィックのフロー サポートが有効になっていない場合、 any は IPv4 アドレスを照合します。IPv6 トラフィックのフロー サポートが有効になっている場合、 any は IPv4 アドレスと IPv6 アドレスの両方を照合します。IPv6 トラフィックのフローベース転送を有効にするには、 set security forwarding-options family inet6 mode flow-based コマンドを使用します。また、送信元アドレスと宛先アドレスの一致条件にワイルドカード any-ipv4 または any-ipv6 を指定して、IPv4 アドレスのみまたは IPv6 アドレスのみを含めるようにすることもできます。
IPv6 トラフィックのフロー サポートが有効になっている場合、セキュリティ ポリシーで設定できる IPv4 または IPv6 アドレスの最大数は、次の一致条件に基づきます。
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
一致条件の理由は、IPv6 アドレスが IPv4 アドレスの 4 倍のメモリ空間を使用するからです。
IPv6 アドレスでセキュリティ ポリシーを設定できるのは、IPv6 トラフィックのフロー サポートがデバイスで有効になっている場合のみです。
特定のアプリケーションを指定しない場合は、デフォルトのアプリケーションとして any を入力します。デフォルトのアプリケーションを検索するには、設定モードから「 show groups junos-defaults | find applications (predefined applications)」と入力します。たとえば、アプリケーション名を指定しない場合、ポリシーはアプリケーションをワイルドカード(デフォルト)としてインストールされます。したがって、特定のポリシーの残りのパラメータに一致するデータトラフィックは、データトラフィックのアプリケーションタイプに関係なく、ポリシーと一致します。
ポリシーが複数のアプリケーションで設定され、そのうちの複数のアプリケーションがトラフィックに一致する場合、一致条件に最も適したアプリケーションが選択されます。
トラフィックが一致する最初のポリシーのアクションがパケットに適用されます。一致するポリシーがない場合、パケットは破棄されます。ポリシーは上から下に検索されるため、より具体的なポリシーをリストの一番上に配置することをお勧めします。また、最上部付近に IPSec VPN トンネル ポリシーを配置する必要があります。特定のユーザーにすべてのインターネットアプリケーションへのアクセスを許可するポリシーなど、より一般的なポリシーをリストの一番下に配置します。たとえば、特定のポリシーがすべて解析され、正当なトラフィックが許可/カウント/ログに記録された後、すべて拒否またはすべて拒否のポリシーを最下部に配置します。
IPv6 アドレスのサポートは、Junos OS リリース 10.2 で追加されました。Junos OS リリース 10.4 では、アクティブ/アクティブ シャーシ クラスター構成での IPv6 アドレスのサポート(アクティブ/パッシブ シャーシ クラスター設定の既存のサポートに加えて)が追加されています。
ポリシールックアップにより、宛先ゾーン、宛先アドレス、エグレスインターフェイスが特定されます。
ポリシーを作成するときは、次のポリシー・ルールが適用されます:
セキュリティポリシーは、
to-zone方向にfrom-zoneに設定されます。特定のゾーン方向の下で、各セキュリティ ポリシーには、名前、一致条件、アクション、およびその他のオプションが含まれます。ポリシー名、一致条件、およびアクションは必須です。
ポリシー名はキーワードです。
一致条件の送信元アドレスは、
from-zone内の 1 つ以上のアドレス名またはアドレス セット名で構成されます。一致条件の宛先アドレスは、
to-zone内の 1 つ以上のアドレス名またはアドレス セット名で構成されます。一致条件のアプリケーション名は、1つ以上のアプリケーションまたはアプリケーションセットの名前で構成されます。
許可、拒否、または拒否のいずれかのアクションが必要です。
アカウンティング要素と監査要素 (count と log) を指定できます。
セッションの最後に
session-closeコマンドを使用して、またはセッションの開始時にsession-initコマンドを使用して、ロギングを有効にできます。カウントアラームがオンになっている場合は、アラームしきい値をバイト/秒またはキロバイト/分で指定します。
以下の条件がない限り、
globalをfrom-zoneまたはto-zoneとして指定することはできません。to-zoneを大域ゾーンとして構成したポリシーには、静的 NAT または受信 NAT がポリシーで構成されていることを示す宛先アドレスが 1 つ必要です。NAT のポリシー許可オプションが簡素化されました。各ポリシーは、オプションでNAT変換を許可するか、許可しないか、または気にしないかを示します。
アドレス名の先頭に以下の予約済みプレフィックスを使用することはできません。これらは、アドレス NAT 設定にのみ使用されます。
static_nat_incoming_nat_junos_
アプリケーション名を
junos_予約済みプレフィックスで始めることはできません。
ワイルドカード アドレスについて
送信元アドレスと宛先アドレスは、セキュリティ ポリシーで設定する必要がある 5 つの一致条件のうちの 2 つです。セキュリティ ポリシーの送信元アドレスと宛先アドレスの一致条件にワイルドカード アドレスを設定できるようになりました。ワイルドカードアドレスは、A.B.C.D/wildcard-mask として表されます。ワイルドカードマスクは、IP アドレス A.B.C.D のどのビットをセキュリティ ポリシーの一致条件で無視するかを決定します。たとえば、セキュリティ ポリシーの送信元 IP アドレス 192.168.0.11/255.255.0.255 は、セキュリティ ポリシーの一致条件によって IP アドレスの 3 番目のオクテット(192.168.*.11 として記号的に表される)を破棄できることを意味します。そのため、192.168.1.11 や 192.168.22.11 などの送信元 IP アドレスを持つパケットは、一致条件に準拠します。ただし、192.168.0.1 や 192.168.1.21 などの送信元 IP アドレスを持つパケットは一致基準を満たしません。
ワイルドカードアドレスの使用は、フルオクテットのみに限定されません。任意のワイルドカード アドレスを設定できます。たとえば、ワイルドカード アドレス 192.168 です。7.1/255.255.7.255 は、ポリシーを一致させる際に、ワイルドカード アドレスの 3 番目のオクテットの最初の 5 ビットのみを無視する必要があることを意味します。ワイルドカードアドレスの使用がフルオクテットのみに制限されている場合、4つのオクテットのそれぞれに0または255のみを持つワイルドカードマスクが許可されます。
ワイルドカードマスクの最初のオクテットは 128 より大きくする必要があります。たとえば、0.255.0.255 または 1.255.0.255 として表されるワイルドカードマスクは無効です。
ワイルドカードセキュリティポリシーは、セキュリティゾーン間で交差しようとするトラフィックを許可、拒否、拒否できるシンプルなファイアウォールポリシーです。コンテンツセキュリティなどのサービスにワイルドカードアドレスを使用してセキュリティポリシールールを設定しないでください。
IPv6セッションのコンテンツセキュリティはサポートされていません。現在のセキュリティ ポリシーで IP アドレスのワイルドカード any のルールを使用していて、コンテンツ セキュリティ機能が有効になっている場合、コンテンツ セキュリティ機能はまだ IPv6 アドレスをサポートしていないため、設定コミット エラーが発生します。エラーを解決するには、エラーを返すルールを変更して、any-ipv4 ワイルドカードが使用されるようにします。また、コンテンツセキュリティ機能を含まないIPv6トラフィックに対しては、個別のルールを作成します。
デバイスにワイルドカードセキュリティポリシーを設定すると、from-zoneおよびto-zoneコンテキストごとに設定されたワイルドカードポリシーの数に基づいて、パフォーマンスとメモリ使用量が影響を受けます。したがって、特定の送信元ゾーンおよび宛先ゾーンのコンテキストに対しては、最大 480 個のワイルドカード ポリシーしか設定できません。
参照
ポリシー構成の同期の機能強化
ポリシー設定同期メカニズムの強化により、ルーティングエンジン(RE)とパケット転送エンジン(PFE)間のデバイスからも削除されます方法が改善され、システムの信頼性とセキュリティが向上します。このメカニズムにより、ポリシーが自動的かつ正確に同期されます。さらに、システムはセキュリティ ポリシーの設定変更プロセス中のフロー ドロップを効果的に防止します。
ファイルのシリアル化
ファイルシリアル化を使用して、データプレーンへのポリシー変更の伝播を実行します。デバイスからも削除されますをファイルにシリアル化することで、PFE がポリシーを制御された信頼性の高い方法で読み取り、適用できるようにします。これらのシリアル化されたファイルは指定されたディレクトリに保存され、アプリケーションが成功すると自動的に削除されるため、より効率的で帯域幅に優しい同期方法が提供されます。このファイルベースのアプローチにより、セキュリティポリシーの不一致のリスクが軽減され、システムの信頼性が向上します。
既定では、ファイルベースのシリアル化は有効になっています。次のステートメントを使用して、ファイルシリアル化を無効にすることができます。
[edit] user@host# set security policies no-file-serialization
ファイルシリアル化機能を再度有効にするには、次のステートメントを使用します。
[edit] user@host# delete security policies no-file-serialization
または、以下のステートメントを使用します。
[edit] user@host# set security policies file-serialization
ポリシー設定変更時のフローセッション中断の防止
セキュリティ ポリシー設定変更コミット時のフロー セッションの中断を回避できます。ポリシーの一致条件やアクションの変更、ポリシーの追加や削除、ポリシーの入れ替え、ポリシー順序の変更などの設定変更は、フロー セッションを中断します。これらの変更はPFE設定データに影響を与え、進行中のポリシー検索に影響を与え、誤ったポリシー選択やデフォルトのポリシー選択につながる可能性があります。つまり、古いポリシーから新しいポリシーへの短い移行中に、セッションが部分的に作成されたデータ構造と一致し、誤ったポリシーの一致が発生する可能性があります。
セキュリティポリシーの変更による混乱を回避するには、以下のステートメントを使用します。
[edit] user@host# set security policies lookup-intact-on-commit
lookup-intact-on-commitオプションを設定した場合、デバイスまたはシャーシ クラスタ設定でフォワーディング プレーンを再起動します。
次のコマンドを使用して、 lookup-intact-on-commit オプションを有効にする前に、デバイスのステータスと適格性を確認します。
[edit] user@host> show security policies lookup-intact-on-commit
コマンド出力は、 lookup-intact-on-commit オプションがデバイス上ですでに設定されているかどうかを表示し、オプションをアクティブにできるメモリ ストレージの観点から lookup-intact-on-commit デバイスの適格性を表示します。
メモリとエラー処理
これらの新しい同期メカニズムを実装するには、システムが特定のメモリ要件を満たす必要があります。具体的には、コミット時のルックアップインタクト機能を有効にするには、少なくとも 5% の空きカーネル ヒープと 1% の空きユーザー ヒープが必要です。これにより、ファイルベースの同期操作とデュアルメモリ操作に十分なメモリが確保されます。同期に失敗した場合、システムは自動的に従来の方法に戻るように設計されています。
show security policies lookup-intact-on-commit eligibilityコマンドを使用して、FPC ごとのシステムのメモリ可用性を確認できます。この出力は、特定のFPCがset security policies lookup-intact-on-commit 設定に適格かどうかを示します。
論理システムとテナントシステムのサポート
ルート論理システム(システムレベル)でのみ、 lookup-intact-on-commit と file-serialization を設定できます。論理システム レベルおよびテナント システムレベルでの設定はサポートされていません。ただし、これらの設定をルート レベルで構成すると、論理システム レベルとテナント システム レベルで構成されたポリシーも最適化されます。
セルフトラフィックのセキュリティポリシーの理解
セキュリティポリシーは、デバイスを通過するトラフィックにサービスを適用するために設定されます。たとえば、UAC とコンテンツ セキュリティ ポリシーは、一時的なトラフィックにサービスを適用するように構成されています。
セルフトラフィックまたはホストトラフィックは、ホストインバウンドトラフィックです。つまり、デバイスで終端するトラフィック、またはデバイスから発信されるトラフィックであるホスト送信トラフィックです。セルフトラフィックにサービスを適用するためのポリシーを設定できるようになりました。リモートデバイスからのSSL 接続を終端し、そのトラフィックで何らかの処理を実行する必要があるSSLスタックサービス、ホストインバウンドトラフィックのIDPサービス、またはホスト送信トラフィックでIPsec暗号化などのサービスは、セルフトラフィックに設定されたセキュリティポリシーを通じて適用する必要があります。
セルフトラフィックのセキュリティポリシーを設定する場合、デバイスを通過するトラフィックは、まずポリシーと照合され、次にゾーンにバインドされたインターフェイスに設定された host-inbound-traffic オプションと照合されます。
セルフトラフィックのセキュリティポリシーを設定して、セルフトラフィックにサービスを適用できます。ホストアウトバウンドポリシーは、ホストデバイスから発信されたパケットがフローを通過し、このパケットの着信インターフェイスがローカルに設定されている場合にのみ機能します。
セルフトラフィックを使用する利点は、以下のとおりです。
トランジット トラフィックに使用される既存のポリシーまたはフロー インフラストラクチャのほとんどを活用できます。
サービスを有効にするために個別のIPアドレスは必要ありません。
デバイス上の任意のインターフェイスのIP アドレスを使用して、任意のホストインバウンドトラフィックにサービスまたはポリシーを適用できます。
デフォルトのセキュリティ ポリシー ルールは、セルフ トラフィックに影響しません。
セキュリティポリシーは、関連するサービスのみによるセルフトラフィックに対して設定できます。たとえば、ホスト送信トラフィックで fwauth サービスを設定することは関係がなく、gprs-gtp サービスはセルフ トラフィックのセキュリティ ポリシーとは関係ありません。
セルフトラフィックのセキュリティポリシーは、 junos-host ゾーンと呼ばれる新しいデフォルトセキュリティゾーンで設定されます。junos-hostゾーンはjunos-defaults設定の一部となるため、ユーザーはこれを削除できません。interfaces、screen、tcp-rst、host-inbound-traffic オプションなどの既存のゾーン設定は、junos-host ゾーンにとって意味がありません。そのため、junos-hostゾーンに専用の設定はありません。
host-inbound-traffic を使用して、デバイスへの着信接続を制御できます。ただし、デバイスから送信されるトラフィックは制限されません。一方、junos-host-zoneでは、選択したアプリケーションを選択し、送信トラフィックを制限することもできます。たとえば、NAT、IDP、コンテンツセキュリティなどのサービスを、junos-host-zoneを使用してデバイスを通過するトラフィックに対して有効にできるようになりました。
セキュリティポリシー設定の概要
セキュリティポリシーを作成するには、以下のタスクを完了する必要があります。
ゾーンを作成します。 例: セキュリティ ゾーンの作成を参照してください。
ポリシーのアドレスを使用してアドレス帳を設定します。 例:アドレスブックとアドレスセットの設定を参照してください。
そのタイプのトラフィックにポリシーを適用することを示すアプリケーション(またはアプリケーション セット)を作成します。 例:セキュリティポリシーアプリケーションおよびアプリケーションセットの設定を参照してください。
ポリシーを作成します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定、 例:選択したトラフィックを許可または拒否するセキュリティポリシーの設定、および 例:ワイルドカードアドレストラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
スケジューラをポリシーに使用する予定がある場合は、スケジューラを作成します。 例:1 日を除く日次スケジュールのスケジューラの設定を参照してください。
ファイアウォールポリシーウィザードでは、基本的なセキュリティポリシーの設定を行うことができます。より高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。
参照
SRXシリーズデバイスでポリシーを定義するためのベストプラクティス
セキュアなネットワークはビジネスに不可欠です。ネットワークを保護するには、ネットワーク管理者が、そのビジネス内のすべてのネットワークリソースと、それらのリソースに必要なセキュリティレベルの概要を示すセキュリティポリシーを作成する必要があります。セキュリティポリシーは、セキュリティルールをコンテキスト(from-zone からto-zone)内のトランジットトラフィックに適用し、各ポリシーはその名前によって一意に識別されます。トラフィックは、送信元と宛先のゾーン、送信元と宛先のアドレス、トラフィックがプロトコルヘッダーで伝送するアプリケーションをデータプレーンのポリシーデータベースと照合することによって分類されます。
プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。
各ルールのアドレスとアプリケーションの数を増やすと、ポリシー定義で使用されるメモリ量が増加し、ポリシーが 80,000 未満でシステムのメモリが不足する場合があります。
パケット転送エンジン(PFE)およびルーティングエンジン(RE)上のポリシーの実際のメモリ使用率を取得するには、メモリツリーのさまざまなコンポーネントを考慮する必要があります。メモリ ツリーには、次の 2 つのコンポーネントが含まれます。
ポリシーコンテキスト:このコンテキストですべてのポリシーを整理するために使用されます。ポリシーコンテキストには、送信元ゾーンや宛先ゾーンなどの変数が含まれます。
ポリシーエンティティ - ポリシーデータを保持するために使用されます。ポリシーエンティティは、ポリシー名、IPアドレス、アドレス数、アプリケーション、ファイアウォール認証、WebAuth、IPsec、数、アプリケーションサービス、Junos Services Framework(JSF)などのパラメータを使用してメモリを計算します。
さらに、ポリシー、ルールセット、およびその他のコンポーネントの保存に使用されるデータ構造は、パケット転送エンジンとルーティングエンジンで異なるメモリを使用します。例えば、ポリシー内の各アドレスのアドレス名はルーティングエンジンに保存されますが、パケット転送エンジンレベルではメモリは割り当てられません。同様に、ポート範囲はプレフィックスとマスクのペアに拡張され、パケット転送エンジンに保存されますが、そのようなメモリはルーティングエンジンに割り当てられません。
したがって、ポリシーの構成に応じて、ルーティングエンジンへのポリシー寄与者はパケット転送エンジンに対するポリシー寄与者と異なり、メモリは動的に割り当てられます。
メモリは、「遅延削除」状態によっても消費されます。遅延削除状態では、デバイスがポリシー変更を適用すると、一時的なピーク使用量が発生し、古いポリシーと新しいポリシーの両方が存在します。そのため、短期間、パケット転送エンジンには古いポリシーと新しいポリシーの両方が存在し、2倍のメモリ要件を占有します。
そのため、メモリ要件はポリシーの特定の設定に依存し、メモリは動的に割り当てられるため、任意の時点でいずれかのコンポーネント(パケット転送エンジンまたはルーティングエンジン)によって使用されているメモリ量を明確に推測する明確な方法はありません。
ポリシー実装に関する次のベスト プラクティスにより、システム メモリをより有効に活用し、ポリシー構成を最適化できます。
送信元アドレスと宛先アドレスに単一のプレフィックスを使用します。たとえば、/32 アドレスを使用して各アドレスを個別に追加する代わりに、必要な IP アドレスのほとんどをカバーする大きなサブネットを使用します。
可能な限り、アプリケーション「any」を使用してください。ポリシーで個々のアプリケーションを定義するたびに、追加の 52 バイトを使用できます。
IPv6 アドレスはより多くのメモリを消費するため、使用する IPv6 アドレスを少なくします。
デバイスからも削除されます。送信元または宛先の各ゾーンは、約 16,048 バイトのメモリを使用します。
次のパラメータは、指定されたバイトによるメモリの消費方法を変更できます。
ファイアウォール認証 - 約 16 バイト以上 (固定なし)
Web認証 - 約16バイト以上(未固定)
IPsec-12 バイト
アプリケーション サービス - 28 バイト
カウント - 64 バイト
ポリシーのコンパイル前後にメモリ使用率を確認します。
手記:デバイスごとに必要なメモリは異なります。一部のデバイスはデフォルトで 512,000 セッションをサポートし、ブートアップ メモリは通常 72 〜 73 % です。他のデバイスは最大100万セッションを持つことができ、ブートアップメモリは最大83〜84%です。最悪のシナリオでは、SPU で約 80,000 個のポリシーをサポートするには、SPU は最大 82% のフロー カーネル メモリ消費量で起動し、少なくとも 170 メガバイトのメモリを使用可能にする必要があります。
参照
ファイアウォールウィザードを使用したポリシーの設定
ファイアウォールポリシーウィザードでは、基本的なセキュリティポリシーの設定を行うことができます。より高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。
ファイアウォール ポリシー ウィザードを使用してポリシーを設定するには:
- J-Web インターフェイスで [
Configure>Tasks>Configure FW Policy] を選択します。 - [ファイアウォールポリシーウィザードを起動]ボタンをクリックして、ウィザードを起動します。
- ウィザードのプロンプトに従います。
ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアは、フィールドに対応するヘルプを示しています。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。
例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定
この例では、すべてのトラフィックを許可または拒否するセキュリティ ポリシーを設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
ゾーンを作成します。 例: セキュリティ ゾーンの作成を参照してください。
アドレス帳を設定し、ポリシーで使用するアドレスを作成します。 例:アドレスブックとアドレスセットの設定を参照してください。
そのタイプのトラフィックにポリシーを適用することを示すアプリケーション(またはアプリケーション セット)を作成します。 例:セキュリティポリシーアプリケーションおよびアプリケーションセットの設定を参照してください。
概要
Junos OSでは、セキュリティポリシーによって、デバイスを通過できるトラフィックと、デバイスを通過するトラフィックに対して実行する必要があるアクションというルールが適用されます。セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この例では、trustおよびuntrustインターフェイスge-0/0/2およびge-0/0/1を設定します。 図 1 を参照してください。
を許可する
この設定例は、次の方法を示しています。
trustゾーンからuntrustゾーンへのすべてのトラフィックを許可または拒否しますが、untrustゾーンからtrustゾーンへのすべてをブロックします。
特定の時間に、trustゾーン内のホストからuntrustゾーン内のサーバーへの選択したトラフィックを許可または拒否します。
位相幾何学
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
すべてのトラフィックを許可または拒否するセキュリティポリシーを設定するには、次の手順に従います。
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
untrust ゾーンから trust ゾーンへのトラフィックを拒否するセキュリティ ポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
業績
設定モードから、 show security policies コマンドと show security zones コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
設定例は、trustゾーンからuntrustゾーンへのデフォルトのpermit-allです。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:選択したトラフィックを許可または拒否するセキュリティポリシーの設定
この例では、選択したトラフィックを許可または拒否するセキュリティ ポリシーを設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
ゾーンを作成します。 例: セキュリティ ゾーンの作成を参照してください。
アドレス帳を設定し、ポリシーで使用するアドレスを作成します。 例:アドレスブックとアドレスセットの設定を参照してください。
そのタイプのトラフィックにポリシーを適用することを示すアプリケーション(またはアプリケーション セット)を作成します。 例:セキュリティポリシーアプリケーションおよびアプリケーションセットの設定を参照してください。
trustゾーンとuntrustゾーンとの間のトラフィックを許可します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
概要
Junos OSでは、セキュリティポリシーによって、デバイスを通過できるトラフィックと、デバイスを通過するトラフィックに対して実行する必要があるアクションというルールが適用されます。セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この例では、trustゾーンのホストからuntrustゾーンのサーバーへの電子メールトラフィックのみを許可する特定のセキュリティポリシーを設定します。他のトラフィックは許可されません。 図 2 を参照してください。
の許可
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
選択したトラフィックを許可するセキュリティ ポリシーを設定するには、次の手順に従います。
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
クライアントとサーバーの両方のアドレス帳エントリを作成します。また、アドレス帳にセキュリティ ゾーンをアタッチします。
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
メールトラフィックを許可するポリシーを定義します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
業績
設定モードから、 show security policies コマンドと show security zones コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ワイルドカードアドレストラフィックを許可または拒否するセキュリティポリシーの設定
この例では、ワイルドカードアドレストラフィックを許可または拒否するセキュリティポリシーを設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
ワイルドカードアドレスを理解する。 セキュリティポリシールールについてを参照してください。
ゾーンを作成します。 例: セキュリティ ゾーンの作成を参照してください。
アドレス帳を設定し、ポリシーで使用するアドレスを作成します。 例:アドレスブックとアドレスセットの設定を参照してください。
そのタイプのトラフィックにポリシーを適用することを示すアプリケーション(またはアプリケーション セット)を作成します。 例:セキュリティポリシーアプリケーションおよびアプリケーションセットの設定を参照してください。
trustゾーンとuntrustゾーンとの間のトラフィックを許可します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
trustゾーンとuntrustゾーンとの間の電子メールトラフィックを許可します。 例:選択したトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
概要
Junos OS(Junosオペレーティングシステム)では、セキュリティポリシーによって、デバイスを通過できるトラフィックと、デバイスを通過するトラフィックに対して実行する必要があるアクションというルールがトランジットトラフィックに適用されます。セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この例では、trustゾーンのホストからuntrustゾーンへのワイルドカードアドレスのトラフィックのみを許可するように、特定のセキュリティを設定します。他のトラフィックは許可されません。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードで commit を入力します。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
選択したトラフィックを許可するセキュリティ ポリシーを設定するには、次の手順に従います。
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
ホストのアドレス帳エントリを作成し、そのアドレス帳をゾーンにアタッチします。
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
ワイルドカードアドレストラフィックを許可するポリシーを定義します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
業績
設定モードから、 show security policies コマンドと show security zones コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
デバイスの設定が完了したら、設定モードから commit を入力します。
例:トラフィックログを外部システムログサーバーにリダイレクトするセキュリティポリシーの設定
この例では、デバイス上で生成されたトラフィックログを外部システムログサーバーに送信するセキュリティポリシーを設定する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
インターフェイス ge-4/0/5 で SRX5600 デバイスに接続されたクライアント
インターフェイスge-4/0/1でSRX5600デバイスに接続されたサーバー
SRX5600デバイスで生成されたログは、Linuxベースのシステムログサーバーに保存されます。
インターフェイス ge-4/0/4 で Linux ベースのサーバーに接続された SRX5600 デバイス
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、データ転送中にデバイスによって生成されたトラフィックログをLinuxベースのサーバーに送信するように、SRX5600デバイスにセキュリティポリシーを設定します。トラフィックログには、すべてのセッションの詳細が記録されます。ログは、SRX5600デバイスに接続されている送信元デバイスと宛先デバイス間のセッション確立および終了時に生成されます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードで commit を入力します。
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
トラフィックログを外部システムログサーバーに送信するセキュリティポリシーを設定するには:
セキュリティログを設定して、SRX5600デバイスで生成されたトラフィックログを、IPアドレス203.0.113.2の外部システムログサーバーに転送します。IPアドレス127.0.0.1は、SRX5600デバイスのループバックアドレスです。
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
セキュリティ ゾーンを設定し、SRX5600デバイスのインターフェイス ge-4/0/5.0 で許可されるトラフィックとプロトコルのタイプを指定します。
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
別のセキュリティ ゾーンを設定し、SRX5600 デバイスのインターフェイス ge-4/0/4.0 および ge-4/0/1.0 で許可されるトラフィック タイプを指定します。
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
ポリシーを作成し、そのポリシーの一致条件を指定します。一致条件は、デバイスが任意の送信元から任意の宛先へ、および任意のアプリケーション上のトラフィックを許可できることを指定します。
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
ポリシーを有効にして、セッションの開始時と終了時にトラフィックの詳細をログに記録します。
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
業績
設定モードから、 show security log コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
セキュリティゾーンおよびポリシーのTAPモード
セキュリティ ゾーンおよびポリシーの端末アクセス ポイント(TAP)モードを使用すると、スイッチ、SPAN、またはミラー ポートを介してネットワーク上のトラフィック フローを受動的に監視できます。
セキュリティゾーンおよびポリシーのTAPモードサポートについて
ターミナルアクセスポイント(TAP)モードは、スイッチを介してミラーリングされたトラフィックをチェックするスタンバイデバイスです。セキュリティゾーンとポリシーが設定されている場合、TAPモードは、TAPインターフェイスを設定し、検出された脅威の数とユーザーの使用状況を表示するセキュリティログレポートを生成することで、着信トラフィックと発信トラフィックを検査します。タップ インターフェイスでパケットが失われると、セキュリティ ゾーンとポリシーによって接続が終了し、その結果、この接続に関するレポートは生成されません。セキュリティゾーンとポリシー構成は、非TAPモードと同じままです。
デバイスが TAP モードで動作するように設定すると、デバイスはセキュリティ ログ情報を生成して、検出された脅威、アプリケーションの使用状況、およびユーザーの詳細に関する情報を表示します。デバイスがTAPモードで動作するように設定されている場合、デバイスは設定されたTAPインターフェイスからのみパケットを受信します。設定されたTAPインターフェイスを除いて、他のインターフェイスは、管理インターフェイスとして使用される、または外部サーバに接続される通常のインターフェイスに設定されます。デバイスは、受信トラフィックに応じてセキュリティレポートまたはログを生成します。
セキュリティゾーンとデフォルトのセキュリティポリシーは、TAPインターフェイスの設定後に設定されます。必要に応じて、他のゾーンやポリシーを設定できます。1つのインターフェイスを使用してサーバーに接続する場合は、IPアドレス、ルーティングインターフェイス、およびセキュリティ設定も設定する必要があります。
デバイスをTAPモードで操作する場合、TAPインターフェイスは1つだけ設定できます。
例:TAPモードでのセキュリティゾーンおよびポリシーの設定
この例では、SRXシリーズファイアウォールがTAP(ターミナルアクセスポイント)モードで設定されている場合に、セキュリティゾーンとポリシーを設定する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール
Junos OS リリース 19.1R1
開始する前に、以下を実行します。
セキュリティ・ゾーンおよびポリシーのTAPモード・サポートの理解を参照して、この手順がセキュリティ・ゾーンおよびポリシーの全体的なサポートにどのように適合するかを理解します。
概要
この例では、SRXシリーズファイアウォールをTAPモードで動作するように設定します。SRXシリーズファイアウォールをTAPモードで動作するように設定すると、デバイスはセキュリティログ情報を生成して、検出された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示します。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードからコミットを入力します。
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
TAPモードでゾーンを設定するには:
セキュリティ ゾーン tap-zone インターフェイスを設定します。
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
セキュリティゾーンのtap-zone application-trackingを設定します。
user@host# set security zones security-zone tap-zone application-tracking
ゾーンタップゾーンからゾーンタップゾーンポリシータップへのトラフィックを許可するセキュリティポリシーを設定し、一致条件を設定します。
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
業績
設定モードから、 show security zones コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
TAPモードでのポリシー設定の確認
目的
セキュリティ ポリシーに関する情報を検証します。
アクション
動作モードから、 show security policies detail コマンドを入力します。
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
意味
TAPモードのデバイスで構成されているすべてのセキュリティポリシーの概要を表示します。
セキュリティ ポリシーの動的アドレス グループ
アドレス エントリーをポリシーに手動で追加すると、時間がかかる場合があります。特定の目的(ブロックリストなど)を持つ IP アドレスや、共通の属性(脅威をもたらす可能性のある特定の場所や動作など)を持つ IP アドレスのリストを提供する外部ソースがあります。外部ソースを使用して、IP アドレスで脅威ソースを識別し、それらのアドレスを動的アドレス エントリにグループ化し、セキュリティ ポリシーでそのエントリを参照できます。これにより、これらのアドレスとの間のトラフィックを制御できます。このような IP アドレスの各グループは、動的アドレス エントリと呼ばれます。
次のタイプの IP アドレスがサポートされています。
-
単一 IP。例:192.0.2.0
-
IP 範囲。例:192.0.2.0- 192.0.2.10
-
CIDRです。例:192.0.2.0/24
各エントリは 1 行を占めます。Junos OS リリース 19.3R1 以降、IP アドレス範囲を昇順で並べ替える必要はなく、IP エントリーの値を同じフィード ファイル内で重複させることができます。19.3R1より前のJunos OSリリースでは、IPアドレス範囲を昇順で並べ替える必要があり、IPエントリーの値を同じフィードファイル内で重複させることはできません。
動的アドレス エントリは、単一の IP プレフィックスではなく、IP アドレスのグループです。動的アドレス エントリは、アドレス帳およびアドレス エントリ アドレスのセキュリティ アドレスの概念とは異なります。
セキュリティ ポリシーに動的アドレス エントリを展開するメリットは、以下のとおりです。
-
ネットワーク管理者は、IP アドレスのグループとの間のトラフィックをより詳細に制御できます。
-
外部サーバーは、更新されたIPアドレスフィードをSRXシリーズファイアウォールに提供します。
-
管理者の労力が大幅に削減されます。例えば、レガシーセキュリティポリシーの設定では、ポリシーが参照する1000のアドレスエントリーを追加するには、約2000行の設定が必要になります。動的アドレス エントリーを定義し、セキュリティ ポリシーで参照することで、追加の設定作業を大幅に行わずに、最大数百万のエントリーを SRXシリーズ ファイアウォールに流入させることができます。
-
新しいアドレスを追加するためのコミットプロセスは必要ありません。従来の方法で数千のアドレスを設定に追加すると、コミットに長い時間がかかります。また、動的アドレス エントリーの IP アドレスは外部フィードから取得されるため、エントリーのアドレスが変更されてもコミット プロセスは必要ありません。
図 3 は、セキュリティ ポリシーの動的アドレス エントリがどのように機能するかの機能概要を示しています。
の動的アドレス エントリの機能コンポーネント
セキュリティ ポリシーは、送信元アドレスまたは宛先アドレス フィールドの動的アドレス エントリを参照します(セキュリティ ポリシーが従来のアドレス エントリを参照するのとほぼ同じ方法)。
図 4 は、Destination-address フィールドの動的アドレス エントリを使用するポリシーを示しています。
の動的アドレス エントリ
図 4 では、ポリシー 1 は宛先アドレス 10.10.1.1 を使用していますが、これは従来のセキュリティ アドレス エントリです。ポリシー 2 は、宛先アドレスのベンダー ブロックリストを使用します。これは、ネットワーク管理者によって指定された動的アドレス エントリです。その内容は、外部フィード ファイルから取得した IP アドレスのリストです。5 つの基準(untrust という名前の送信元ゾーン、engineer という名前の送信元ゾーン、任意の送信元アドレス、ベンダー ブロックリストの動的アドレス エントリに属するIP アドレス、およびメール アプリケーション)すべてに一致するパケットは、パケットを拒否してログに記録するポリシー アクションに従って処理されます。
動的アドレス エントリ名は、従来のセキュリティ アドレス エントリと同じ名前空間を共有するため、複数のエントリに同じ名前を使用しないでください。Junos OSのコミットプロセスでは、競合を避けるために名前が重複していないかチェックします。
動的アドレス グループは、次のデータ フィードをサポートします。
-
カスタムリスト(許可リストとブロックリスト)
-
ジオIP
フィード サーバー
-
フィード サーバには、フィード ファイルに動的アドレス エントリが含まれています。ローカルまたはリモートのカスタムフィードを作成できます。カスタムフィードの作成については、「カスタムフィードの作成」を参照してください。
-
フィードを使用するためにSRXシリーズファイアウォールを設定します。SRXシリーズファイアウォールを設定するには、 feed-server を参照してください。
バンドルフィード
動的アドレス エントリに含まれる IP アドレス、IP プレフィックス、または IP 範囲は、外部フィードをダウンロードすることで定期的に更新できます。SRXシリーズファイアウォールは、フィードサーバーへの接続を定期的に開始し、更新された動的アドレスを含むIPリストをダウンロードして更新します。
Junos OS リリース 19.3R1 以降、サーバーから 1 つの tgz ファイルをダウンロードし、複数の子フィード ファイルに抽出できます。個々のファイルは 1 つのフィードに対応します。個々の動的アドレスがバンドルファイル内のフィードを参照できるようにします。バンドル ファイルは、複数の子フィードが 1 つの .tgz ファイルに圧縮される、設定するフィードが多すぎる場合に CPU オーバーヘッドを軽減します
次のバンドル フィード モードがサポートされています。
アーカイブモード
アーカイブモードでは、SRXシリーズファイアウォール用のすべてのフィードファイルを1つのtgzファイルに圧縮する必要があります。SRXシリーズファイアウォールはこのファイルをダウンロードし、抽出後にすべてのフィードを抽出します。このプロセスについて、以下で説明します。
-
フィードサーバーのURLが、フォルダの元のURLではなく、接尾辞 .tgz の付いたファイルのURLである場合、このサーバーは、SRXシリーズファイアウォールの動的アドレス導入のために、単一のファイルを使用してすべてのフィードを伝送することを意味します。この場合、このサーバーの下のフィードは、サーバーから update-interval または hold-interval を継承します。このフィードの update-interval または hold-interval のユーザー設定はすべて無視されます。
-
この変更後、以下の手順に従って、以下の例のようにサーバーフィードを維持します。
以下の例は、サーバーフィードを維持するために必要な手順を示しています。
-
SRXシリーズファイアウォール用のすべてのフィードファイルをfeeds-4-srxフォルダーの下に配置します
-
すべてのフィード ファイル fd1 fd2 fd3 ..フォルダー feeds-4-srx 内の fdN
-
フィードの IP 範囲を追加または削除する
-
次のコマンドを実行して、ファイルにアクセスします。
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
ステップ4以降、feeds-4-srx.tgzファイルが格納されているのと同じフォルダーを含む、ファイルfeeds-4-srx.tgzがSRXシリーズファイアウォールにダウンロードできます。ダウンロード後、抽出されたファイルはfeeds-4-srx.tgzと同じフォルダに置かれます。以下の例は、SRXシリーズファイアウォールでのsamle設定を示しています。
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
path パラメータには、バンドルアーカイブ内のフィードの相対パスが必要です。
-
tar -zxf feeds-4-srx.tgz ファイルがフォルダ feeds-4-srx を生成し、このフォルダにフィード ファイル fd1 が含まれている場合は、次のコマンドを使用してフィードを設定します。
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
tar -zxf feeds-4-srx.tgz ファイルがファイル fd1 を直接抽出する場合は、次のコマンドを使用してフィードを構成します。
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
フラット・ファイル・モード
フラット ファイル モードは、既存のフィード ファイル形式に 1 つの構文変更を導入することで、ユーザーに究極のシンプルさを提供します。すべてのフィード ファイルの内容は、接尾辞として .bundle を付けた 1 つのファイルにコンパイルされます。これにより、1 つのファイルを管理できます。SRXシリーズファイアウォールは、このバンドルファイル内のIP範囲を多数のフィードファイルに分類します。送信用の帯域幅を節約できる場合は 、 このファイルを.bundle.gzとしてgzipで圧縮できます。先に定義したファイル形式に加えて、大文字のタグ FEED: とそれに続くフィード名が導入されました。このタグの下の行は、フィードに属する IP 範囲と見なされます。ファイル形式の例を以下に示します。
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
SRXシリーズファイアウォールの構成はアーカイブモードと似ており、以下のようになります。
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
フラットモードとアーカイブモードの違いは、ファイルの接尾辞とファイル内のレイアウトです。自分にとって最も便利なモードを選択できます。
フィードファイルはプレーンテキスト形式であるため、gzipはファイルサイズを小さくすることができます。サーバーとSRXシリーズファイアウォールの間にWANリンクがある場合、ネットワーク上で送信される小さいサイズのファイルを使用します。この場合は、バンドルファイルをgzipで圧縮し、次のコマンドを設定します。
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
プラットフォーム固有のセキュリティポリシー設定動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
- プラットフォーム固有のセキュリティポリシー設定ルールの動作
- プラットフォーム固有のポリシー構成の同期動作
- プラットフォーム固有のIDPサポート動作
- プラットフォーム固有のファイアウォール ポリシー ウィザードのサポート動作
プラットフォーム固有のセキュリティポリシー設定ルールの動作
| プラットホーム |
差 |
|---|---|
| SRX シリーズ |
|
プラットフォーム固有のポリシー構成の同期動作
| プラットホーム |
差 |
|---|---|
| SRXシリーズおよび vSRX3.0 |
|
プラットフォーム固有のIDPサポート動作
| プラットホーム |
差 |
|---|---|
| SRX シリーズ |
|
プラットフォーム固有のファイアウォール ポリシー ウィザードのサポート動作
| プラットホーム |
差 |
|---|---|
| SRX シリーズ |
|
プラットフォームの追加情報
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。
| ファイルフィードサーバーをサポートするSRXシリーズデバイスとvSRX仮想ファイアウォール3.0は、以下をサポートします。 |
SRX300、SRX320、SRX340、SRX345、SRX550、およびSRX550M |
SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800デバイス、vSRX仮想ファイアウォール 3.0 |
SRX1500 |
|---|---|---|---|
| フィードサーバーの最大数 |
10 |
100 |
40 |
| 最大フィード数 |
500 |
5000 |
200 |
| 動的アドレス エントリーの最大数 |
500 |
5000 |
200 |
| ポリシーオブジェクトをサポートするSRXシリーズデバイスは、以下をサポートします。 |
SRX300およびSRX320 |
SRX340 |
SRX345およびSRX380 |
SRX550M |
SRX1500、SRX1600、SRX4100 |
SRX4200とSRX4300 |
SRX4600 |
SRX4700、SRX5400、SRX5600、SRX5800 |
|---|---|---|---|---|---|---|---|---|
| アドレス オブジェクト |
2048 |
2048 |
2048 |
2048 |
4096 |
4096 |
4096 |
16384 |
| アプリケーションオブジェクト |
128 |
128 |
128 |
128 |
3072 |
3072 |
3072 |
3072 |
| セキュリティ ポリシー |
1024 |
2048 |
4096 |
10240 |
16000 |
60000 |
80000 |
100000 |
| ポリシーコンテキスト(ゾーンペア) |
256 |
512 |
1024 |
2048 |
4096 |
4096 |
8192 |
8192 |
| コンテキストごとのポリシー |
1024 |
2048 |
4096 |
10240 |
16000 |
60000 |
80000 |
100000 |
| カウントが有効なポリシー |
256 |
256 |
256 |
10240 |
1024 |
1024 |
1024 |
1024 |
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。