Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルールの追加

あなたはここにいる: セキュリティポリシー &オブジェクト > セキュリティポリシー

メモ:

セキュリティ ポリシー ルールで UTM ポリシーと AppQoS プロファイルを参照するには、必要に応じてセキュリティ ポリシー ルールを作成または編集する前に、UTM ポリシーと AppQoS プロファイルを作成します。UTM ポリシーを作成するには、[セキュリティサービス] > [UTM > UTM ポリシー] に移動し、AppQoS プロファイルを作成するには、[ネットワーク>アプリケーション QoS] に移動します。

ルールを追加するには:

  1. [セキュリティ ポリシー] ページの右上にある追加アイコン (+) をクリックします。

    インライン編集可能なフィールドが表示されます。

  2. 表 1 に示すガイドラインに従って構成を完了します。
  3. 設定が完了したら、行の右側にあるチェックマークアイコンをクリックします。
    メモ:

    新しいルールの作成時にインラインチェックマークとキャンセルアイコンが使用できない場合は、水平バーを後ろにスクロールします。

  4. [ 保存 ] をクリックして変更を保存するか、[破棄] をクリックして変更を 破棄 します。
    メモ:

    J-Web UIでそれ以上のアクションを実行する前に、ステップ 3 とステップ 4 を実行する必要があります。

表 1: [セキュリティ ポリシー] ページのフィールド

フィールド

アクション

ルール名

新しいルールまたはポリシーの名前を入力します。

ルールの説明

セキュリティポリシーの説明を入力します。

グローバルポリシー

このオプションを有効にすると、定義されたポリシーがグローバル ポリシーであり、ゾーンが不要であることを指定できます。

ソースゾーン

ソースを追加するには:

  1. [+] をクリックします。

    [ソースの選択] ページが表示されます。

  2. 次の詳細を入力します。

    • [ゾーン(Zone)]:ルールを関連付ける送信元ゾーンをリストから選択します。

    • [アドレス] - [任意 ] または [特定] を選択します。

      メモ:
      • Juons OSリリース21.4R1以降、IPフィードを選択してポリシーの一致条件を定義できます。また、新しい [タイプ] 列にソースの種類 (アドレス、アドレス グループ、ワイルドカード、範囲、IP フィード) を表示することもできます。

      • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

      特定のアドレスまたは IP フィードを選択するには、[使用可能] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。 [選択項目を除外] を選択すると、選択したアドレスのみを一覧から除外できます。

      新しいアドレスを作成するには、[ +] をクリックします。[アドレスの作成] ページが表示されます。フィールドについて詳しくは、 表 2 を参照してください。

    • ソース ID - [使用可能] 列からユーザー ID を選択し、右矢印をクリックして [選択済み] 列に移動します。

      ソース ID を作成するには、[ +] をクリックします。[ソース ID の作成] ページに新しいユーザー名または ID を入力し、[ OK] をクリックします。

    • ソースIDフィード:Juons OSリリース21.4R1以降、ユーザーID脅威フィードを選択して、ポリシーの一致基準を定義できます。

      [使用可能] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。

      ユーザー ID 脅威フィードの最大数は 1024 です。つまり、ポリシーごとの送信元 ID フィードと送信先 ID フィードの合計です。

      メモ:

      フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

宛先ゾーン

宛先を追加するには:

  1. [+] をクリックします。

    [宛先の選択] ページが表示されます。

  2. 次の詳細を入力します。

    • [ゾーン(Zone)]:ルールを関連付ける宛先ゾーンをリストから選択します。

    • [アドレス] - [任意 ] または [特定] を選択します。

      メモ:
      • Juons OSリリース21.4R1以降、IPフィードを選択してポリシーの一致条件を定義できます。また、新しい [タイプ] 列にソースの種類 (アドレス、アドレス グループ、ワイルドカード、範囲、IP フィード) を表示することもできます。

      • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

      特定のアドレスまたは IP フィードを選択するには、[使用可能] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。 [選択項目を除外] を選択すると、選択したアドレスのみを一覧から除外できます。

      新しいアドレスを作成するには、[ +] をクリックします。フィールドについて詳しくは、 表 2 を参照してください。

    • 動的アプリケーション - [任意]、[ 特定]、 または [なし] を選択します。

      メモ:

      [動的アプリケーション] オプションは、テナントではサポートされていません。

      特定のアプリケーションを選択するには、[使用可能] 列からアプリケーションを選択し、右矢印をクリックして [選択済み] 列に移動します。

      メモ:

      「すべて選択」チェック・ボックスは、特定の動的アプリケーションを検索する場合にのみ使用可能です。

      新しいアプリケーションを作成するには、[ +] をクリックします。[アプリケーション シグネチャの作成] ページが表示されます。フィールドの詳細については、「 アプリケーション シグネチャの追加」を参照してください。

      メモ:

      論理システムの場合、動的アプリケーションをインラインで作成することはできません。

    • サービス - [ 任意]、[ 特定]、または [ なし] を選択します。

      特定のサービスを選択するには、[使用可能] 列からサービスを選択し、右矢印をクリックして [選択済み] 列に移動します。

      新しいサービスを作成するには、[ +] をクリックします。[サービスの作成] ページが表示されます。フィールドについて詳しくは、 表 3 を参照してください。

    • URL カテゴリ:Web フィルタリング カテゴリの条件に一致するには、[ 任意]、[ 特定]、 または [なし(なし )] を選択します。

      特定の URL カテゴリを選択するには、[使用可能] 列から URL カテゴリを選択し、右矢印をクリックして [選択済み] 列に移動します。

      メモ:

      このオプションは、論理システムおよびテナントでは使用できません。

    • 宛先IDフィード:Juons OSリリース21.4R1以降、ユーザーID脅威フィードを選択して、ポリシーの一致基準を定義できます。

      [使用可能] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。

      ユーザー ID 脅威フィードの最大数は 1024 です。つまり、ポリシーごとの送信元 ID フィードと送信先 ID フィードの合計です。

      メモ:

      フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

アクション

トラフィックが条件に一致した場合に実行するアクションを選択します。

  • 許可 - パケットがファイアウォールを通過できるようにします。

  • 拒否:パケットをブロックしてドロップしますが、送信元に通知を送り返しません。

  • 拒否:パケットをブロックしてドロップし、送信元ホストに通知を送信します。

高度なサービス

[+] をクリックします。[高度なサービスの選択] ページが表示されます。

メモ:
  • アクションが [拒否] の場合:

    • SSLプロキシおよびリダイレクトプロファイルオプションのみを設定できます。

    • SSL プロキシー・オプションは、動的アプリケーションが「なし」の場合のみ構成できます。

    • 高度なセキュリティオプションは、論理システムおよびテナントではサポートされていません。

  • アクションが [許可] の場合:

    • 論理システムでは、IPS、IPS ポリシー、UTM、脅威防御ポリシー、ICAP リダイレクト プロファイル、AppQOS オプションのみがサポートされます。

    • テナント システムでは、脅威防御ポリシーと AppQOS のみがサポートされます。

SSL プロキシー

このルールに関連付ける SSL プロキシ ポリシーをリストから選択します。

Utm

このルールに関連付ける UTM ポリシーをリストから選択します。リストには、使用可能なすべての UTM ポリシーが表示されます。

新しい UTM ポリシーを作成する場合は、[ 新規追加] をクリックします。[UTM ポリシーの作成] ページが表示されます。新しい UTM ポリシーの作成の詳細については、次を参照してください: UTM ポリシーを追加する

IPSポリシー

リストから IPS ポリシーを選択します。

脅威防止ポリシー

リストから設定された脅威対策ポリシーを選択します。

ICAP リダイレクト プロファイル

構成済みの ICAP リダイレクト プロファイル名を一覧から選択します。

IPsec VPN

リストからIPsec VPNトンネルを選択します。

メモ:

宛先で [動的アプリケーション] を選択した場合、IPsec VPN オプションはサポートされません。

ペアポリシー名

同じIPsec VPNを持つポリシーの名前を反対方向に入力して、ペアポリシーを作成します。

メモ:

宛先で「動的アプリケーション」を選択した場合、「ポリシー名のペア」オプションはサポートされません。

アプリケーション QoS プロファイル

リストから構成済みのAppQoSプロファイルを選択します。

新しい AppQoS プロファイルを作成する場合は、[ 新規追加(Add New)] をクリックします。[AppQoS プロファイルの追加] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、次を参照してください: アプリケーション QoS プロファイルを追加する

脅威プロファイリング

Juons OSリリース21.4R1以降、このオプションを有効にして脅威プロファイリングフィードを生成できます。

メモ:

フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。また、 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

送信元と宛先のアドレス、および送信元と宛先の ID を脅威フィードに追加できます。フィードが生成されたら、フィードを使用して指定されたトラフィックを照合し、ポリシーアクションを実行するように他のセキュリティポリシーを設定できます。

  • フィードに送信元 IP を追加 - リストから脅威フィードを選択して送信元 IP アドレスに追加します。

  • フィードにソース ID を追加 - リストから脅威フィードを選択して、ソース ユーザー ID に追加します。

  • フィードに宛先 IP を追加 - リストから脅威フィードを選択して、宛先 IP アドレスに追加します。

  • フィードに宛先 ID を追加 - リストから脅威フィードを選択して、宛先ユーザー ID に追加します。

パケット キャプチャ

セキュリティポリシールールに固有の不明なアプリケーショントラフィックをキャプチャできるようにします。

既定では、このオプションは無効になっています。有効にすると、パケット キャプチャ(PCAP)ファイルの詳細を表示したり 、[> ログ > セッション の監視] ページで PCAP ファイルをダウンロードしたりできます。

ルールのオプション

[ルールオプション]をクリックします。[ルール オプションの選択] ページが表示されます。

ログ

セッション開始

セッションの作成時にイベントをログに記録するには、このオプションを有効にします。

セッションを閉じる

セッションの終了時にイベントを記録するには、このオプションを有効にします。

カウント

このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット数、バイト数、セッション数の統計が収集されます。

統計カウントを指定します。トラフィックが指定されたパケットおよびバイトしきい値を超えると、アラームがトリガーされます。

メモ:

[Enable Count] が有効になっていない場合、アラームしきい値フィールドは無効になります。

認証
メモ:
  • 宛先で「動的アプリケーション」を選択した場合、認証オプションはサポートされません。

  • このオプションは、論理システムおよびテナントシステムではサポートされていません。

認証エントリーをJIMSにプッシュ

このオプションを有効にすると、認証成功状態のファイアウォール認証から認証エントリーが、JIMS(Juniper Identity Management Server)にプッシュされます。これにより、SRXシリーズファイアウォールがJIMSにクエリーを実行し、IP/ユーザーマッピングとデバイス情報を取得できるようになります。

これは必須のオプションではありません。ローカルの Active Directory で少なくとも 1 つのドメインが構成されている場合に選択するか、ID 管理を構成できます。

リストからファイアウォール認証タイプを選択します。使用可能なオプションは、[なし]、[パススルー]、[ユーザー ファイアウォール]、および [Web 認証] です。

アクセスプロファイル

リストからアクセスプロファイルを選択します。

メモ:

認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。

クライアント名

クライアントのユーザー名またはクライアント ユーザー グループ名を入力します。

メモ:

認証の種類として [ユーザー ファイアウォール] を選択した場合、このオプションはサポートされません。

ドメイン

クライアント名に含める必要のあるドメイン名をリストから選択します。

メモ:

このオプションは、認証の種類として [ユーザー ファイアウォール] を選択した場合にのみサポートされます。

ウェブリダイレクト(http)

このオプションを有効にすると、リダイレクト HTTP 応答をクライアントシステムに送信してユーザー認証のために Web サーバーに再接続することで、HTTP要求をデバイスの内部Webサーバーにリダイレクトできます。

メモ:

認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。

キャプティブポータル

クライアントの HTTP または HTTPS 要求をデバイスの内部 HTTPS Web サーバーにリダイレクトするには、このオプションを有効にします。SSL ターミネーション プロファイルが設定されている場合、HTTPS クライアント要求はリダイレクトされます。

メモ:

認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。

インターフェイス

クライアントの HTTP または HTTPS 要求がリダイレクトされる Web サーバーのインターフェイスを選択します。

メモ:

ポリシーの作成後にこれを編集することはできません。インターフェイスを編集するには、[ ネットワーク接続 ] >> [インターフェイス] に移動します。

IPv4アドレス

クライアントの HTTP または HTTPS 要求がリダイレクトされる Web サーバーの IPv4 アドレスを入力します。

メモ:

ポリシーの作成後にこれを編集することはできません。インターフェイスを編集するには、[ ネットワーク接続 ] >> [インターフェイス] に移動します。

SSL 終端プロファイル

SSL 終端接続設定を含むリストから、SSL 終端プロファイルを選択します。SSLターミネーションは、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了します。

新しい SSL 終端プロファイルを追加するには、次の手順を実行します。

  1. [ 追加] をクリックします。

    [SSL 終端プロファイルの作成] ページが表示されます。

  2. 次の詳細を入力します。

    • 名前:SSL 終端プロファイル名を入力します。最大 63 文字です。

    • サーバー証明書 - サーバー ID の認証に使用するサーバー証明書をリストから選択します。

      証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する

      証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書のインポート」を参照してください。

認証のみのブラウザ

ブラウザ以外のHTTPトラフィックをドロップして、ブラウザを使用してアクセスを要求する認証されていないユーザにキャプティブポータルを表示できるようにするには、このオプションを有効にします。

メモ:

認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。

ユーザーエージェント

ユーザーのブラウザトラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるユーザーエージェント値を入力します。

メモ:

認証タイプとして [Web 認証] を選択した場合、このオプションはサポートされません。

詳細設定

宛先アドレス変換

宛先アドレス変換に対して実行するアクションをリストから選択します。使用可能なオプションは、[なし]、[翻訳済みをドロップ]、および [未翻訳のまま削除] です。

リダイレクトオプション

リストからリダイレクトアクションを選択します。使用可能なオプションは、[なし]、[リダイレクト Wx]、および [逆リダイレクト Wx] です。

メモ:

このオプションは、SRX5000デバイス ラインではサポートされていません。

TCPセッションオプション

シーケンス番号チェック

ポリシー ルール レベルでのステートフル インスペクション中の TCP セグメント内のシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバル レベルで行われます。コミットの失敗を回避するには、[フロー>> TCP セッション] の [グローバル オプション] で [シーケンス番号チェック] をオフにします。

SYNフラグチェック

ポリシー ルール レベルでセッションを作成する前に、TCP SYN ビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバル レベルで行われます。コミットの失敗を回避するには、[グローバル オプション] の [フロー> TCP セッション] > SYN フラグ チェックをオフにします。

スケジュール

スケジュール

[スケジュール(Schedule)] をクリックし、リストから設定済みのスケジュールの 1 つを選択します。

新しいスケジュールを追加するには、[ 新しいスケジュールの追加] をクリックします。[新しいスケジュールの追加] ページが表示されます。新しいスケジュールの作成について詳しくは、 表 4 を参照してください。

表 2: [アドレスの作成] ページのフィールド

フィールド

アクション

名前

アドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは使用できません。最大 63 文字です。

IPタイプ

IPv4 または IPv6 を選択します。

IPv4

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネット マスクを入力します。

IPv6

IPv6アドレス

有効な IPv6 アドレスを入力します。

サブネット プレフィックス

IPv6 アドレスのサブネット プレフィックスを入力します。

表 3: [サービスの作成] ページのフィールド

フィールド

アクション

グローバル設定

名前

アプリケーションの一意の名前を入力します。

説明

アプリケーションの説明を入力します。

アプリケーションプロトコル

アプリケーションプロトコルのリストからオプションを選択します。

IPプロトコルに一致

IP プロトコルに一致するオプションをリストから選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMP タイプ

[ICMP メッセージ タイプ] のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPC プログラム番号

RPC プログラム番号の値を入力します。

値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0 から 65535 までの整数です。

非アクティブ タイムアウト

アプリケーション固有の非アクティブタイムアウトのリストからオプションを選択します。

Uuid

DCE RPC オブジェクトの値を入力します。

メモ:

値の形式は、12345678-1234-1234-1234-123456789012 である必要があります。

カスタムアプリケーショングループ

リストからアプリケーションセット名を選択します。

用語

[+] をクリックします。「用語の作成」ページが表示されます。

名前

用語の名前を入力します。

Alg

ALG のリストからオプションを選択します。

IPプロトコルに一致

IP プロトコルに一致するオプションをリストから選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMP タイプ

[ICMP メッセージ タイプ] のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPC プログラム番号

RPC プログラム番号の値を入力します。

メモ:

値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0 から 65535 までの整数です。

非アクティブ タイムアウト

アプリケーション固有の非アクティブタイムアウトのリストからオプションを選択します。

Uuid

DCE RPC オブジェクトの値を入力します。

メモ:

値の形式は、12345678-1234-1234-1234-123456789012 である必要があります。

表 4: [新しいスケジュールの追加] ページのフィールド

フィールド

アクション

名前

スケジュールの名前を入力します。

説明

スケジュールの説明を入力します。

繰り返し

リストからオプションを選択して、スケジュールを繰り返します。

  • ぜんぜん

  • 毎日

  • 毎 週

終日

終日のイベントをスケジュールするには、このオプションを有効にします。

このオプションは、[なし]および[毎日繰り返し]タイプのスケジュールでのみ使用できます。

開始日

スケジュール開始日を YYYY-MM-DD 形式で選択します。

このオプションは、[タイプ集計表を繰り返さない]でのみ使用できます。

停止日

スケジュール停止日を YYYY-MM-DD 形式で選択します。

このオプションは、[タイプ集計表を繰り返さない]でのみ使用できます。

開始時間

スケジュールの開始時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

停止時間

スケジュールの終了時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

繰り返す

スケジュールを繰り返す日時を選択します。

選択した日の時間を設定するには:

  1. [ 時刻を設定 ] または [ 時刻を選択した日に設定] をクリックします。

    [選択した日数に時間を設定する] ページが表示されます。

  2. 次の詳細を入力します。

    • 名前 - 選択した曜日が表示されます。

    • [終日] - このオプションを有効にすると、イベントが終日実行されます。

    • 開始時刻 - 開始時刻を HH:MM:SS 24 時間形式で入力します。

    • 停止時間 - 停止時間を HH:MM:SS 24 時間形式で入力します。

  3. [ OK ] をクリックして変更を保存します。

このオプションは、週単位の繰り返しタイプの集計表でのみ使用できます。

スケジュール基準

次のいずれかのオプションを選択します。

  • [スケジュールを停止しない(Schedule Never Stops)]:スケジュールは永久に(繰り返し)アクティブにできますが、これは日単位または週単位のスケジュールで指定されたとおりに限られます。

  • スケジュール指定ウィンドウ - スケジュールは、開始日と終了日で指定した 1 つの時間帯にアクティブにすることができます。

    次の詳細を入力します。

    • [スケジュールの開始] - スケジュールの開始日を YYYY-MM-DD 形式で入力します。

    • スケジュールの終了 - スケジュールの開始日を YYYY-MM-DD 形式で入力します。

このオプションは、毎日および毎週の繰り返しタイプのスケジュールでのみ使用できます。