ルールを追加する

ルール名

新しいルールまたはポリシーの名前を入力します。

ルールの説明

セキュリティ ポリシーの説明を入力します。

グローバルポリシー

このオプションを有効にすると、定義されたポリシーがグローバルポリシーであり、ゾーンが不要であることが指定されます。

送信元ゾーン

ソースを追加するには:

1. [+] をクリックします。

   [ソースの選択(Select Sources)] ページが表示されます。

2. 次の詳細を入力します。

   • [ゾーン(Zone)]:ルールを関連付ける送信元ゾーンをリストから選択します。

   • [アドレス(Addresses)]: [任意(Any )] または [特定(Specific)] を選択します。

     特定のアドレスを選択するには、[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。[ 選択項目を除外(Exclude Selected )] を選択すると、選択したアドレスをリストから除外できます。

     新しいアドレスを作成するには、[ +] をクリックします。[アドレスの作成] ページが表示されます。フィールドの詳細については、 表 2 を参照してください。

   • [送信元 ID(Source ID)]:[使用可能(Available)] 列からユーザー ID を選択し、右矢印をクリックして [選択済み(Selected)] 列に移動します。

     新しいソース ID を作成するには、[ +] をクリックします。「ソース・アイデンティティの作成」ページに新しいユーザー名またはIDを入力し、「 OK」をクリックします。

ゾーンと宛先

宛先を追加するには:

1. [+] をクリックします。

   [Select Destination] ページが表示されます。

2. 次の詳細を入力します。

   • [ゾーン(Zone)]:ルールを関連付ける宛先ゾーンをリストから選択します。

   • [アドレス(Addresses)]: [任意(Any )] または [特定(Specific)] を選択します。

     特定のアドレスを選択するには、[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。[ 選択項目を除外(Exclude Selected )] を選択すると、選択したアドレスをリストから除外できます。

     新しいアドレスを作成するには、[ +] をクリックします。フィールドの詳細については、 表 2 を参照してください。

     手記：

   • 動的アプリケーション - [ 任意(Any)]、[ 特定(Specific)]、または [なし(None)] を選択します。

     手記：

     [動的アプリケーション] オプションは、テナントではサポートされていません。

     特定のアプリケーションを選択するには、「使用可能」列からアプリケーションを選択し、右矢印をクリックして「選択済み」列に移動します。

     手記：

     「すべて選択」チェック・ボックスは、特定の動的アプリケーションを検索する場合にのみ使用できます。

     新しいアプリケーションを作成するには、[ +] をクリックします。[アプリケーション シグネチャの作成(Create アプリケーション シグネチャ)] ページが表示されます。フィールドの詳細については、「 アプリケーション署名の追加」を参照してください。

     手記：

     論理システムの場合、新しい動的アプリケーションをインラインで作成することはできません。

   • [サービス( Services)]:[任意(Any)]、[特定( Specific)]、または [なし(None)] を選択します。

     特定のサービスを選択するには、「使用可能」列からサービスを選択し、右矢印をクリックして「選択済み」列に移動します。

     新しいサービスを作成するには、[ +] をクリックします。「サービスの作成」ページが表示されます。フィールドの詳細については、 表 3 を参照してください。

   • [URLカテゴリ()]:[ 任意(Any)]、[特定( Specific)]、または [なし(None )] を選択して、Web フィルタリング カテゴリの基準を照合します。

     特定の URLカテゴリを選択するには、[使用可能] 列から URLカテゴリを選択し、右矢印をクリックして [選択済み] 列に移動します。

     手記：

     このオプションは、論理システムおよびテナントでは使用できません。

アクション

オプションを選択して、トラフィックが条件に一致した場合に実行するアクションを指定します。

• [許可(Permit)]:パケットがファイアウォールを通過することを許可します。

• [拒否(Deny)]:パケットをブロックしてドロップしますが、送信元に通知は返送しません。

• 拒否—パケットをブロックしてドロップし、送信元ホストに通知を送信します。

[+] をクリックします。[高度なセキュリティの選択] ページが表示されます。

IPS

リストから [ オフ ] または [オン ] を選択します。 [On] を選択すると、[IPS Policy] フィールドは無効になります。

IPSポリシー

リストから IPS ポリシーを選択します。

UTM

このルールに関連付ける UTM ポリシーをリストから選択します。リストには、使用可能なすべてのUTMポリシーが表示されます。

新しい UTM ポリシーを作成する場合は、[ 新規追加(Add New)] をクリックします。[Create UTM Policies] ページが表示されます。新しい UTM ポリシーの作成の詳細については、 UTM ポリシーを追加するを参照してください。

SSLプロキシー

この規則に関連付ける SSL プロキシー・ポリシーをリストから選択します。

IPSec VPN

リストから IPSec VPN トンネルを選択します。

ペア ポリシー名

同じIPSec VPNを持つポリシーの名前を反対方向に入力して、ペアポリシーを作成します。

脅威防止ポリシー

リストから設定済みの脅威防御ポリシーを選択します。

ICAP リダイレクト プロファイル

リストから設定済みの ICAP リダイレクト プロファイル名を選択します。

アプリケーション QoS プロファイル

リストから設定済みの AppQoS プロファイルを選択します。

新しい AppQoS プロファイルを作成する場合は、[ 新規追加(Add New)] をクリックします。[Add AppQoS Profile] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、「 アプリケーション QoS プロファイルの追加」を参照してください。

[ ルール オプション] をクリックします。[SELECT RULE OPTIONS] ページが表示されます。

セッション開始

このオプションを有効にすると、セッションの作成時にイベントがログに記録されます。

セッション終了

このオプションを有効にすると、セッションの終了時にイベントがログに記録されます。

数える

このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット、バイト、およびセッション数の統計が収集されます。

統計カウントを指定します。トラフィックが指定されたパケットおよびバイトのしきい値を超えると、アラームがトリガーされます。

認証エントリーをJIMSにプッシュ

認証成功状態のファイアウォール認証からJuniper Identity Management Server(JIMS)に認証エントリーをプッシュするには、このオプションを有効にします。これにより、SRXシリーズファイアウォールはJIMSにクエリーを実行して、IP/ユーザーマッピングとデバイス情報を取得できます。

これは必須のオプションではありません。ローカルの Active Directory で少なくとも 1 つのドメインが構成されている場合に選択するか、ID 管理を構成できます。

種類

リストからファイアウォール認証タイプを選択します。使用可能なオプションは、なし、パススルー、ユーザーファイアウォール、およびWeb認証です。

アクセス プロファイル

リストからアクセスプロファイルを選択します。

クライアント名

クライアント・ユーザー名またはクライアント・ユーザー・グループ名を入力します。

ドメイン

クライアント名に含める必要があるドメイン名をリストから選択します。

Web リダイレクト (http)

このオプションを有効にすると、リダイレクトHTTP応答をクライアントシステムに送信してユーザー認証のためにWebサーバーに再接続することで、HTTPリクエストがデバイスの内部Webサーバーにリダイレクトされます。

キャプティブポータル

クライアントのHTTPまたはHTTPS要求をデバイスの内部HTTPS Webサーバーにリダイレクトするには、このオプションを有効にします。HTTPS クライアント要求は、SSL 終端プロファイルが構成されている場合にリダイレクトされます。

インターフェイス

クライアントのHTTPまたはHTTPSリクエストがリダイレクトされるWebサーバーのインターフェイスを選択します。

IPv4アドレス

クライアントのHTTPまたはHTTPS要求がリダイレクトされるWebサーバーのIPv4アドレスを入力します。

SSL ターミネーション プロファイル

SSL 終了接続設定を含むリストから SSL 終了プロファイルを選択します。SSLターミネーションは、SRXシリーズデバイスがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了するプロセスです。

新しい SSL ターミネーション・プロファイルを追加するには、次のようにします。

1. [ 追加] をクリックします。

   [Create SSL Termination Profile] ページが表示されます。

2. 次の詳細を入力します。

   • [名前(Name)]:SSL 終端プロファイル名を入力します。最大 63 文字。

   • [サーバー証明書(Server certificate)]:サーバー ID の認証に使用するサーバー証明書をリストから選択します。

     証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の追加」を参照してください。

     証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書のインポート」を参照してください。

認証のみのブラウザ

このオプションを有効にすると、ブラウザ以外のHTTPトラフィックがドロップされ、ブラウザを使用してアクセスを要求する認証されていないユーザーにキャプティブポータルを表示できるようになります。

ユーザーエージェント

ユーザーのブラウザトラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるuser-agent値を入力します。

宛先アドレス変換

宛先アドレス変換に対して実行するアクションをリストから選択します。使用可能なオプションは、なし(None)、変換をドロップ(Drop Translated)、および未変換(Drop Untranslated)です。

リダイレクトオプション

リストからリダイレクトアクションを選択します。使用可能なオプションは、[なし]、[WX リダイレクト]、および [リバース WX リダイレクト] です。

シーケンス番号のチェック

ポリシー ルール レベルでのステートフル インスペクション中の TCP セグメントのシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミットの失敗を回避するには、TCP セッション>>フローグローバルオプションシーケンス番号チェックをオフにします。

SYNフラグチェック

ポリシールールレベルでセッションを作成する前に、TCP SYNビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミットの失敗を回避するには、TCPセッション>グローバルオプション>フローでSYNフラグチェックをオフにします。

計画

[スケジュール(Schedule)] をクリックし、リストから設定済みのスケジュールの 1 つを選択します。

新しいスケジュールを追加するには、「 新規スケジュールの追加」をクリックします。[Add New Schedule] ページが表示されます。新しいスケジュールの作成について詳しくは、 表 4 を参照してください。

名前

アドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは許可されません。最大 63 文字。

IP タイプ

「IPv4」または「IPv6」を選択します。

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットマスクを入力します。

IPv6 アドレス

有効な IPv6 アドレスを入力します。

サブネットプレフィックス

IPv6 アドレスのサブネットプレフィックスを入力します。

名前

アプリケーションの一意の名前を入力します。

形容

アプリケーションの説明を入力します。

アプリケーション プロトコル

アプリケーション プロトコルのリストからオプションを選択します。

一致する IPプロトコル

リストから IPプロトコルに一致するオプションを選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMPタイプ

「ICMPメッセージ・タイプ」のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPCプログラム番号

RPC プログラム番号の値を入力します。

値の形式は W または X-Y でなければなりません。ここで、W、X、および Y は 0 から 65535 までの整数です。

アクティブ タイム

アプリケーション固有の非アクティブ・タイムアウトのオプションをリストから選択します。

UUID

DCE RPC オブジェクトの値を入力します。

カスタム アプリケーション グループ

リストからアプリケーション・セット名を選択します。

[+] をクリックします。[用語の作成] ページが表示されます。

名前

用語の名前を入力します。

ALG

ALG のリストからオプションを選択します。

一致する IPプロトコル

リストから IPプロトコルに一致するオプションを選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMPタイプ

「ICMPメッセージ・タイプ」のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPCプログラム番号

RPC プログラム番号の値を入力します。

アクティブ タイム

アプリケーション固有の非アクティブ・タイムアウトのオプションをリストから選択します。

UUID

DCE RPC オブジェクトの値を入力します。

名前

スケジュールの名前を入力します。

形容

スケジュールの説明を入力します。

繰り返し

リストからオプションを選択して、スケジュールを繰り返す:

• 一度もない

• 日毎

• ウィークリー

終日

イベントを終日スケジュールするには、このオプションを有効にします。

このオプションは、「なし」および「毎日」の繰り返しタイプのスケジュールでのみ使用できます。

開始日

スケジュールの開始日を YYYY-MM-DD 形式で選択します。

このオプションは、繰り返しないタイプのスケジュールでのみ使用できます。

停止日

スケジュールの停止日を YYYY-MM-DD 形式で選択します。

このオプションは、繰り返しないタイプのスケジュールでのみ使用できます。

開始時刻

スケジュールの開始時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

停止時間

スケジュールの終了時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

繰り返す

スケジュールを繰り返す日時を選択します。

選択した日の時刻を設定するには:

1. 「 時刻を設定 」または「 時刻を選択した曜日に設定」をクリックします。

   [時刻を選択した日に設定(Set Time to Selected Days)] ページが表示されます。

2. 次の詳細を入力します。

   • [名前(Name)]:選択した日を表示します。

   • [終日] - イベントを終日実行するには、このオプションを有効にします。

   • [開始時刻(Start time)]:開始時刻を HH:MM:SS 24 時間形式で入力します。

   • [停止時間(Stop time)]:停止時間を HH:MM:SS 24 時間形式で入力します。

3. 「 OK」 をクリックして変更を保存します。

このオプションは、週次繰り返しタイプのスケジュールでのみ使用できます。

スケジュール条件

次のいずれかのオプションを選択します。

• [スケジュールを停止しない(Schedule Never Stops)]:スケジュールは無期限(繰り返し)にすることができますが、日次または週次スケジュールで指定された場合に限ります。

• [スケジュールの指定ウィンドウ(Schedule Specify Window)]:スケジュールは、開始日と終了日で指定された 1 つのタイムスロットでアクティブにできます。

  次の詳細を入力します。

  • [スケジュール開始(Schedule starts)]:スケジュール開始日を YYYY-MM-DD 形式で入力します。

  • [スケジュール終了(Schedule ends)]:スケジュールの開始日を YYYY-MM-DD 形式で入力します。

このオプションは、「日次」および「週次」の繰り返しタイプのスケジュールでのみ使用できます。