ルールの追加
あなたはここにいる: セキュリティポリシー &オブジェクト > セキュリティポリシー。
セキュリティ ポリシー ルールで UTM ポリシーと AppQoS プロファイルを参照するには、必要に応じてセキュリティ ポリシー ルールを作成または編集する前に、UTM ポリシーと AppQoS プロファイルを作成します。UTM ポリシーを作成するには、[セキュリティサービス] > [UTM > UTM ポリシー] に移動し、AppQoS プロファイルを作成するには、[ネットワーク>アプリケーション QoS] に移動します。
ルールを追加するには:
フィールド |
アクション |
---|---|
ルール名 |
新しいルールまたはポリシーの名前を入力します。 |
ルールの説明 |
セキュリティポリシーの説明を入力します。 |
グローバルポリシー |
このオプションを有効にすると、定義されたポリシーがグローバル ポリシーであり、ゾーンが不要であることを指定できます。 |
ソースゾーン |
ソースを追加するには:
|
宛先ゾーン |
宛先を追加するには:
|
アクション |
トラフィックが条件に一致した場合に実行するアクションを選択します。
|
高度なサービス [+] をクリックします。[高度なサービスの選択] ページが表示されます。
メモ:
|
|
SSL プロキシー |
このルールに関連付ける SSL プロキシ ポリシーをリストから選択します。 |
Utm |
このルールに関連付ける UTM ポリシーをリストから選択します。リストには、使用可能なすべての UTM ポリシーが表示されます。 新しい UTM ポリシーを作成する場合は、[ 新規追加] をクリックします。[UTM ポリシーの作成] ページが表示されます。新しい UTM ポリシーの作成の詳細については、次を参照してください: UTM ポリシーを追加する。 |
IPSポリシー |
リストから IPS ポリシーを選択します。 |
脅威防止ポリシー |
リストから設定された脅威対策ポリシーを選択します。 |
ICAP リダイレクト プロファイル |
構成済みの ICAP リダイレクト プロファイル名を一覧から選択します。 |
IPsec VPN |
リストからIPsec VPNトンネルを選択します。
メモ:
宛先で [動的アプリケーション] を選択した場合、IPsec VPN オプションはサポートされません。 |
ペアポリシー名 |
同じIPsec VPNを持つポリシーの名前を反対方向に入力して、ペアポリシーを作成します。
メモ:
宛先で「動的アプリケーション」を選択した場合、「ポリシー名のペア」オプションはサポートされません。 |
アプリケーション QoS プロファイル |
リストから構成済みのAppQoSプロファイルを選択します。 新しい AppQoS プロファイルを作成する場合は、[ 新規追加(Add New)] をクリックします。[AppQoS プロファイルの追加] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、次を参照してください: アプリケーション QoS プロファイルを追加する。 |
脅威プロファイリング |
Juons OSリリース21.4R1以降、このオプションを有効にして脅威プロファイリングフィードを生成できます。
メモ:
フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 送信元と宛先のアドレス、および送信元と宛先の ID を脅威フィードに追加できます。フィードが生成されたら、フィードを使用して指定されたトラフィックを照合し、ポリシーアクションを実行するように他のセキュリティポリシーを設定できます。
|
パケット キャプチャ |
セキュリティポリシールールに固有の不明なアプリケーショントラフィックをキャプチャできるようにします。 既定では、このオプションは無効になっています。有効にすると、パケット キャプチャ(PCAP)ファイルの詳細を表示したり 、[> ログ > セッション の監視] ページで PCAP ファイルをダウンロードしたりできます。 |
ルールのオプション [ルールオプション]をクリックします。[ルール オプションの選択] ページが表示されます。 |
|
ログ | |
セッション開始 |
セッションの作成時にイベントをログに記録するには、このオプションを有効にします。 |
セッションを閉じる |
セッションの終了時にイベントを記録するには、このオプションを有効にします。 |
カウント |
このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット数、バイト数、セッション数の統計が収集されます。 統計カウントを指定します。トラフィックが指定されたパケットおよびバイトしきい値を超えると、アラームがトリガーされます。
メモ:
[Enable Count] が有効になっていない場合、アラームしきい値フィールドは無効になります。 |
認証
メモ:
|
|
認証エントリーをJIMSにプッシュ |
このオプションを有効にすると、認証成功状態のファイアウォール認証から認証エントリーが、JIMS(Juniper Identity Management Server)にプッシュされます。これにより、SRXシリーズファイアウォールがJIMSにクエリーを実行し、IP/ユーザーマッピングとデバイス情報を取得できるようになります。 これは必須のオプションではありません。ローカルの Active Directory で少なくとも 1 つのドメインが構成されている場合に選択するか、ID 管理を構成できます。 |
型 |
リストからファイアウォール認証タイプを選択します。使用可能なオプションは、[なし]、[パススルー]、[ユーザー ファイアウォール]、および [Web 認証] です。 |
アクセスプロファイル |
リストからアクセスプロファイルを選択します。
メモ:
認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。 |
クライアント名 |
クライアントのユーザー名またはクライアント ユーザー グループ名を入力します。
メモ:
認証の種類として [ユーザー ファイアウォール] を選択した場合、このオプションはサポートされません。 |
ドメイン |
クライアント名に含める必要のあるドメイン名をリストから選択します。
メモ:
このオプションは、認証の種類として [ユーザー ファイアウォール] を選択した場合にのみサポートされます。 |
ウェブリダイレクト(http) |
このオプションを有効にすると、リダイレクト HTTP 応答をクライアントシステムに送信してユーザー認証のために Web サーバーに再接続することで、HTTP要求をデバイスの内部Webサーバーにリダイレクトできます。
メモ:
認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。 |
キャプティブポータル |
クライアントの HTTP または HTTPS 要求をデバイスの内部 HTTPS Web サーバーにリダイレクトするには、このオプションを有効にします。SSL ターミネーション プロファイルが設定されている場合、HTTPS クライアント要求はリダイレクトされます。
メモ:
認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。 |
インターフェイス |
クライアントの HTTP または HTTPS 要求がリダイレクトされる Web サーバーのインターフェイスを選択します。
メモ:
ポリシーの作成後にこれを編集することはできません。インターフェイスを編集するには、[ ネットワーク接続 ] >> [インターフェイス] に移動します。 |
IPv4アドレス |
クライアントの HTTP または HTTPS 要求がリダイレクトされる Web サーバーの IPv4 アドレスを入力します。
メモ:
ポリシーの作成後にこれを編集することはできません。インターフェイスを編集するには、[ ネットワーク接続 ] >> [インターフェイス] に移動します。 |
SSL 終端プロファイル |
SSL 終端接続設定を含むリストから、SSL 終端プロファイルを選択します。SSLターミネーションは、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了します。 新しい SSL 終端プロファイルを追加するには、次の手順を実行します。
|
認証のみのブラウザ |
ブラウザ以外のHTTPトラフィックをドロップして、ブラウザを使用してアクセスを要求する認証されていないユーザにキャプティブポータルを表示できるようにするには、このオプションを有効にします。
メモ:
認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。 |
ユーザーエージェント |
ユーザーのブラウザトラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるユーザーエージェント値を入力します。
メモ:
認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。 |
詳細設定 | |
宛先アドレス変換 |
宛先アドレス変換に対して実行するアクションをリストから選択します。使用可能なオプションは、[なし]、[翻訳済みをドロップ]、および [未翻訳のまま削除] です。 |
リダイレクトオプション |
リストからリダイレクトアクションを選択します。使用可能なオプションは、[なし]、[リダイレクト Wx]、および [逆リダイレクト Wx] です。
メモ:
このオプションは、SRX5000デバイス ラインではサポートされていません。 |
TCPセッションオプション | |
シーケンス番号チェック |
ポリシー ルール レベルでのステートフル インスペクション中の TCP セグメント内のシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバル レベルで行われます。コミットの失敗を回避するには、[フロー>> TCP セッション] の [グローバル オプション] で [シーケンス番号チェック] をオフにします。 |
SYNフラグチェック |
ポリシー ルール レベルでセッションを作成する前に、TCP SYN ビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバル レベルで行われます。コミットの失敗を回避するには、[グローバル オプション] の [フロー> TCP セッション] > で SYN フラグ チェックをオフにします。 |
スケジュール | |
スケジュール |
[スケジュール(Schedule)] をクリックし、リストから設定済みのスケジュールの 1 つを選択します。 新しいスケジュールを追加するには、[ 新しいスケジュールの追加] をクリックします。[新しいスケジュールの追加] ページが表示されます。新しいスケジュールの作成について詳しくは、 表 4 を参照してください。 |
フィールド |
アクション |
---|---|
名前 |
アドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは使用できません。最大 63 文字です。 |
IPタイプ |
IPv4 または IPv6 を選択します。 |
IPv4 | |
IPv4アドレス |
有効な IPv4 アドレスを入力します。 |
サブネット |
IPv4 アドレスのサブネット マスクを入力します。 |
IPv6 | |
IPv6アドレス |
有効な IPv6 アドレスを入力します。 |
サブネット プレフィックス |
IPv6 アドレスのサブネット プレフィックスを入力します。 |
フィールド |
アクション |
---|---|
グローバル設定 | |
名前 |
アプリケーションの一意の名前を入力します。 |
説明 |
アプリケーションの説明を入力します。 |
アプリケーションプロトコル |
アプリケーションプロトコルのリストからオプションを選択します。 |
IPプロトコルに一致 |
IP プロトコルに一致するオプションをリストから選択します。 |
送信元ポート |
送信元ポートのリストからオプションを選択します。 |
宛先ポート |
宛先ポートのリストからオプションを選択します。 |
ICMP タイプ |
[ICMP メッセージ タイプ] のリストからオプションを選択します。 |
ICMP コード |
ICMPメッセージコードのリストからオプションを選択します。 |
RPC プログラム番号 |
RPC プログラム番号の値を入力します。 値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0 から 65535 までの整数です。 |
非アクティブ タイムアウト |
アプリケーション固有の非アクティブタイムアウトのリストからオプションを選択します。 |
Uuid |
DCE RPC オブジェクトの値を入力します。
メモ:
値の形式は、12345678-1234-1234-1234-123456789012 である必要があります。 |
カスタムアプリケーショングループ |
リストからアプリケーションセット名を選択します。 |
用語 [+] をクリックします。「用語の作成」ページが表示されます。 |
|
名前 |
用語の名前を入力します。 |
Alg |
ALG のリストからオプションを選択します。 |
IPプロトコルに一致 |
IP プロトコルに一致するオプションをリストから選択します。 |
送信元ポート |
送信元ポートのリストからオプションを選択します。 |
宛先ポート |
宛先ポートのリストからオプションを選択します。 |
ICMP タイプ |
[ICMP メッセージ タイプ] のリストからオプションを選択します。 |
ICMP コード |
ICMPメッセージコードのリストからオプションを選択します。 |
RPC プログラム番号 |
RPC プログラム番号の値を入力します。
メモ:
値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0 から 65535 までの整数です。 |
非アクティブ タイムアウト |
アプリケーション固有の非アクティブタイムアウトのリストからオプションを選択します。 |
Uuid |
DCE RPC オブジェクトの値を入力します。
メモ:
値の形式は、12345678-1234-1234-1234-123456789012 である必要があります。 |
フィールド |
アクション |
---|---|
名前 |
スケジュールの名前を入力します。 |
説明 |
スケジュールの説明を入力します。 |
繰り返し |
リストからオプションを選択して、スケジュールを繰り返します。
|
終日 |
終日のイベントをスケジュールするには、このオプションを有効にします。 このオプションは、[なし]および[毎日繰り返し]タイプのスケジュールでのみ使用できます。 |
開始日 |
スケジュール開始日を YYYY-MM-DD 形式で選択します。 このオプションは、[タイプ集計表を繰り返さない]でのみ使用できます。 |
停止日 |
スケジュール停止日を YYYY-MM-DD 形式で選択します。 このオプションは、[タイプ集計表を繰り返さない]でのみ使用できます。 |
開始時間 |
スケジュールの開始時刻を HH:MM:SS 24 時間形式で入力します。 このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。 |
停止時間 |
スケジュールの終了時刻を HH:MM:SS 24 時間形式で入力します。 このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。 |
繰り返す |
スケジュールを繰り返す日時を選択します。 選択した日の時間を設定するには:
このオプションは、週単位の繰り返しタイプの集計表でのみ使用できます。 |
スケジュール基準 |
次のいずれかのオプションを選択します。
このオプションは、毎日および毎週の繰り返しタイプのスケジュールでのみ使用できます。 |