Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ ゾーン

セキュリティ ゾーンは、ポリシーを介したインバウンドおよびアウトバウンド トラフィックの規制を必要とする 1 つ以上のネットワーク セグメントの集合体です。セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。ネットワークニーズに基づいて決定する正確な数の複数のセキュリティゾーンを定義できます。

セキュリティ ゾーンの概要

インターフェイスは、トラフィックがジュニパーネットワークス デバイスに出入りする出入り口として機能します。多くのインターフェイスで同じセキュリティ要件を共有できます。ただし、インターフェイスが異なっても、インバウンドおよびアウトバウンドのデータ パケットに対するセキュリティ要件が異なる場合があります。同一のセキュリティ要件を持つインターフェイスを、1 つのセキュリティ ゾーンにグループ化できます。

セキュリティ ゾーンは、ポリシーを介したインバウンドおよびアウトバウンド トラフィックの規制を必要とする 1 つ以上のネットワーク セグメントの集合体です。

セキュリティ ゾーンは、1 つ以上のインターフェイスがバインドされている論理エンティティです。多数のタイプのジュニパーネットワークスデバイスを使用すると、ネットワークニーズに基づいて決定する正確な数のセキュリティゾーンを定義できます。

1 台のデバイスで複数のセキュリティ ゾーンを設定し、ネットワークをセグメントに分割し、さまざまなセキュリティ オプションを適用して各セグメントのニーズを満たすことができます。少なくとも、2 つのセキュリティ ゾーンを定義する必要があります。基本的には、ネットワークの 1 つの領域を他のエリアから保護します。一部のセキュリティ プラットフォームでは、多数のセキュリティ ゾーンを定義できるため、ネットワーク セキュリティ設計をきめ細かく行うことができます。そのため、複数のセキュリティ アプライアンスを導入する必要はありません。

セキュリティ ポリシーの観点から、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンに出ます。a と a from-zone to-zone のこの組み合わせは、コンテキストとして定義されます。各コンテキストには、ポリシーの順序付けされたリストが含まれています。ポリシーの詳細については、「セキュリティ ポリシーの概要」を参照してください。

このトピックには、以下のセクションが含まれています。

セキュリティ ゾーン インターフェイスについて

セキュリティ ゾーンのインターフェイスは、そのゾーンと他のゾーン間を TCP/IP トラフィックが通過する出入り口と考えることができます。

定義したポリシーを使用して、ゾーン間のトラフィックが一方向または両方に流れるのを許可できます。定義したルートを使用して、1 つのゾーンから別のゾーンへのトラフィックが使用する必要があるインターフェイスを指定します。複数のインターフェイスを 1 つのゾーンにバインドできるため、チャートに示すルートは、トラフィックを選択したインターフェイスに誘導するために重要です。

インターフェイスは、IPv4 アドレス、IPv6 アドレス、またはその両方で設定できます。

機能ゾーンについて

機能ゾーンは、管理インターフェイスなどの特別な目的で使用されます。現在、管理(MGT)ゾーンのみがサポートされています。管理ゾーンのプロパティは次のとおりです。

  • 管理ゾーンは、管理インターフェイスをホストします。

  • 管理ゾーンに入るトラフィックはポリシーと一致しません。そのため、管理インターフェイスで受信したトラフィックは、他のインターフェイスから送信できません。

  • 管理ゾーンは、専用の管理インターフェイスでのみ使用できます。

セキュリティ ゾーンについて

セキュリティ ゾーンはポリシーの構成要素です。1 つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティ ゾーンは、異なるセキュリティ対策を適用するために、ホストのグループ(ユーザー システムとその他のホスト(サーバーなど)とそのリソースを相互に区別する手段を提供します。

セキュリティ ゾーンのプロパティは次のとおりです。

  • ポリシー—トランジット トラフィックに対してルールを適用するアクティブなセキュリティ ポリシー。ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要のあるアクション。詳細については、「 セキュリティ ポリシーの概要」を参照してください。

  • スクリーン — ジュニパーネットワークスのステートフル ファイアウォールは、セキュリティ ゾーン間を通過する必要があるすべての接続を検査し、許可または拒否することで、ネットワークを保護します。すべてのセキュリティ ゾーンで、デバイスが有害と判断するさまざまな種類のトラフィックを検知してブロックする、事前定義された一連の画面オプションを有効にできます。詳細については、「 偵察阻止の概要」を参照してください。

  • アドレス ブック — メンバーを識別するアドレス ブックを構成する IP アドレスとアドレス セットにより、メンバーにポリシーを適用できます。アドレス 帳のエントリーには、IPv4 アドレス、IPv6 アドレス、ドメイン ネーム システム(DNS)名を任意に組み合わせて使用できます。詳細については、「 例: アドレス ブックとアドレス セットの構成」を参照してください。

  • TCP-RST — この機能が有効になっている場合、システムは、既存のセッションと一致せず、SYNchronize フラグが設定されていないトラフィックが到着したときに RESET フラグが設定された TCP セグメントを送信します。

  • インターフェイス—ゾーン内のインターフェイスのリスト。

セキュリティ ゾーンには、次の事前設定ゾーンがあります。

  • Trust ゾーン — 工場出荷時の設定でのみ使用可能で、デバイスへの初期接続に使用されます。設定をコミットした後、trust ゾーンを上書きできます。

例:セキュリティ ゾーンの作成

この例では、ゾーンを設定し、それらにインターフェイスを割り当てる方法を示しています。セキュリティ ゾーンを設定すると、そのパラメータの多くを同時に指定できます。

要件

開始する前に、ネットワーク インターフェイスを設定します。 『Interfaces User Guide for Security Devices』を参照してください。

概要

セキュリティ ゾーンのインターフェイスは、そのゾーンと他のゾーン間を TCP/IP トラフィックが通過する出入り口と考えることができます。

メモ:

デフォルトでは、インターフェイスは null ゾーンにあります。インターフェイスは、ゾーンに割り当てられるまでトラフィックを通過しません。

メモ:

インストール済み環境のJunos OSリリースに応じて、SRX3400、SRX3600、SRX4600、SRX5400、SRX5600、SRX5800デバイスのセキュリティゾーン内で2000インターフェイスを設定できます。

構成

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、CLI ユーザー ガイド の「設定モードでの CLI エディターの使用 」を参照してください。

ゾーンを作成し、それらにインターフェイスを割り当てるには、次の手順にいます。

  1. イーサネット インターフェイスを設定し、IPv4 アドレスを割り当てます。

  2. イーサネット インターフェイスを設定し、IPv6 アドレスを割り当てます。

  3. セキュリティ ゾーンを設定し、イーサネット インターフェイスに割り当てます。

結果

設定モードから、and show interfaces ge-0/0/1 コマンドを入力して設定をshow security zones security-zone ABC確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

簡潔にするために、この出力には、この show 例に関連する設定のみが含まれています。システム上のその他の設定はすべて省略記号(...)に置き換えられました。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

ログによるトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、コマンドとコマンドをshow log dcd入力show log messagesします。

ホスト インバウンド トラフィックでサポートされるシステム サービス

このトピックでは、指定されたゾーンまたはインターフェイス上のホスト インバウンド トラフィックでサポートされるシステム サービスについて説明します。

たとえば、ゾーン内のインターフェイスにシステムが接続されているユーザーが、ゾーンABC内のインターフェイス203.0.113.4 198.51.100.4 ABCに Telnet 接続したいとします。このアクションを許可するには、Telnet アプリケーションをインターフェイスとポリシーの両方で許可されるインバウンド サービスとして設定し、トラフィック転送を許可する必要があります。

ホスト インバウンド トラフィックに使用できるシステム サービスについては、システム サービス(セキュリティ ゾーンホスト インバウンド トラフィック)[オプション]セクションを参照してください。

メモ:

SRX シリーズ サービス ゲートウェイでは、xnm-clear-text工場出荷時のデフォルト設定でフィールドが有効になっています。この設定では、デバイスが工場出荷時のデフォルト設定で動作している場合、デバイスの信頼ゾーンで受信したJunos XMLプロトコルトラフィックが有効になります。工場出荷時のデフォルト設定を、ボックスの設定後にセキュリティを強化するユーザー定義の設定に置き換えることを推奨します。CLI コマンドdelete system services xnm-clear-textxnm-clear-text使用して、フィールドを手動で削除する必要があります。

ホスト インバウンド トラフィックに使用できるサポートされているプロトコルについては、「プロトコル(セキュリティ ゾーン インターフェイス)」「オプション」セクションを参照してください。

メモ:

すべてのサービス(DHCP および BOOTP を除く)は、ゾーンごとまたはインターフェイスごとに設定できます。DHCP サーバーは、受信インターフェイスが DHCP 応答を送信できるようにサーバーによってわかっている必要があるため、インターフェイスごとにのみ設定されます。

メモ:

NDP はデフォルトで有効になっているため、ホストインバウンド トラフィックにネイバー検出プロトコル(NDP)を設定する必要はありません。

IPv6 ネイバー検出プロトコル(NDP)の設定オプションを使用できます。設定オプションはコマンドです set protocol neighbor-discovery onlink-subnet-only 。このオプションは、デバイス インターフェイス プレフィックスの 1 つとして含まれていないプレフィックスから、デバイスがネイバー要求(NS)に応答するのを防ぎます。

メモ:

このオプションを設定した後にルーティング エンジンを再起動して、転送テーブルに残っている前の IPv6 エントリの可能性を取り除く必要があります。

トラフィック タイプに基づいてインバウンド トラフィックを制御する方法について

このトピックでは、インターフェイスに直接接続するシステムからデバイスに到達できるトラフィックの種類を指定するようにゾーンを設定する方法について説明します。

次の点に注意してください。

  • これらのパラメータはゾーン レベルで設定でき、その場合はゾーンのすべてのインターフェイス、またはインターフェイス レベルで影響を与えます。(インターフェイス設定はゾーンの設定を上書きします。

  • 予想されるホストインバウンドトラフィックをすべて有効にする必要があります。このデバイス宛のインバウンド トラフィックは、デフォルトで破棄されます。

  • また、動的ルーティング プロトコルによる使用を許可するようにゾーンのインターフェイスを設定することもできます。

この機能により、インターフェイスのいずれかに直接接続または間接的に接続されているシステムから開始された攻撃からデバイスを保護できます。また、管理者が特定のインターフェイス上の特定のアプリケーションを使用してデバイスを管理できるように、デバイスを選択的に設定することもできます。ゾーンの同じインターフェイスまたは異なるインターフェイス上での他のアプリケーションの使用を禁止できます。たとえば、ほとんどの場合、外部の人がインターネットから Telnet アプリケーションを使用してデバイスにログインしないようにする必要があります。これは、外部ユーザーがシステムに接続しないようにするためです。

例:トラフィック タイプに基づいたインバウンド トラフィックの制御

この例では、トラフィック タイプに基づいてインバウンド トラフィックを設定する方法を示しています。

要件

開始する前に、以下を行います。

概要

システム サービスの実行を許可することで、インターフェイスに直接接続するシステムからデバイスに到達できるさまざまなタイプのトラフィックを指定するようにゾーンを設定できます。異なるシステム サービスはゾーン レベルで設定でき、その場合はゾーンのすべてのインターフェイスまたはインターフェイス レベルに影響を与えます。(インターフェイス設定はゾーンの設定を上書きします。

予想されるホストインバウンドトラフィックをすべて有効にする必要があります。デバイスのインターフェイスに直接接続されたデバイスからのインバウンド トラフィックは、デフォルトで破棄されます。

構成

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、CLI ユーザー ガイド の「設定モードでの CLI エディターの使用 」を参照してください。

トラフィック タイプに基づいてインバウンド トラフィックを設定するには、次の手順に基づいています。

  1. セキュリティ ゾーンを設定します。

  2. すべてのシステム サービスのインバウンド トラフィックをサポートするようにセキュリティ ゾーンを設定します。

  3. Telnet、FTP、SNMP システム サービスを、最初のインターフェイスの(ゾーン レベルではなく)インターフェイス レベルで設定します。

  4. 2 番目のインターフェイスのすべてのシステム サービスのインバウンド トラフィックをサポートするようにセキュリティ ゾーンを設定します。

  5. 2 番目のインターフェイスから FTP および HTTP システム サービスを除外します。

結果

設定モードから、を入力して設定を確認します show security zones security-zone ABC。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

ログによるトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、コマンドとコマンドをshow log dcd入力show log messagesします。

プロトコルに基づいてインバウンド トラフィックを制御する方法について

このトピックでは、指定されたゾーンまたはインターフェイス上のインバウンド システム プロトコルについて説明します。

ホストインバウンドトラフィックオプションにリストされているプロトコルに対応するすべてのホストインバウンドトラフィックが許可されます。たとえば、設定内の任意の場所でプロトコルをデフォルト以外のポート番号にマッピングすると、ホスト インバウンド トラフィック オプションでプロトコルを指定でき、新しいポート番号が使用されます。 表 1 は、サポートされているプロトコルを示しています。の all 値は、以下のすべてのプロトコルからのトラフィックが、指定されたインターフェイス(ゾーンの、または 1 つの指定されたインターフェイス)でインバウンドで許可されていることを示します。

表 1:サポートされるインバウンド システム プロトコル

サポートされるシステム サービス

すべての

Igmp

Pim

Sap

Bfd

自民党

リッピング

Vrrp

Bgp

msdp

Ripng

nhrp

ルーター検出

dvmrp

Ospf

Rsvp

Pgm

ospf3

   
メモ:

インターフェイスで DVMRP または PIM が有効になっている場合、IGMP および MLD ホスト インバウンド トラフィックは自動的に有効になります。IS-IS は OSI アドレッシングを使用し、IP トラフィックを生成しないようにするため、IS-IS プロトコルにはホスト インバウンド トラフィック オプションはありません。

メモ:

NDP はデフォルトで有効になっているため、ホストインバウンド トラフィックにネイバー検出プロトコル(NDP)を設定する必要はありません。

IPv6 ネイバー検出プロトコル(NDP)の設定オプションを使用できます。設定オプションはコマンドです set protocol neighbor-discovery onlink-subnet-only 。このオプションは、デバイス インターフェイス プレフィックスの 1 つとして含まれていないプレフィックスから、デバイスがネイバー要求(NS)に応答するのを防ぎます。

メモ:

転送テーブルに以前の IPv6 エントリーが残っている可能性を取り除くには、このオプションを設定した後にルーティング エンジンを再起動する必要があります。

例:プロトコルに基づいたインバウンド トラフィックの制御

この例では、インターフェイスのインバウンド トラフィックを有効にする方法を示しています。

要件

開始する前に、以下を行います。

概要

ホストインバウンドトラフィックオプションにリストされているプロトコルに対応するすべてのホストインバウンドトラフィックが許可されます。たとえば、設定内のどこかでプロトコルをデフォルト以外のポート番号にマッピングする場合は、ホスト インバウンド トラフィック オプションでプロトコルを指定でき、新しいポート番号が使用されます。

all 値は、すべてのプロトコルからのトラフィックが、指定されたインターフェイス(ゾーンまたは単一の指定インターフェイス)でインバウンドで許可されていることを示します。

構成

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、CLI ユーザー ガイド の「設定モードでの CLI エディターの使用 」を参照してください。

プロトコルに基づいてインバウンド トラフィックを設定するには、次の手順に基づいています。

  1. セキュリティ ゾーンを設定します。

  2. インターフェイスの ospf プロトコルに基づいてインバウンド トラフィックをサポートするようにセキュリティ ゾーンを設定します。

  3. インターフェイスの ospf3 プロトコルに基づいてインバウンド トラフィックをサポートするようにセキュリティ ゾーンを設定します。

結果

設定モードから、を入力して設定を確認します show security zones security-zone ABC。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

ログによるトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、コマンドとコマンドをshow log dcd入力show log messagesします。

例:TCP リセット パラメータの設定

この例では、ゾーンに対して TCP-Reset パラメーターを構成する方法を示しています。

要件

開始する前に、セキュリティ ゾーンを設定します。「 例:セキュリティ ゾーンの作成」を参照してください

概要

TCP-Reset パラメーター機能が有効になっている場合、システムは、既存のセッションと一致せず、SYN フラグが設定されていないトラフィックが到着したときに、RESET フラグが設定された TCP セグメントを送信します。

構成

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、CLI ユーザー ガイド の「設定モードでの CLI エディターの使用 」を参照してください。

ゾーンの TCP-Reset パラメーターを設定するには、以下の手順にしたがっています。

  1. セキュリティ ゾーンを設定します。

  2. ゾーンの TCP リセット パラメーターを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、コマンドを show security zones 入力します。