セキュリティ ゾーン
アプリケーション セキュリティ ゾーンは、1 つ以上のネットワーク セグメントを集め、ポリシーを介したインバウンドおよびアウトバウンド トラフィックの規制を必要とします。セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされた論理エンティティです。ネットワークのニーズに応じて決定した正確な数のセキュリティ ゾーンを定義できます。
セキュリティ ゾーンの概要
インターフェイスは、トラフィックが他のデバイスと同じデバイスに対して行きジュニパーネットワークスとして機能します。多くのインターフェイスは、まったく同じセキュリティ要件を共有できます。ただし、インターフェイスが異なると、インバウンドとアウトバウンドのデータ パケットに対するセキュリティ要件が異なる場合があります。同一のセキュリティ要件のインターフェイスを 1 つのインターフェイスにグループ化セキュリティ ゾーン。
アプリケーション セキュリティ ゾーンは、1 つ以上のネットワーク セグメントを集め、ポリシーを介したインバウンドおよびアウトバウンド トラフィックの規制を必要とします。
セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされた論理エンティティです。さまざまなタイプのデバイスジュニパーネットワークス、複数のセキュリティ ゾーンを定義して、ネットワーク のニーズに基づいて決定する正確な数を指定できます。
1 台のデバイスで複数のセキュリティ ゾーンを設定し、ネットワークをセグメントに分割し、そのセグメントごとにさまざまなセキュリティ オプションを適用して、各セグメントのニーズを満たすことができます。少なくとも、基本的にネットワークの 1 つのエリアを他のエリアから保護するには、2 つのセキュリティ ゾーンを定義する必要があります。一部のセキュリティ プラットフォームでは、多くのセキュリティ ゾーンを定義し、ネットワーク セキュリティ設計によりきめ細かい情報を提供できます。そのため、複数のセキュリティ アプライアンスを導入する必要が生じなくても問題ありません。
セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのトラフィックにセキュリティ ゾーン別のトラフィックに送信セキュリティ ゾーン。この a と a from-zone の組み合 to-zone わせは、コンテキストとして定義 されます。各コンテキストには、ポリシーの順序指定されたリストが含されています。ポリシーの詳細については、「 セキュリティ ポリシーの 概要 」を参照してください。
このトピックは、以下のセクションで構成されています。
セキュリティ ゾーン インターフェイスについて
ネットワーク インターフェイスはセキュリティ ゾーン、TCP/IP トラフィックがそのゾーンと他のゾーン間を通過できる入り口と考することができます。
定義したポリシーを使用して、ゾーン間のトラフィックが 1 方向または両方方向に流れるのを許可できます。定義したルートを使用して、1 つのゾーンから別のゾーンへのトラフィックで使用する必要があるインターフェイスを指定します。複数のインターフェイスを 1 つのゾーンにバインドできるため、チャートに示すルートは選択したインターフェイスにトラフィックを送信するために重要です。
インターフェイスは、IPv4 アドレス、IPv6 アドレス、または両方を使用して設定できます。
機能ゾーンについて
機能ゾーンは、管理インターフェイスのような特別な目的で使用されます。現在、管理(MGT)ゾーンのみサポートされています。管理ゾーンには、次のプロパティがあります。
管理ゾーンのホスト管理インターフェイス。
管理ゾーンに入るトラフィックはポリシーと一致しません。そのため、管理インターフェイスでトラフィックが受信された場合、他のインターフェイスからトラフィックを転送することはできません。
管理ゾーンは、専用の管理インターフェイスでのみ使用できます。
セキュリティ ゾーンについて
セキュリティ ゾーンはポリシーの構成要素です。は、1つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティ ゾーンは、さまざまなセキュリティ対策を適用するために、ホストのグループ(ユーザー システムと他のホスト(サーバーなど)とそのリソースを互いから識別する手段を提供します。
セキュリティ ゾーンには、次のプロパティがあります。
ポリシー — ファイアウォールを通過するトラフィックや、ファイアウォールを通過するトラフィック上で実行する必要があるアクションに関して、トランジット トラフィックのルールを適用するアクティブなセキュリティ ポリシー。詳細については、「 セキュリティ ポリシーの 概要 」を参照してください。
スクリーン — ジュニパーネットワークスステートフル ファイアウォールは、ネットワークを検査してから許可または拒否することで、1 つのファイアウォールから別のファイアウォールへの指定を必要となすべての接続試行セキュリティ ゾーンします。すべての通知セキュリティ ゾーン、デバイスが有害と判断するさまざまな種類のトラフィックを検出してブロックする、事前定義された一連のスクリーン オプションを有効にできます。詳細については、 偵察デテレンスの概要 を参照してください。
アドレス ブック —メンバーを識別するためのアドレス ブックを構成する IP アドレスとアドレス セットです。メンバーにポリシーを適用できます。アドレス ブックのエントリーには、IPv4 アドレス、IPv6 アドレス、DNS(ドメイン名システム)名の任意の組み合わせを含めできます。詳細については、 例 : アドレス ブックとアドレス セットの設定 を参照してください。
TCP-RST — この機能が有効になっている場合、トラフィックが到着すると、既存のセッションと一致し、SYNchronize フラグ セットが設定されていない TCP セグメントが RESET フラグ セットがシステムから送信されます。
インターフェイス — ゾーン内のインターフェイスのリスト。
セキュリティ ゾーンには、次の事前設定済みゾーンがあります。
Trustゾーン — 工場出荷時の設定でのみ使用可能で、デバイスへの初期接続に使用します。設定のコミット後、trustゾーンを上書きできます。
例: セキュリティ ゾーンの作成
この例では、ゾーンを設定してゾーンにインターフェイスを割り当てる方法を示しています。セキュリティ ゾーンを設定すると、そのパラメーターの多くを同時に指定できます。
要件
開始する前に、ネットワーク インターフェイスを設定します。セキュリティ デバイス のインターフェイス ユーザー ガイド を参照してください。
概要
ネットワーク インターフェイスはセキュリティ ゾーン、TCP/IP トラフィックがそのゾーンと他のゾーン間を通過できる入り口と考することができます。
デフォルトでは、インターフェイスは nullゾーンに入っています。インターフェイスは、ゾーンに割り当てられるまでトラフィックを渡しません。
インストール内のJunos OSリリースに応じて、SRX3400、SRX3600、SRX4600、SRX5400、SRX5600、SRX5800の各デバイスで、セキュリティ ゾーン内に2000インターフェイスを設定できます。
構成
手順
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI [edit] commit にコピー アンド ペーストして、設定モードから を入力します。
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
ゾーンを作成し、ゾーンにインターフェイスを割り当てるには、次の方法に示します。
イーサネット インターフェイスを設定し、IPv4アドレスを割り当てる。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
イーサネット インターフェイスを設定し、IPv6アドレスを割り当てる。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
設定セキュリティ ゾーン、イーサネット インターフェイスに割り当てる。
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
結果
設定モードから、 および コマンドを入力して設定 show security zones security-zone ABC を確認 show interfaces ge-0/0/1 します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
この出力には、この例 show に関連する設定のみ含まれています。システム上のその他の構成は、入れ替え(... )
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ホスト インバウンド トラフィック向けサポートされるシステム サービス
このトピックでは、指定されたゾーンまたはインターフェイス上のホスト インバウンド トラフィックでサポートされるシステム サービスについて説明します。
たとえば、システムがゾーン内 203.0.113.4 のインターフェイスに接続されているユーザーが、 ABC ゾーン内のインターフェイスに telnet 接続したいと 198.51.100.4 します ABC。このアクションを許可するには、Telnet アプリケーションを両方のインターフェイスで許可されたインバウンド サービスとして設定する必要があります。また、ポリシーでトラフィック伝送を許可する必要があります。
ホスト インバウンド トラフィックに使用できるシステム サービスを表示するには、 システム サービス(セキュリティ ゾーン ホスト インバウンド トラフィック)の オプション セクションを参照してください。
すべてのSRX シリーズゲートウェイでは、フィールド xnm-clear-text は工場出荷時のデフォルト設定で有効になっています。この設定では、デバイスが工場出荷時のJunos設定で動作している場合、デバイスの trust ゾーンで受信する XML プロトコル トラフィックを有効にします。工場出荷時のデフォルト設定は、ボックスが設定された後にセキュリティを強化するユーザー定義の設定に置き換することをお勧めします。 xnm-clear-text CLI コマンドを使用して、フィールドを手動で削除する必要があります delete system services xnm-clear-text。
ホスト インバウンド トラフィック に使用 できる サポートされるプロトコルについては、プロトコルの オプション セクション(セキュリティ ゾーン インターフェイス)を参照してください。
すべてのサービス(DHCP および BOOTP を除く)は、ゾーン単位またはインターフェイス単位で設定できます。DHCP サーバーはインターフェイスごとにのみ設定されています。受信インターフェイスは、DHCP 応答を送信するには、サーバーが確認する必要があります。
NDP はデフォルトで有効になっているため、ホスト インバウンド トラフィックで近隣探索プロトコル(NDP)を設定する必要はしません。
IPv6 近隣探索プロトコル(NDP)の設定オプションを使用できます。設定オプションは コマンド set protocol neighbor-discovery onlink-subnet-only です。このオプションを使用すると、デバイスは、デバイス インターフェース プレフィックスの 1 つには含まれていないプレフィックスから近隣の勧誘(NS)に応答しません。
転送ルーティング エンジンに残る前の IPv6 エントリーの可能性を削除するには、このオプションを設定した後、サーバーを再起動する必要があります。
トラフィック タイプに基づいてインバウンド トラフィックを制御する方法について
このトピックでは、インターフェイスに直接接続されたシステムからデバイスに到達できるトラフィックの種類を指定するゾーンを設定する方法について説明します。
以下の点に注意してください。
これらのパラメータは、ゾーン レベルで設定できます(この場合はゾーンのすべてのインターフェイスに影響します)。この場合は、ゾーン レベルまたはインターフェイス レベルで影響します。(インターフェイス設定によって、ゾーンの設定が上書きされます)。
必要なすべてのホスト インバウンド トラフィックを有効にする必要があります。このデバイス宛のインバウンド トラフィックは、デフォルトでドロップされます。
また、ダイナミック ルーティング プロトコルで使用が可能なゾーンのインターフェイスを設定することもできます。
この機能により、どのインターフェイスにも直接または間接的に接続されたシステムから開始された攻撃からデバイスを保護できます。また、管理者が特定のインターフェイス上の特定のアプリケーションを使用してデバイスを管理できるよう、デバイスを選択的に設定することもできます。ゾーンの同一インターフェイスまたは異なるインターフェイスでの他のアプリケーションの使用を禁止できます。たとえば、外部のユーザーがシステムに接続したくないため、外部者がインターネットから Telnet アプリケーションを使用してデバイスにログインしないので、確実に行う必要があります。
例:トラフィック タイプに基づいたインバウンド トラフィックの制御
この例では、トラフィック タイプに基づいてインバウンド トラフィックを設定する方法を示しています。
要件
開始する前に、以下を実行します。
ネットワーク インターフェイスを設定します。セキュリティ デバイスのインターフェイス ユーザー ガイド を参照してください。
インバウンド トラフィック タイプを理解する。トラフィック タイプに基づいてインバウンド トラフィックを制御する方法について を参照してください。
概要
システム サービスの実行を許可することで、インターフェイスに直接接続したシステムからデバイスに到達できるさまざまなタイプのトラフィックを指定するゾーンを設定できます。異なるシステム サービスをゾーン レベルで設定できます(この場合はゾーンのすべてのインターフェイスに影響を及ぼします)。この場合は、ゾーン レベルまたはインターフェイス レベルで影響を与える必要があります。(インターフェイス設定によって、ゾーンの設定が上書きされます)。
必要なすべてのホスト インバウンド トラフィックを有効にする必要があります。デフォルトでは、デバイスのインターフェイスに直接接続されたデバイスからのインバウンド トラフィックはドロップされます。
構成
手順
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI [edit] commit にコピー アンド ペーストして、設定モードから を入力します。
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
トラフィック タイプに基づいてインバウンド トラフィックを設定するには、以下の手順に基づいて行います。
デバイスを設定セキュリティ ゾーン。
[edit] user@host# edit security zones security-zone ABC
すべてのシステム サービスセキュリティ ゾーン インバウンド トラフィックをサポートするデータ センターを設定します。
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
最初のインターフェイスに対して、Telnet、FTP、SNMP システム サービスを(ゾーン レベルではなく)インターフェイス レベルで設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
2 番目のインターフェイスセキュリティ ゾーンのシステム サービスでインバウンド トラフィックをサポートするインターフェイスを設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
2 番目のインターフェイスから FTP および HTTP システム サービスを除外します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
結果
設定モードから、 を入力して設定を確認します show security zones security-zone ABC。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
プロトコルに基づいてインバウンド トラフィックを制御する方法について
このトピックでは、指定されたゾーンまたはインターフェイスでのインバウンド システム プロトコルについて説明します。
ホスト インバウンド トラフィック オプションに一覧されているプロトコルに対応するホスト インバウンド トラフィックを使用できます。たとえば、設定内のどこかにプロトコルをデフォルト以外のポート番号にマップすると、ホスト インバウンド トラフィック オプションでプロトコルを指定し、新しいポート番号が使用されます。 表 1 は、 サポートされているプロトコルを示しています。の値は all 、指定されたインターフェイス(ゾーンまたは単一の指定インターフェイス)でのインバウンドが、以下のすべてのプロトコルからのトラフィックを許可します。
サポートされるシステム サービス |
|||
|---|---|---|---|
すべての |
Igmp |
Pim |
Sap |
Bfd |
自民党 |
リッピング |
Vrrp |
Bgp |
msdp |
Ripng |
nhrp |
ルーター検出 |
dvmrp |
Ospf |
Rsvp |
Pgm |
ospf3 |
||
インターフェイスで DVMRP または PIM が有効になっている場合、IGMP および MLD のホスト インバウンド トラフィックは自動的に有効になります。OSI アIS-ISを使用し、IP トラフィックを生成すべきではないので、ip プロトコルに対するホスト インバウンド トラフィック オプションIS-ISはありません。
NDP はデフォルトで有効になっているため、ホスト インバウンド トラフィックで近隣探索プロトコル(NDP)を設定する必要はしません。
IPv6 近隣探索プロトコル(NDP)の設定オプションを使用できます。設定オプションは コマンド set protocol neighbor-discovery onlink-subnet-only です。このオプションを使用すると、デバイスは、デバイス インターフェース プレフィックスの 1 つには含まれていないプレフィックスから近隣の勧誘(NS)に応答しません。
転送ルーティング エンジンテーブルに残っている以前の IPv6 エントリーが発生しなじむ場合は、このオプションを設定した後、サーバーを再起動する必要があります。
例:プロトコルに基づいたインバウンド トラフィックの制御
この例では、インターフェイスでインバウンド トラフィックを有効にする方法を示しています。
要件
開始する前に、以下を実行します。
セキュリティ ゾーンを設定します。例 : セキュリティ ゾーンの作成 を参照してください。
ネットワーク インターフェイスを設定します。セキュリティ デバイス のインターフェイス ユーザー ガイド を参照してください。
概要
ホスト インバウンド トラフィック オプションに一覧されているプロトコルに対応するホスト インバウンド トラフィックを使用できます。たとえば、設定内の任意の場所でプロトコルをデフォルト以外のポート番号にマップする場合、ホスト インバウンド トラフィック オプションでプロトコルを指定すると、新しいポート番号が使用されます。
値を指定 all すると、すべてのプロトコルからのトラフィックが(ゾーンまたは単一の指定されたインターフェイスの)指定されたインターフェイスでのインバウンドが許可されます。
構成
手順
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI [edit] commit にコピー アンド ペーストして、設定モードから を入力します。
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
プロトコルに基づいてインバウンド トラフィックを設定するには、以下の手順に基づいて行います。
デバイスを設定セキュリティ ゾーン。
[edit] user@host# edit security zones security-zone ABC
インターフェイスに対セキュリティ ゾーン ospf プロトコルに基づいてインバウンド トラフィックをサポートするインターフェイス を設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
インターフェイスに対セキュリティ ゾーン ospf3 プロトコルに基づいてインバウンド トラフィックをサポートするインターフェイス を設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
結果
設定モードから、 を入力して設定を確認します show security zones security-zone ABC。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例: TCP リセット パラメーターの設定
この例では、ゾーンの TCP-Reset パラメーターを設定する方法を示しています。
要件
開始する前に、セキュリティ ゾーンを設定します。例 : セキュリティ ゾーンの作成 を参照してください。
概要
TCP リセット パラメーター機能が有効になっている場合、トラフィックが到着しても既存のセッションに一致しませんし、SYN フラグ セットが設定されていない場合、システムは RESET フラグ セットを持つ TCP セグメントを送信します。
構成
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI CLI エディターの使用 」を参照してください。
ゾーンの TCP リセット パラメーターを設定するには、次の手順に示します。
デバイスを設定セキュリティ ゾーン。
[edit] user@host# edit security zones security-zone ABC
ゾーンの TCP リセット パラメーターを設定します。
[edit security zones security-zone ABC] user@host# set tcp-rst
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能されていることを確認するには、 コマンドを入力 show security zones します。