このページの目次
セキュリティポリシーの順序変更
セキュリティポリシーの順序を変更すると、作成後にポリシーを移動できます。Junos OSには、ポリシーリスト内のポリシーの順序が有効であることを確認するツールが用意されています。
セキュリティ ポリシーの順序付けについて
Junos OSには、ポリシーリスト内のポリシーの順序が有効であることを確認するツールが用意されています。
あるポリシーが別のポリシーを食いつぶしたり、 シャドウイングしたりする可能性があります。次の例を考えてみましょう。
例1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
例2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
例 1 と例 2 では、permit-mailポリシーがゾーンtrustuntrust間のポリシーpermit-allの後に設定されています。ゾーンuntrustからのすべてのトラフィックは最初のポリシーpermit-allに一致し、デフォルトで許可されます。ポリシーpermit-mailに一致するトラフィックがありません。
Junos OSは、リストの一番上からポリシールックアップを実行するため、受信したトラフィックに一致するものが見つかると、ポリシーリストの下位に表示されることはありません。前の例を修正するには、ポリシーの順序を逆にして、より具体的なポリシーを最初に配置します。
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
数十または数百のポリシーがある場合、あるポリシーが別のポリシーによって回避されることを検出するのはそれほど簡単ではない可能性があります。ポリシーがシャドウされているかどうかを確認するには、次のいずれかのコマンドを入力します。
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
このコマンドは、シャドウポリシーとシャドウポリシーを報告します。その後、状況を修正するのは管理者の責任です。
ポリシー シャドウイング の概念は、ポリシー リストの上位にあるポリシーが常に後続のポリシーの前に有効になる状況を指します。ポリシー検索では、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびアプリケーションタイプの5部構成のタプルに一致する最初のポリシーを常に使用するため、別のポリシーが同じタプル(またはタプルのサブセット)に適用される場合、ポリシールックアップではリストの最初のポリシーが使用され、2番目のポリシーに到達することはありません。
関連項目
例:セキュリティ ポリシーの順序変更
この例では、作成後にポリシーを移動する方法を示しています。
要件
始める前に:
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
アドレス帳を設定し、ポリシーで使用するアドレスを作成します。 例:アドレス帳とアドレス セットの設定を参照してください。
概要
シャドウイングを修正するようにポリシーの順序を変更するには、ポリシーの順序を逆にして、より具体的なポリシーを最初に配置します。
構成
手順
手順
既存のポリシーを並べ替えるには:
2 つの既存のポリシーの順序を変更するには、次のコマンドを入力します。
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します show security policies 。