ルールの追加

ルール名

新しいルールまたはポリシーの名前を入力します。

ルールの説明

セキュリティポリシーの説明を入力します。

グローバルポリシー

このオプションを有効にすると、定義されたポリシーがグローバル ポリシーであり、ゾーンが不要であることを指定できます。

ソースゾーン

ソースを追加するには:

1. [+] をクリックします。

   [ソースの選択] ページが表示されます。

2. 次の詳細を入力します。

   • [ゾーン(Zone)]:ルールを関連付ける送信元ゾーンをリストから選択します。

   • [アドレス] - [任意 ] または [特定] を選択します。

     メモ：

     • Juons OSリリース21.4R1以降、IPフィードを選択してポリシーの一致条件を定義できます。また、新しい [タイプ] 列にソースの種類 (アドレス、アドレス グループ、ワイルドカード、範囲、IP フィード) を表示することもできます。

     • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

     特定のアドレスまたは IP フィードを選択するには、[使用可能] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。 [選択項目を除外] を選択すると、選択したアドレスのみを一覧から除外できます。

     新しいアドレスを作成するには、[ +] をクリックします。[アドレスの作成] ページが表示されます。フィールドについて詳しくは、 表 2 を参照してください。

   • ソース ID - [使用可能] 列からユーザー ID を選択し、右矢印をクリックして [選択済み] 列に移動します。

     ソース ID を作成するには、[ +] をクリックします。[ソース ID の作成] ページに新しいユーザー名または ID を入力し、[ OK] をクリックします。

   • ソースIDフィード:Juons OSリリース21.4R1以降、ユーザーID脅威フィードを選択して、ポリシーの一致基準を定義できます。

     [使用可能] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。

     ユーザー ID 脅威フィードの最大数は 1024 です。つまり、ポリシーごとの送信元 ID フィードと送信先 ID フィードの合計です。

     メモ：

     フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

宛先ゾーン

宛先を追加するには:

1. [+] をクリックします。

   [宛先の選択] ページが表示されます。

2. 次の詳細を入力します。

   • [ゾーン(Zone)]:ルールを関連付ける宛先ゾーンをリストから選択します。

   • [アドレス] - [任意 ] または [特定] を選択します。

     メモ：

     • Juons OSリリース21.4R1以降、IPフィードを選択してポリシーの一致条件を定義できます。また、新しい [タイプ] 列にソースの種類 (アドレス、アドレス グループ、ワイルドカード、範囲、IP フィード) を表示することもできます。

     • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

     特定のアドレスまたは IP フィードを選択するには、[使用可能] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。 [選択項目を除外] を選択すると、選択したアドレスのみを一覧から除外できます。

     新しいアドレスを作成するには、[ +] をクリックします。フィールドについて詳しくは、 表 2 を参照してください。

   • 動的アプリケーション - [任意]、[ 特定]、 または [なし] を選択します。

     メモ：

     [動的アプリケーション] オプションは、テナントではサポートされていません。

     特定のアプリケーションを選択するには、[使用可能] 列からアプリケーションを選択し、右矢印をクリックして [選択済み] 列に移動します。

     メモ：

     「すべて選択」チェック・ボックスは、特定の動的アプリケーションを検索する場合にのみ使用可能です。

     新しいアプリケーションを作成するには、[ +] をクリックします。[アプリケーション シグネチャの作成] ページが表示されます。フィールドの詳細については、「 アプリケーション シグネチャの追加」を参照してください。

     メモ：

     論理システムの場合、動的アプリケーションをインラインで作成することはできません。

   • サービス - [ 任意]、[ 特定]、または [ なし] を選択します。

     特定のサービスを選択するには、[使用可能] 列からサービスを選択し、右矢印をクリックして [選択済み] 列に移動します。

     新しいサービスを作成するには、[ +] をクリックします。[サービスの作成] ページが表示されます。フィールドについて詳しくは、 表 3 を参照してください。

   • URL カテゴリ:Web フィルタリング カテゴリの条件に一致するには、[ 任意]、[ 特定]、 または [なし(なし )] を選択します。

     特定の URL カテゴリを選択するには、[使用可能] 列から URL カテゴリを選択し、右矢印をクリックして [選択済み] 列に移動します。

     メモ：

     このオプションは、論理システムおよびテナントでは使用できません。

   • 宛先IDフィード:Juons OSリリース21.4R1以降、ユーザーID脅威フィードを選択して、ポリシーの一致基準を定義できます。

     [使用可能] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。

     ユーザー ID 脅威フィードの最大数は 1024 です。つまり、ポリシーごとの送信元 ID フィードと送信先 ID フィードの合計です。

     メモ：

     フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

アクション

トラフィックが条件に一致した場合に実行するアクションを選択します。

• 許可 - パケットがファイアウォールを通過できるようにします。

• 拒否:パケットをブロックしてドロップしますが、送信元に通知を送り返しません。

• 拒否:パケットをブロックしてドロップし、送信元ホストに通知を送信します。

[+] をクリックします。[高度なサービスの選択] ページが表示されます。

SSL プロキシー

このルールに関連付ける SSL プロキシ ポリシーをリストから選択します。

Utm

このルールに関連付ける UTM ポリシーをリストから選択します。リストには、使用可能なすべての UTM ポリシーが表示されます。

新しい UTM ポリシーを作成する場合は、[ 新規追加] をクリックします。[UTM ポリシーの作成] ページが表示されます。新しい UTM ポリシーの作成の詳細については、次を参照してください: UTM ポリシーを追加する。

IPSポリシー

リストから IPS ポリシーを選択します。

脅威防止ポリシー

リストから設定された脅威対策ポリシーを選択します。

ICAP リダイレクト プロファイル

構成済みの ICAP リダイレクト プロファイル名を一覧から選択します。

IPsec VPN

リストからIPsec VPNトンネルを選択します。

ペアポリシー名

同じIPsec VPNを持つポリシーの名前を反対方向に入力して、ペアポリシーを作成します。

アプリケーション QoS プロファイル

リストから構成済みのAppQoSプロファイルを選択します。

新しい AppQoS プロファイルを作成する場合は、[ 新規追加(Add New)] をクリックします。[AppQoS プロファイルの追加] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、次を参照してください: アプリケーション QoS プロファイルを追加する。

脅威プロファイリング

Juons OSリリース21.4R1以降、このオプションを有効にして脅威プロファイリングフィードを生成できます。

送信元と宛先のアドレス、および送信元と宛先の ID を脅威フィードに追加できます。フィードが生成されたら、フィードを使用して指定されたトラフィックを照合し、ポリシーアクションを実行するように他のセキュリティポリシーを設定できます。

• フィードに送信元 IP を追加 - リストから脅威フィードを選択して送信元 IP アドレスに追加します。

• フィードにソース ID を追加 - リストから脅威フィードを選択して、ソース ユーザー ID に追加します。

• フィードに宛先 IP を追加 - リストから脅威フィードを選択して、宛先 IP アドレスに追加します。

• フィードに宛先 ID を追加 - リストから脅威フィードを選択して、宛先ユーザー ID に追加します。

パケット キャプチャ

セキュリティポリシールールに固有の不明なアプリケーショントラフィックをキャプチャできるようにします。

既定では、このオプションは無効になっています。有効にすると、パケット キャプチャ(PCAP)ファイルの詳細を表示したり 、[> ログ > セッション の監視] ページで PCAP ファイルをダウンロードしたりできます。

[ルールオプション]をクリックします。[ルール オプションの選択] ページが表示されます。

セッション開始

セッションの作成時にイベントをログに記録するには、このオプションを有効にします。

セッションを閉じる

セッションの終了時にイベントを記録するには、このオプションを有効にします。

カウント

このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット数、バイト数、セッション数の統計が収集されます。

統計カウントを指定します。トラフィックが指定されたパケットおよびバイトしきい値を超えると、アラームがトリガーされます。

認証エントリーをJIMSにプッシュ

このオプションを有効にすると、認証成功状態のファイアウォール認証から認証エントリーが、JIMS(Juniper Identity Management Server)にプッシュされます。これにより、SRXシリーズファイアウォールがJIMSにクエリーを実行し、IP/ユーザーマッピングとデバイス情報を取得できるようになります。

これは必須のオプションではありません。ローカルの Active Directory で少なくとも 1 つのドメインが構成されている場合に選択するか、ID 管理を構成できます。

型

リストからファイアウォール認証タイプを選択します。使用可能なオプションは、[なし]、[パススルー]、[ユーザー ファイアウォール]、および [Web 認証] です。

アクセスプロファイル

リストからアクセスプロファイルを選択します。

クライアント名

クライアントのユーザー名またはクライアント ユーザー グループ名を入力します。

ドメイン

クライアント名に含める必要のあるドメイン名をリストから選択します。

ウェブリダイレクト(http)

このオプションを有効にすると、リダイレクト HTTP 応答をクライアントシステムに送信してユーザー認証のために Web サーバーに再接続することで、HTTP要求をデバイスの内部Webサーバーにリダイレクトできます。

キャプティブポータル

クライアントの HTTP または HTTPS 要求をデバイスの内部 HTTPS Web サーバーにリダイレクトするには、このオプションを有効にします。SSL ターミネーション プロファイルが設定されている場合、HTTPS クライアント要求はリダイレクトされます。

インターフェイス

クライアントの HTTP または HTTPS 要求がリダイレクトされる Web サーバーのインターフェイスを選択します。

IPv4アドレス

クライアントの HTTP または HTTPS 要求がリダイレクトされる Web サーバーの IPv4 アドレスを入力します。

SSL 終端プロファイル

SSL 終端接続設定を含むリストから、SSL 終端プロファイルを選択します。SSLターミネーションは、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了します。

新しい SSL 終端プロファイルを追加するには、次の手順を実行します。

1. [ 追加] をクリックします。

   [SSL 終端プロファイルの作成] ページが表示されます。

2. 次の詳細を入力します。

   • 名前:SSL 終端プロファイル名を入力します。最大 63 文字です。

   • サーバー証明書 - サーバー ID の認証に使用するサーバー証明書をリストから選択します。

     証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する。

     証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書のインポート」を参照してください。

認証のみのブラウザ

ブラウザ以外のHTTPトラフィックをドロップして、ブラウザを使用してアクセスを要求する認証されていないユーザにキャプティブポータルを表示できるようにするには、このオプションを有効にします。

ユーザーエージェント

ユーザーのブラウザトラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるユーザーエージェント値を入力します。

宛先アドレス変換

宛先アドレス変換に対して実行するアクションをリストから選択します。使用可能なオプションは、[なし]、[翻訳済みをドロップ]、および [未翻訳のまま削除] です。

リダイレクトオプション

リストからリダイレクトアクションを選択します。使用可能なオプションは、[なし]、[リダイレクト Wx]、および [逆リダイレクト Wx] です。

シーケンス番号チェック

ポリシー ルール レベルでのステートフル インスペクション中の TCP セグメント内のシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバル レベルで行われます。コミットの失敗を回避するには、[フロー>> TCP セッション] の [グローバル オプション] で [シーケンス番号チェック] をオフにします。

SYNフラグチェック

ポリシー ルール レベルでセッションを作成する前に、TCP SYN ビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバル レベルで行われます。コミットの失敗を回避するには、[グローバル オプション] の [フロー> TCP セッション] > で SYN フラグ チェックをオフにします。

スケジュール

[スケジュール(Schedule)] をクリックし、リストから設定済みのスケジュールの 1 つを選択します。

新しいスケジュールを追加するには、[ 新しいスケジュールの追加] をクリックします。[新しいスケジュールの追加] ページが表示されます。新しいスケジュールの作成について詳しくは、 表 4 を参照してください。

名前

アドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは使用できません。最大 63 文字です。

IPタイプ

IPv4 または IPv6 を選択します。

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネット マスクを入力します。

IPv6アドレス

有効な IPv6 アドレスを入力します。

サブネット プレフィックス

IPv6 アドレスのサブネット プレフィックスを入力します。

名前

アプリケーションの一意の名前を入力します。

説明

アプリケーションの説明を入力します。

アプリケーションプロトコル

アプリケーションプロトコルのリストからオプションを選択します。

IPプロトコルに一致

IP プロトコルに一致するオプションをリストから選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMP タイプ

[ICMP メッセージ タイプ] のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPC プログラム番号

RPC プログラム番号の値を入力します。

値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0 から 65535 までの整数です。

非アクティブ タイムアウト

アプリケーション固有の非アクティブタイムアウトのリストからオプションを選択します。

Uuid

DCE RPC オブジェクトの値を入力します。

カスタムアプリケーショングループ

リストからアプリケーションセット名を選択します。

[+] をクリックします。「用語の作成」ページが表示されます。

名前

用語の名前を入力します。

Alg

ALG のリストからオプションを選択します。

IPプロトコルに一致

IP プロトコルに一致するオプションをリストから選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMP タイプ

[ICMP メッセージ タイプ] のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPC プログラム番号

RPC プログラム番号の値を入力します。

非アクティブ タイムアウト

アプリケーション固有の非アクティブタイムアウトのリストからオプションを選択します。

Uuid

DCE RPC オブジェクトの値を入力します。

名前

スケジュールの名前を入力します。

説明

スケジュールの説明を入力します。

繰り返し

リストからオプションを選択して、スケジュールを繰り返します。

• ぜんぜん

• 毎日

• 毎 週

終日

終日のイベントをスケジュールするには、このオプションを有効にします。

このオプションは、[なし]および[毎日繰り返し]タイプのスケジュールでのみ使用できます。

開始日

スケジュール開始日を YYYY-MM-DD 形式で選択します。

このオプションは、[タイプ集計表を繰り返さない]でのみ使用できます。

停止日

スケジュール停止日を YYYY-MM-DD 形式で選択します。

このオプションは、[タイプ集計表を繰り返さない]でのみ使用できます。

開始時間

スケジュールの開始時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

停止時間

スケジュールの終了時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

繰り返す

スケジュールを繰り返す日時を選択します。

選択した日の時間を設定するには:

1. [ 時刻を設定 ] または [ 時刻を選択した日に設定] をクリックします。

   [選択した日数に時間を設定する] ページが表示されます。

2. 次の詳細を入力します。

   • 名前 - 選択した曜日が表示されます。

   • [終日] - このオプションを有効にすると、イベントが終日実行されます。

   • 開始時刻 - 開始時刻を HH:MM:SS 24 時間形式で入力します。

   • 停止時間 - 停止時間を HH:MM:SS 24 時間形式で入力します。

3. [ OK ] をクリックして変更を保存します。

このオプションは、週単位の繰り返しタイプの集計表でのみ使用できます。

スケジュール基準

次のいずれかのオプションを選択します。

• [スケジュールを停止しない(Schedule Never Stops)]:スケジュールは永久に(繰り返し)アクティブにできますが、これは日単位または週単位のスケジュールで指定されたとおりに限られます。

• スケジュール指定ウィンドウ - スケジュールは、開始日と終了日で指定した 1 つの時間帯にアクティブにすることができます。

  次の詳細を入力します。

  • [スケジュールの開始] - スケジュールの開始日を YYYY-MM-DD 形式で入力します。

  • スケジュールの終了 - スケジュールの開始日を YYYY-MM-DD 形式で入力します。

このオプションは、毎日および毎週の繰り返しタイプのスケジュールでのみ使用できます。