セキュリティ ゾーン
セキュリティ ゾーンは、ポリシーによるインバウンドおよびアウトバウンド トラフィックの規制を必要とする 1 つ以上のネットワーク セグメントの集合です。セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。複数のセキュリティ ゾーンを定義することができ、その正確な数はネットワークのニーズに基づいて決定します。
セキュリティ ゾーンの概要
インターフェイスは、トラフィックがジュニパーネットワークスのデバイスに出入りする出入り口として機能します。多くのインターフェイスは、まったく同じセキュリティ要件を共有できます。ただし、インターフェイスが異なれば、インバウンドとアウトバウンドのデータパケットのセキュリティ要件も異なります。同一のセキュリティ要件を持つインターフェイスは、1つのセキュリティゾーンにグループ化できます。
セキュリティ ゾーンは、ポリシーによるインバウンドおよびアウトバウンド トラフィックの規制を必要とする 1 つ以上のネットワーク セグメントの集合です。
セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。多くの種類のジュニパーネットワークスデバイスでは、複数のセキュリティゾーンを定義し、ネットワークのニーズに基づいて正確な数を決定することができます。
1台のデバイスで、複数のセキュリティゾーンを設定して、ネットワークをセグメントに分割し、各セグメントのニーズを満たすためにさまざまなセキュリティオプションを適用できます。基本的にネットワークの1つのエリアを他のエリアから保護するために、少なくとも2つのセキュリティゾーンを定義する必要があります。一部のセキュリティプラットフォームでは、複数のセキュリティアプライアンスを展開することなく、多数のセキュリティゾーンを定義して、ネットワークセキュリティ設計をより細かく設定できます。
セキュリティ ポリシーの観点からは、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンに出ます。この a from-zone
と a to-zone
の組み合わせは、 コンテキストとして定義されます。各コンテキストには、ポリシーの順序付きリストが含まれています。ポリシーの詳細については、「 セキュリティ ポリシーの概要」を参照してください。
このトピックは、以下のセクションで構成されています。
セキュリティ ゾーン インターフェイスについて
セキュリティ ゾーンのインターフェイスは、TCP/IP トラフィックがそのゾーンと他のゾーンの間を通過できる出入り口と考えることができます。
定義したポリシーを使用して、ゾーン間のトラフィックの一方向または双方向へのトラフィックの流れを許可できます。定義するルートで、あるゾーンから別のゾーンへのトラフィックが使用する必要があるインターフェイスを指定します。複数のインターフェイスをゾーンにバインドできるため、チャート化するルートは、選択したインターフェイスにトラフィックを誘導するために重要です。
インターフェイスは、IPv4アドレス、IPv6アドレス、またはその両方で設定できます。
機能ゾーンについて
機能ゾーンは、管理インターフェイスなどの特別な目的で使用されます。現時点では、管理 (MGT) ゾーンのみがサポートされています。管理ゾーンには、次のプロパティがあります。
管理ゾーンは管理インターフェイスをホストします。
管理ゾーンに入るトラフィックがポリシーに一致しません。そのため、管理インターフェイスで受信されたトラフィックは、他のインターフェイスから出ることができません。
管理ゾーンは、専用の管理インターフェイスにのみ使用できます。
セキュリティ ゾーンについて
セキュリティ ゾーンはポリシーの構成要素です。これらは、1 つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティゾーンは、ホストのグループ(ユーザーシステムとサーバーなどの他のホスト)とそのリソースを相互に区別して、異なるセキュリティ対策を適用する手段を提供します。
セキュリティ ゾーンには、次のプロパティがあります。
ポリシー:ファイアウォールを通過できるトラフィックと、ファイアウォールを通過する際にトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックにルールを適用するアクティブなセキュリティポリシー。詳細については、「 セキュリティ ポリシーの概要」を参照してください。
スクリーン:ジュニパーネットワークスのステートフルファイアウォールは、あるセキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することでネットワークを保護します。各セキュリティ ゾーンに対して、デバイスが潜在的に有害であると判断したさまざまな種類のトラフィックを検知してブロックする、事前定義された画面オプションのセットを有効にすることができます。詳細については、 偵察抑止の概要を参照してください。
アドレスブック - ポリシーを適用できるように、そのメンバーを識別するためにアドレス帳を構成するIPアドレスとアドレスセット。アドレス帳エントリには、IPv4 アドレス、IPv6 アドレス、およびドメイン ネーム システム (DNS) 名の任意の組み合わせを含めることができます。詳細については、 例:アドレス帳とアドレスセットの設定を参照してください。
TCP-RST—この機能が有効になっている場合、システムは、既存のセッションに一致せず、SYNchronizeフラグが設定されていないトラフィックが到着したときに、RESETフラグが設定されたTCPセグメントを送信します。
インターフェイス—ゾーン内のインターフェイスのリスト。
セキュリティ ゾーンには、次の構成済みゾーンがあります。
トラストゾーン:工場出荷時の設定でのみ使用でき、デバイスへの初期接続に使用されます。設定をコミットした後、trustゾーンを上書きできます。
例: セキュリティ・ゾーンの作成
この例では、ゾーンを設定し、ゾーンにインターフェイスを割り当てる方法を示します。セキュリティ ゾーンを設定する際、そのパラメータの多くを同時に指定できます。
要件
開始する前に、ネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
概要
セキュリティ ゾーンのインターフェイスは、TCP/IP トラフィックがそのゾーンと他のゾーンの間を通過できる出入り口と考えることができます。
デフォルトでは、インターフェイスはヌル ゾーンにあります。インターフェイスは、ゾーンに割り当てられるまでトラフィックを通過させません。
インストールした Junos OS のリリースに応じて、SRX3400、SRX3600、SRX4600、SRX5400、SRX5600、または SRX5800 デバイスのセキュリティ ゾーン内に 2000 個のインターフェイスを設定できます。
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
ゾーンを作成してインターフェイスを割り当てるには:
イーサネット インターフェイスを設定し、IPv4 アドレスを割り当てます。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
イーサネット インターフェイスを設定し、IPv6 アドレスを割り当てます。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
セキュリティ ゾーンを設定し、イーサネット インターフェイスに割り当てます。
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
結果
設定モードから、 および show interfaces ge-0/0/1
コマンドを入力してshow security zones security-zone ABC
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show
出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
[edit] user@host# show security zones security-zone ABC ... interfaces { ge-0/0/1.0 { ... } } [edit] user@host# show interfaces ge-0/0/1 ... unit 0 { family inet { address 203.0.113.1/24; } family inet6 { address 2001:db8:1::1/64; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
ホストインバウンドトラフィックでサポートされているシステムサービス
このトピックでは、指定されたゾーンまたはインターフェイスでのホストインバウンドトラフィックでサポートされているシステムサービスについて説明します。
例えば、システムがゾーン内のインターフェイス 203.0.113.4
に接続されていたユーザーが、ゾーンABC
内のインターフェイス 198.51.100.4
に telnet 接続したいABC
とします。このアクションを許可するには、Telnet アプリケーションを両方のインターフェイスで許可されたインバウンド サービスとして設定し、ポリシーでトラフィックの送信を許可する必要があります。
ホスト インバウンド トラフィックに使用できるシステム サービスを表示するには、システム サービス (セキュリティ ゾーンのホスト インバウンド トラフィック) の [オプション] セクションを参照してください。
SRXシリーズファイアウォールでは、xnm-clear-text
このフィールドは工場出荷時のデフォルト設定で有効になっています。この設定は、デバイスが工場出荷時のデフォルト設定で動作している場合に、デバイスのトラストゾーンで受信するJunos XMLプロトコルトラフィックを有効にします。工場出荷時のデフォルト設定を、ボックスの設定後にセキュリティを強化するユーザー定義の設定に置き換えることをお勧めします。CLI コマンドを使用してdelete system services xnm-clear-text
、xnm-clear-text
フィールドを手動で削除する必要があります。
ホスト インバウンド トラフィックに使用できるサポートされているプロトコルを表示するには、プロトコル(セキュリティ ゾーン インターフェイス)の オプション セクションを参照してください。
すべてのサービス(DHCPとBOOTPを除く)は、ゾーンごとまたはインターフェイスごとに設定できます。DHCP サーバーは、着信インターフェイスが DHCP 応答を送信するためにサーバーによって認識されている必要があるため、インターフェイスごとにのみ構成されます。
NDPはデフォルトで有効になっているため、ホストインバウンドトラフィックに近隣検索プロトコル(NDP)を設定する必要はありません。
IPv6近隣探索プロトコル(NDP)の設定オプションが利用可能です。設定オプションは command です set protocol neighbor-discovery onlink-subnet-only
。このオプションは、デバイス インターフェイス プレフィックスの 1 つとして含まれていないプレフィックスからのネイバー要請(NS)にデバイスが応答するのを防ぎます。
このオプションを設定した後、ルーティング エンジンを再起動して、以前の IPv6 エントリが転送テーブルに残る可能性を排除する必要があります。
トラフィック タイプに基づいてインバウンド トラフィックを制御する方法について
このトピックでは、ゾーンを構成して、デバイスのインターフェイスに直接接続されているシステムからデバイスに到達できるトラフィックの種類を指定する方法について説明します。
次の点に注意してください。
これらのパラメータは、ゾーンレベルで設定することができ(この場合、ゾーンのすべてのインターフェイスに影響する)、またはインターフェイスレベルで設定できます。(インターフェイス設定はゾーンの設定よりも上書きされます)。
予期されるすべてのホストインバウンドトラフィックを有効にする必要があります。このデバイスを宛先とするインバウンドトラフィックは、デフォルトで破棄されます。
また、ゾーンのインターフェイスを設定して、ダイナミック ルーティング プロトコルで使用できるようにすることもできます。
この機能により、インターフェイスのいずれかに直接的または間接的に接続されているシステムからの攻撃からデバイスを保護できます。また、管理者が特定のインターフェイス上の特定のアプリケーションを使用してデバイスを管理できるように、デバイスを選択的に構成することもできます。ゾーンの同じインターフェイスまたは異なるインターフェイス上の他のアプリケーションの使用を禁止できます。たとえば、部外者がシステムに接続したくないため、インターネットからの Telnet アプリケーションを使用してデバイスにログインしないようにすることが最も望まれます。
例:トラフィック タイプに基づくインバウンドトラフィックの制御
この例では、トラフィックタイプに基づいてインバウンドトラフィックを設定する方法を示しています。
要件
始める前に:
ネットワークインターフェイスを設定します。 セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
受信トラフィックの種類について理解する。 インバウンドトラフィックをトラフィックタイプに基づいて制御する方法についてを参照してください。
概要
システム サービスの実行を許可することで、ゾーンを構成して、インターフェイスに直接接続されているシステムからデバイスに到達できるさまざまなタイプのトラフィックを指定できます。異なるシステム サービスは、ゾーン レベルで設定でき(この場合はゾーンのすべてのインターフェイスに影響します)、インターフェイス レベルで設定できます。(インターフェイス設定はゾーンの設定よりも上書きされます)。
予期されるすべてのホストインバウンドトラフィックを有効にする必要があります。デバイスのインターフェイスに直接接続されているデバイスからのインバウンドトラフィックは、デフォルトで破棄されます。
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
トラフィックタイプに基づいてインバウンドトラフィックを設定するには:
セキュリティ ゾーンを構成します。
[edit] user@host# edit security zones security-zone ABC
すべてのシステム・サービスのインバウンド・トラフィックをサポートするようにセキュリティ・ゾーンを設定します。
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
最初のインターフェイスのTelnet、FTP、およびSNMPシステムサービスをインターフェイスレベル(ゾーンレベルではない)で設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
2番目のインターフェイスのすべてのシステムサービスのインバウンドトラフィックをサポートするようにセキュリティゾーンを設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
2 番目のインターフェイスから FTP および HTTP システム サービスを除外します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
結果
コンフィギュレーション モードから、を入力して show security zones security-zone ABC
コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security zones security-zone ABC host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.3 { host-inbound-traffic { system-services { ftp; telnet; snmp; } } } ge-0/0/1.0 { host-inbound-traffic { system-services { all; ftp { except; } http { except; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
プロトコルに基づいてインバウンドトラフィックを制御する方法の理解
このトピックでは、指定したゾーンまたはインターフェイスのインバウンドシステムプロトコルについて説明します。
[ホスト インバウンド トラフィック] オプションの下にリストされているプロトコルに対応するホスト インバウンド トラフィックは、すべて許可されます。例えば、構成内の任意の場所で、デフォルト以外のポート番号にプロトコルをマップする場合、host-inbound traffic オプションでプロトコルを指定すると、新しいポート番号が使用されます。 表 1 に、サポートされているプロトコルを示します。値 は all
、以下のすべてのプロトコルからのトラフィックが、指定されたインターフェイス(ゾーン内、または指定された単一のインターフェイス)でのインバウンドを許可することを示します。
サポートされているシステム サービス |
|||
---|---|---|---|
すべての |
Igmp |
Pim |
Sap |
Bfd |
自民党 |
リッピング |
Vrrp |
Bgp |
ティッカー |
Ripng |
ティッカー |
ルーターディスカバリー |
DVMRP |
Ospf |
Rsvp |
Pgm |
OSPF3 |
インターフェイスで DVMRP または PIM が有効になっている場合、IGMP および MLD のホスト インバウンド トラフィックは自動的に有効になります。IS-IS は OSI アドレス指定を使用し、IP トラフィックを生成しないため、IS-IS プロトコルのホスト インバウンド トラフィック オプションはありません。
NDPはデフォルトで有効になっているため、ホストインバウンドトラフィックに近隣検索プロトコル(NDP)を設定する必要はありません。
IPv6近隣探索プロトコル(NDP)の設定オプションが利用可能です。設定オプションは command です set protocol neighbor-discovery onlink-subnet-only
。このオプションは、デバイス インターフェイス プレフィックスの 1 つとして含まれていないプレフィックスからのネイバー要請(NS)にデバイスが応答するのを防ぎます。
このオプションを設定した後、ルーティング エンジンを再起動して、以前の IPv6 エントリが転送テーブルに残る可能性を排除する必要があります。
例:プロトコルに基づく着信トラフィックの制御
この例では、インターフェイスのインバウンド トラフィックをイネーブルにする方法を示します。
要件
始める前に:
セキュリティ ゾーンを構成します。 例:セキュリティ・ゾーンの作成を参照してください。
ネットワークインターフェイスを設定します。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。
概要
[ホスト インバウンド トラフィック] オプションの下にリストされているプロトコルに対応するホスト インバウンド トラフィックは、すべて許可されます。たとえば、設定内の任意の場所でデフォルト以外のポート番号にプロトコルをマップする場合、ホストインバウンドトラフィックオプションでプロトコルを指定すると、新しいポート番号が使用されます。
値 は all
、すべてのプロトコルからのトラフィックが、指定されたインターフェイス(ゾーン内、または指定された単一のインターフェイス)でのインバウンドを許可することを示します。
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
プロトコルに基づいてインバウンドトラフィックを設定するには:
セキュリティ ゾーンを構成します。
[edit] user@host# edit security zones security-zone ABC
インターフェイスのOSPFプロトコルに基づくインバウンドトラフィックをサポートするようにセキュリティゾーンを設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
インターフェイスのospf3プロトコルに基づくインバウンドトラフィックをサポートするようにセキュリティゾーンを設定します。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
結果
コンフィギュレーション モードから、を入力して show security zones security-zone ABC
コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security zones security-zone ABC interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { ospf; ospf3; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
例:TCPリセットパラメータの設定
この例では、ゾーンの TCP-Reset パラメータを設定する方法を示します。
要件
開始する前に、セキュリティ ゾーンを設定します。 例:セキュリティ・ゾーンの作成を参照してください。
概要
TCP-Reset パラメータ機能が有効になっている場合、システムは、既存のセッションに一致せず、SYN フラグが設定されていないトラフィックが到着したときに、RESET フラグが設定された TCP セグメントを送信します。
構成
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
ゾーンの TCP-Reset パラメータを設定するには、次の手順に従います。
セキュリティ ゾーンを構成します。
[edit] user@host# edit security zones security-zone ABC
ゾーンの TCP-Reset パラメータを設定します。
[edit security zones security-zone ABC] user@host# set tcp-rst
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 コマンドを入力します show security zones
。