セキュリティ ゾーン
セキュリティゾーンとは、ポリシーによってインバウンドトラフィックと送信トラフィックを規制する必要がある1つ以上のネットワークセグメントの集合です。セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティ ゾーンは複数定義でき、その正確な数はネットワークのニーズに基づいて決定できます。
セキュリティゾーンの概要
インターフェイスは、トラフィックがジュニパーネットワークスのデバイスに出入りする出入り口として機能します。多くのインターフェイスは、まったく同じセキュリティ要件を共有できます。ただし、インターフェイスが異なれば、インバウンドとアウトバウンドのセキュリティ要件も異なる場合がありますデータパケット。同一のセキュリティ要件を持つインターフェイスを、1つのセキュリティゾーンにグループ化できます。
セキュリティゾーンとは、ポリシーによってインバウンドトラフィックと送信トラフィックを規制する必要がある1つ以上のネットワークセグメントの集合です。
セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。多くのタイプのデバイスのため、複数のセキュリティ ゾーンを定義できます。その正確な数はネットワークのニーズに基づいて決定できます。
1台のデバイスで、複数のセキュリティゾーンを設定し、ネットワークをセグメントに分割し、各セグメントのニーズに合わせてさまざまなセキュリティオプションを適用できます。少なくとも 2 つのセキュリティ ゾーンを定義して、基本的にネットワークの 1 つのエリアを他のエリアから保護する必要があります。一部のセキュリティプラットフォームでは、多数のセキュリティゾーンを定義することで、ネットワークセキュリティ設計の粒度を細かくすることができます。そのために複数のセキュリティアプライアンスを展開する必要はありません。
セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンに出て行きます。この from-zone と to-zone の組み合わせを コンテキストとして定義します。各コンテキストには、ポリシーの順序付きリストが含まれています。ポリシーの詳細については、「 セキュリティ ポリシーの概要」を参照してください。
このトピックは、以下のセクションで構成されています。
セキュリティゾーン インターフェイスについて
セキュリティ ゾーンのインターフェイスは、TCP/IP トラフィックがそのゾーンと他のゾーンの間を通過できる出入り口と考えることができます。
定義したポリシーを通じて、ゾーン間のトラフィックが一方向または両方の方向に流れることを許可できます。定義したルートで、あるゾーンから別のゾーンへのトラフィックが使用しなければならないインターフェイスを指定します。複数のインターフェイスをゾーンにバインドできるため、チャート化するルートは、選択したインターフェイスにトラフィックを誘導するために重要です。
インターフェイスは、IPv4アドレス、IPv6アドレス、またはその両方で設定できます。
機能ゾーンの理解
機能ゾーンは、管理インターフェイスなどの特別な目的で使用されます。現在、管理(MGT)ゾーンのみがサポートされています。管理ゾーンには、次のプロパティがあります。
管理ゾーンは、管理インターフェイスをホストします。
管理ゾーンに入るトラフィックはポリシーと一致しません。そのため、トラフィックが管理インターフェイスで受信された場合、他のインターフェイスからトラフィックを送信することはできません。
管理ゾーンは、専用の管理インターフェイスにのみ使用できます。
セキュリティ ゾーンについて
セキュリティ ゾーンはポリシーの構成要素です。これらは、1つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティー・ゾーンは、ホストのグループ(ユーザー・システムおよびサーバーなどの他のホスト)とそのリソースを相互に区別して、異なるセキュリティー対策を適用する手段を提供します。
セキュリティ ゾーンには、次のプロパティがあります。
ポリシー:ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックのルールを適用するアクティブなセキュリティポリシー。詳細については、「 セキュリティ ポリシーの概要」を参照してください。
スクリーニング—ジュニパーネットワークスのステートフルファイアウォールは、セキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することで、ネットワークを保護します。すべてのセキュリティ ゾーンに対して、デバイスが潜在的に有害であると判断したさまざまな種類のトラフィックを検出してブロックする、一連の定義済み画面オプションを有効にできます。詳細については、 偵察抑止の概要を参照してください。
アドレス帳 - アドレス帳を構成するIPアドレスおよびアドレスセットで、アドレス帳のメンバーを識別し、ポリシーを適用できるようにします。アドレス帳のエントリには、IPv4 アドレス、IPv6 アドレス、およびドメイン生成アルゴリズム (DNS) 名を任意に組み合わせて含めることができます。詳細については、「 例:アドレスブックとアドレス セットの設定」を参照してください。
TCP-RST—この機能を有効にすると、既存のセッションに一致せず、SYNchronize フラグが設定されていないトラフィックが到着したときに、システムは RESET フラグが設定された TCP セグメントを送信します。
インターフェイス—ゾーン内のインターフェイスのリスト。
セキュリティ ゾーンには、次のゾーンが事前設定されています。
トラストゾーン—工場出荷時の設定でのみ使用可能で、デバイスへの初期接続に使用されます。設定をコミットした後、trustゾーンを上書きできます。
例:セキュリティ ゾーンの作成
この例では、ゾーンを設定し、ゾーンにインターフェイスを割り当てる方法を示しています。セキュリティ ゾーンを設定する場合、多くのパラメータを同時に指定できます。
必要条件
開始する前に、ネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
概要
セキュリティ ゾーンのインターフェイスは、TCP/IP トラフィックがそのゾーンと他のゾーンの間を通過できる出入り口と考えることができます。
デフォルトでは、インターフェイスはヌルゾーンにあります。インターフェイスは、ゾーンに割り当てられるまでトラフィックを通過させません。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
ゾーンを作成し、ゾーンにインターフェイスを割り当てるには、次の手順に従います。
イーサネット インターフェイスを設定し、IPv4 アドレスを割り当てます。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
イーサネットインターフェイスを設定し、IPv6アドレスを割り当てます。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
セキュリティ ゾーンを設定し、イーサネット インターフェイスに割り当てます。
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
業績
設定モードから、 show security zones security-zone ABC コマンドと show interfaces ge-0/0/1 コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show 出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ホスト・インバウンド・トラフィックでサポートされるシステムサービス
このトピックでは、指定されたゾーンまたはインターフェイス上のホスト インバウンド トラフィックでサポートされるシステム サービスについて説明します。
例えば、システムがゾーン ABC のインターフェイス 203.0.113.4 に接続されていたユーザーが、ゾーン ABC のインターフェイス 198.51.100.4 に telnet で接続するとします。このアクションを許可するには、Telnet アプリケーションを両方のインターフェイスで許可されたインバウンド サービスとして設定し、ポリシーでトラフィック伝送を許可する必要があります。
ホストの着信トラフィックに使用できるシステム サービスを表示するには、system-services(セキュリティ ゾーンのホスト インバウンド トラフィック)の [オプション(Options)] セクションを参照してください。
xnm-clear-textフィールドは、工場出荷時のデフォルト設定で有効になっています。この設定により、デバイスが工場出荷時のデフォルト設定で動作している場合、デバイスのtrustゾーンで受信Junos XMLプロトコル トラフィックが有効になります。ボックスを設定した後は、工場出荷時のデフォルト設定をユーザー定義の設定に置き換えて、セキュリティを強化することをお勧めします。CLIコマンドdelete system services xnm-clear-textを使用して、xnm-clear-textフィールドを手動で削除する必要があります。
ホストのインバウンドトラフィックに使用できるサポートされるプロトコルを表示するには、プロトコル(セキュリティゾーンインターフェイス)の「オプション」セクションを参照してください。
すべてのサービス(DHCPとBOOTPを除く)は、ゾーンごとまたはインターフェイスごとに設定できます。DHCP応答を送信するには、受信インターフェイスをサーバーが認識する必要があるため、DHCPサーバーはインターフェイスごとにのみ設定されます。
近隣探索プロトコル(NDP)はデフォルトで有効になっているため、ホストインバウンドトラフィックでNDPを設定する必要はありません。
IPv6近隣探索プロトコル(NDP)の設定オプションを使用できます。設定オプションは コマンド set protocol neighbor-discovery onlink-subnet-only です。このオプションは、デバイスがデバイス インターフェイス プレフィックスの 1 つとして含まれていないプレフィックスからの近隣要請(NS)に応答しないようにします。
このオプションを設定した後、ルーティングエンジンを再起動して、以前のIPv6エントリーが転送テーブルに残る可能性を排除する必要があります。
インバウンドトラフィックをトラフィックタイプに基づいて制御する方法を理解する
このトピックでは、ゾーンを設定して、インターフェイスに直接接続されたシステムからデバイスに到達できるトラフィックの種類を指定する方法について説明します。
次の点に注意してください。
これらのパラメータは、ゾーンレベル(ゾーンのすべてのインターフェイスに影響する)またはインターフェイスレベルで設定できます。(インターフェイスの設定はゾーンの設定よりも優先されます)。
予期されるすべてのホストインバウンドトラフィックを有効にする必要があります。このデバイスを宛先とするインバウンドトラフィックは、デフォルトで破棄されます。
また、ゾーンのインターフェイスを設定して、動的ルーティングプロトコルで使用できるようにすることもできます。
この機能により、インターフェイスに直接的または間接的に接続されたシステムから仕掛けられる攻撃からデバイスを保護できます。また、デバイスを選択的に設定して、管理者が特定のインターフェイス上の特定のアプリケーションを使用してデバイスを管理できるようにすることもできます。ゾーンの同一または異なるインタフェース上での他のアプリケーションの使用を禁止できます。たとえば、部外者がシステムに接続したくないため、インターネットから Telnet アプリケーションを使用してデバイスにログインしないようにする必要があります。
例:トラフィック タイプに基づく着信トラフィックの制御
この例では、トラフィックタイプに基づいてインバウンドトラフィックを設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
ネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
受信トラフィックの種類を理解します。 インバウンドトラフィックをトラフィックタイプに基づいて制御する方法についてを参照してください。
概要
システム サービスを実行できるようにすることで、ゾーンを設定して、インターフェイスに直接接続されているシステムからデバイスに到達できるトラフィックのさまざまなタイプを指定できます。異なるシステムサービスは、ゾーンレベル(ゾーンのすべてのインターフェイスに影響する)またはインターフェイスレベルで設定できます。(インターフェイスの設定はゾーンの設定よりも優先されます)。
予期されるすべてのホストインバウンドトラフィックを有効にする必要があります。デバイスのインターフェイスに直接接続されたデバイスからのインバウンドトラフィックは、デフォルトで破棄されます。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
トラフィックタイプに基づいてインバウンドトラフィックを設定するには:
セキュリティ ゾーンを設定します。
[edit] user@host# edit security zones security-zone ABC
セキュリティ ゾーンを構成して、すべてのシステム サービスのインバウンド トラフィックをサポートします。
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
最初のインターフェイスでは、Telnet、FTP、SNMP システム サービスをインターフェイス レベル(ゾーン レベルではない)で設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
セキュリティ ゾーンを設定して、2 つ目のインターフェイスのすべてのシステム サービスのインバウンド トラフィックをサポートします。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
2 番目のインターフェイスから FTP および HTTP システム サービスを除外します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
業績
設定モードから、 show security zones security-zone ABCを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
プロトコルに基づいてインバウンドトラフィックを制御する方法を理解する
このトピックでは、指定されたゾーンまたはインターフェイス上のインバウンドシステムプロトコルについて説明します。
host-inbound trafficオプションの下にリストされているプロトコルに対応するhost-inboundトラフィックはすべて許可されます。例えば、設定のどこかで、プロトコルをデフォルト以外のポート番号にマッピングする場合、host-inbound trafficオプションでプロトコルを指定することができ、新しいポート番号が使用されます。 表 1 は、サポートされているプロトコルの一覧です。値 all は、次のすべてのプロトコルからのトラフィックが、指定されたインターフェイス(ゾーンの、または指定された 1 つのインターフェイス)で受信を許可されることを示します。
サポートされているシステムサービス |
|||
|---|---|---|---|
すべての |
IGMP |
PIM |
樹液 |
BFD |
自民党 |
裂け目 |
VRRP |
BGP |
MSDP |
RIPng |
NHRP |
ルーターディスカバリー |
DVMRPの |
OSPF |
RSVP |
PGM |
OSPF3 |
||
インターフェイスでDVMRPまたはPIMが有効になっている場合、IGMPおよびMLDホストインバウンドトラフィックは自動的に有効になります。IS-ISはOSIアドレッシングを使用し、IPトラフィックを生成してはならないため、IS-ISプロトコルにはホストインバウンドトラフィックオプションはありません。
近隣探索プロトコル(NDP)はデフォルトで有効になっているため、ホストインバウンドトラフィックでNDPを設定する必要はありません。
IPv6近隣探索プロトコル(NDP)の設定オプションを使用できます。設定オプションは set protocol neighbor-discovery onlink-subnet-only コマンドです。このオプションは、デバイスがデバイス インターフェイス プレフィックスの 1 つとして含まれていないプレフィックスからの近隣要請(NS)に応答しないようにします。
このオプションを設定した後は、ルーティングエンジンを再起動して、以前のIPv6エントリーが転送テーブルに残る可能性を排除する必要があります。
例:プロトコルに基づく着信トラフィックの制御
この例では、インターフェイスのインバウンドトラフィックを有効にする方法を示しています。
必要条件
開始する前に、以下を実行します。
セキュリティ ゾーンを設定します。 例: セキュリティ ゾーンの作成を参照してください。
ネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
概要
host-inbound trafficオプションの下にリストされているプロトコルに対応するhost-inboundトラフィックはすべて許可されます。例えば、設定内のどこかで、プロトコルをデフォルト以外のポート番号にマッピングする場合、host-inbound trafficオプションでプロトコルを指定すると、新しいポート番号が使用されます。
値 all は、すべてのプロトコルからのトラフィックが、指定されたインターフェイス(ゾーンの、または指定された単一のインターフェイス)で受信できることを示します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
プロトコルに基づいてインバウンドトラフィックを設定するには:
セキュリティ ゾーンを設定します。
[edit] user@host# edit security zones security-zone ABC
インターフェイスのOSPFプロトコルに基づいて、インバウンドトラフィックをサポートするようにセキュリティゾーンを設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
インターフェイスのospF3プロトコルに基づいて、インバウンドトラフィックをサポートするようにセキュリティゾーンを設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
業績
設定モードから、 show security zones security-zone ABCを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:TCP-Reset パラメータの設定
次に、ゾーンの TCP-Reset パラメータを設定する例を示します。
必要条件
開始する前に、セキュリティ ゾーンを設定します。 例: セキュリティ ゾーンの作成を参照してください。
概要
TCP-Reset パラメータ機能が有効になっている場合、システムは、既存のセッションに一致せず、SYN フラグが設定されていないトラフィックが到着したときに、RESET フラグが設定された TCP セグメントを送信します。
構成
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用 を参照してください。
ゾーンのTCP-Resetパラメータを設定するには、次の手順に従います。
セキュリティ ゾーンを設定します。
[edit] user@host# edit security zones security-zone ABC
ゾーンのTCP-Resetパラメータを設定します。
[edit security zones security-zone ABC] user@host# set tcp-rst
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security zones コマンドを入力します。
プラットフォーム固有のセキュリティ ゾーンの作成動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットホーム |
差 |
|---|---|
| SRX シリーズ |
|