アップグレード後の統合ポリシーの使用開始
概要 Junos OS リリース(19.4R3 または 20.2R3)へのアップグレード後に、統合ポリシーの使用を開始する方法については、このトピックをお読みください。
Junos OS リリース 18.2R1 以降、統合ポリシーを設定できるようになりました。動的アプリケーションを整合条件の 1 つとして統合ポリシーを設定すると、その結果、アプリケーション ファイアウォール(AppFW)、IDP、UTM 設定を構成するために必要な追加の手順が不要になります。統合ポリシーについては、 SRX シリーズの統合ポリシーの概要 に関するビデオをご覧ください。
Junos OSリリース18.2に統一ポリシーが導入されると、後方互換性を実現するために、一部のコマンドはすぐに削除されるのではなく、非推奨になります。これにより、古い設定を新しい設定に準拠することができます。
Junos OS リリース 19.4R3 または 20.2R3 にアップグレードする場合、非推奨のコマンドを含む設定をコミットしようとすると、セキュリティ デバイスに次の警告が表示されます。
統合ポリシーに移行して、サポートされている機能を使って設定を最新にすることをお勧めします。
Security Directorで管理されるSRXシリーズデバイスの統合ポリシー
Security Director は、従来のファイアウォール ポリシーを統合ポリシーに変換する簡単な移行ツールを提供します。Security Director リリース 20.3 以降を使用して、従来のセキュリティ ポリシーを統合ポリシーに変換することを推奨します。
図 1 は、セキュリティ ポリシーを統合ポリシーに変換するために使用できる Security Director のオプションを示しています。
への変換
例:
Security Director を使用してポリシーの移行を支援する方法の詳細については、「 Security Director」を参照してください。SRX 18.2 以降の IDP、AppFW、UTM を Security Director と In Focus Security Director で管理する[Security Director] を参照してください。
Security Director を使用すると、次の例に示すように、ポリシーを迅速かつ正確に作成できます。
統一ポリシーを設定するには、 設定>ファイアウォール ポリシー>統合ポリシー ページに移動します。
IPS ポリシーを設定するには、 設定>IPS ポリシー>ポリシー ページに移動します。
UTM ポリシーを設定するには、 設定>UTM ポリシー ページに移動します。
SRXシリーズ デバイスの統合ポリシー
以下のセクションでは、古いリリースのサポートされていない設定と、新しいリリースで有効にする方法について詳しく説明します。
アプリケーションセキュリティ
| Junos OS リリース 15.1X49 | 統合ポリシー(Junos OS リリース 18.2 後) |
|---|---|
| 個々のアプリケーションファイアウォールルールを設定して、アプリケーションに基づいてトラフィックを許可または拒否します。
|
動的アプリケーションを一致条件として使用してセキュリティ ポリシーを作成し、アプリケーション ファイアウォールと同じ機能を取得します。
|
例: 次のサンプルは、統合ポリシーにおける 15.1X49 でのアプリケーション ファイアウォールの設定と 19.4R3-S1 での設定の違いを示しています。アプリケーションファイアウォールルールを設定してFacebookアプリケーションをブロックする例を使用しています。
アップグレード前
set security policies from-zone untrust to-zone trust policy policy1 match source-address any set security policies from-zone untrust to-zone trust policy policy1 match destination-address any set security policies from-zone untrust to-zone trust policy policy1 match application junos-http set security policies from-zone untrust to-zone trust policy policy1 then permit application-services application-firewall rule-set rs1 set security application-firewall rule-sets rs1 rule r1 match dynamic-application [junos:FACEBOOK-ACCESS] set security application-firewall rule-sets rs1 rule r1 then deny set security application-firewall rule-sets rs1 default-rule permit
アップグレード後
set security policies from-zone trust to-zone untrust policy policy-1 match source-address any set security policies from-zone trust to-zone untrust policy policy-1 match destination-address any set security policies from-zone trust to-zone untrust policy policy-1 match application any set security policies from-zone trust to-zone untrust policy policy-1 match dynamic-application junos:FACEBOOK-ACCESS set security policies from-zone trust to-zone untrust policy policy-1 then reject profile profile1
IDP ポリシー
| Junos OS リリース 15.1X49 | 統合ポリシー(Junos OS リリース 18.2 後) |
|---|---|
| アクティブな IDP ポリシーとして IDP ポリシーを割り当て、それをセキュリティー ポリシーの一致条件として使用して侵入検知および防止を実行します。 |
複数の IDP ポリシーを設定し、セキュリティ ポリシーに適用します。IDP ポリシーの 1 つをデフォルト ポリシーとして定義することもできます。 |
|
ファイアウォールルールごとに複数のIDPポリシーを指定します。
|
例: 次のサンプルは、統一ポリシーにおける15.1X49でのIDP設定と19.4R3での設定の違いを示しています。統合ポリシーでは、複数の IDP ポリシーを柔軟に設定できます。
アップグレード前
set security idp active-policy recommended set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match source-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match destination-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos:GMAIL set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 then permit application-services idp
アップグレード後
set security idp idp-policy recommended set security idp idp-policy idpengine set security idp default-policy recommended set from-zone trust to-zone untrust policy P2 match source-address any set from-zone trust to-zone untrust policy P2 match destination-address any set from-zone trust to-zone untrust policy P2 match application junos-defaults set from-zone trust to-zone untrust policy P2 match dynamic-application junos:GMAIL set from-zone trust to-zone untrust policy P1 then permit application-services idp-policy recommended set from-zone trust to-zone untrust policy P2 then permit application-services idp-policy idpengine
Utm
| Junos OS リリース 15.1X49 | 統合ポリシー(Junos OS リリース 18.2 後) |
|---|---|
| 各機能プロファイルの下に統合脅威管理(UTM)機能パラメーターを設定します。
|
デフォルト設定で UTM 機能を設定します。UTMのデフォルト設定は、特定のUTM機能の設定で見逃した可能性のあるパラメータを適用します。
|
例: 次のサンプルは、統合ポリシーにおける15.1X49でのUTM設定と19.4R3-S1での設定の違いを示しています。セキュリティデバイスでの Sophos アンチウイルスの設定例を使用しています。
アップグレード前
edit security utm feature-profile anti-virus mime-whitelist edit security utm feature-profile anti-virus url-whitelist edit security utm feature-profile anti-virus sophos-engine
アップグレード後
edit security utm default-configuration anti-virus mime-whitelist edit security utm default-configuration anti-virus url-whitelist edit security utm default-configuration anti-virus sophos-engine
デバイスでセキュリティ機能を設定する方法の詳細については、 製品ドキュメント と Day One+を参照してください。
今後の予定
Junos OSの最新リリースで利用できる新機能と機能強化についてご説明します。 Junos OS リリース 19.4R3 へのアップグレード後の新機能の確認を参照してください。