Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ ポリシーにルールを追加する

ここにいる: セキュリティポリシー & オブジェクト > セキュリティポリシー

メモ:

セキュリティ ポリシー ルールで Content Security ポリシーと AppQoS プロファイルを参照するには、必要に応じてセキュリティ ポリシー ルールを作成または編集する前に、Content Security ポリシーおよび AppQoS プロファイルを作成します。コンテンツセキュリティポリシーを作成するには、 セキュリティサービス > コンテンツセキュリティ > コンテンツセキュリティポリシー にアクセスし、AppQoSプロファイルを作成するには、 ネットワーク > アプリケーションQoSにアクセスしてください。

セキュリティ ポリシーにルールを追加するには、以下の手順に示します。

  1. [セキュリティ ポリシー] ページの右上にある [+ ] をクリックします。

    インラインで編集可能なフィールドが表示されます。

  2. 表 1 に示すガイドラインに従って、設定を完了します。
  3. 設定が完了したら、行の右上にあるティックアイコンをクリックします。
    メモ:

    インラインティックとキャンセルアイコンが新しいルールの作成時に使用できない場合は、水平バーに戻ります。
  4. [ 保存 ] をクリックして変更を保存するか、または [ 破棄 ] をクリックして変更を破棄します。
    メモ:

    J-Web UI でそれ以上のアクションを実行する前に、ステップ 3 とステップ 4 を実行する必要があります。
表 1: [セキュリティ ポリシー] ページのフィールド

フィールド

アクション

ルール名

新しいルールまたはポリシーの名前を入力します。

ルールの説明

セキュリティ ポリシーの説明を入力します。

グローバル ポリシー

定義されたポリシーがグローバル ポリシーであり、ゾーンは不要であることを指定するには、このオプションを有効にします。

ソース ゾーン

ソースを追加するには、

  1. [ +] をクリックします。

    [ソースの選択] ページが表示されます。

  2. 以下の詳細を入力します。

    • ゾーン — ルールを関連付けるソース ゾーンをリストから選択します。

    • アドレス — 任意または特定選択します。

      メモ:

      • IP フィードを選択して、ポリシーの一致条件を定義できます。また、新しいタイプ列に送信元タイプ(アドレス、アドレス グループ、ワイルドカード、範囲、IP フィード)を表示できます。

      • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド request services security-intelligence download、 を使用してフィードをダウンロードすることもできます。

      特定のアドレスまたは IP フィードを選択するには、[使用可能] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。[選択したアドレスの 除外 ] を選択すると、選択したアドレスのみをリストから除外できます。

      新しいアドレスを作成するには、 +をクリックします。[アドレスの作成] ページが表示されます。フィールドの詳細については、 表 2 を参照してください。

    • [ソース ID] - [使用可能] 列からユーザー ID を選択し、右矢印をクリックして選択した列に移動します。

      ソース ID を作成するには、 +をクリックします。[ソース アイデンティティの作成] ページに新しいユーザー名または ID を入力し、[ OK] をクリック します

    • 送信元 ID フィード — ユーザー ID 脅威フィードを選択して、ポリシーの一致条件を定義できます。

      [使用可能] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして選択した列に移動します。

      最大ユーザー ID 脅威フィード数は 1024 です。つまり、ポリシーごとの送信元 ID フィードと宛先 ID フィードの合計です。

      メモ:

      フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド request services security-intelligence download、 を使用してフィードをダウンロードすることもできます。

宛先ゾーン

宛先を追加するには、以下の手順に示します。

  1. [ +] をクリックします。

    [宛先の選択] ページが表示されます。

  2. 以下の詳細を入力します。

    • ゾーン — ルールを関連付けるリストから宛先ゾーンを選択します。

    • アドレス — 任意または特定選択します。

      メモ:

      • IP フィードを選択して、ポリシーの一致条件を定義できます。また、新しいタイプ列に送信元タイプ(アドレス、アドレス グループ、ワイルドカード、範囲、IP フィード)を表示できます。

      • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド request services security-intelligence download、 を使用してフィードをダウンロードすることもできます。

      特定のアドレスまたは IP フィードを選択するには、[使用可能] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み] 列に移動します。[選択したアドレスの 除外 ] を選択すると、選択したアドレスのみをリストから除外できます。

      新しいアドレスを作成するには、 +をクリックします。フィールドの詳細については、 表 2 を参照してください。

    • 動的アプリケーション任意特定、または [なし] を選択します。

      メモ:

      [動的アプリケーション] オプションはテナントではサポートされていません。

      特定のアプリケーションを選択するには、[使用可能] 列からアプリケーションを選択し、右矢印をクリックして [選択済み] 列に移動します。

      メモ:

      [すべて選択] チェック ボックスは、特定の動的アプリケーションを検索する場合にのみ使用できます。

      新しいアプリケーションを作成するには、 +をクリックします。[アプリケーション署名の作成] ページが表示されます。フィールドの詳細については、「 アプリケーション署名の追加」を参照してください。

      メモ:

      論理システムの場合、動的アプリケーションインラインを作成することはできません。

    • サービス任意特定、または [なし] を選択します。

      特定のサービスを選択するには、[使用可能] 列からサービスを選択し、右矢印をクリックして [選択済み] 列に移動します。

      新しいサービスを作成するには、 +をクリックします。[サービスの作成] ページが表示されます。フィールドの詳細については、 表 3 を参照してください。

    • URL カテゴリ — Web フィルタリング カテゴリ 条件を一致させる任意、 特定、または [なし] を選択します。

      特定の URL カテゴリを選択するには、[使用可能] 列から URL カテゴリを選択し、右矢印をクリックして [選択済み] 列に移動します。

      メモ:

      このオプションは、論理システムとテナントでは使用できません。

    • 宛先 ID フィード — ユーザー ID 脅威フィードを選択して、ポリシーの一致条件を定義できます。

      [使用可能] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして選択した列に移動します。

      最大ユーザー ID 脅威フィード数は 1024 です。つまり、ポリシーごとの送信元 ID フィードと宛先 ID フィードの合計です。

      メモ:

      フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド request services security-intelligence download、 を使用してフィードをダウンロードすることもできます。

アクション

トラフィックが条件に一致したときに実行するアクションを選択します。

  • 許可—パケットがファイアウォールを通過することを許可します。

  • 拒否 — パケットをブロックしてドロップしますが、送信元に通知を送り返すことはありません。

  • 拒否 — パケットをブロックしてドロップし、送信元ホストに通知を送信します。
高度なサービス

[ +] をクリックします。[高度なサービスの選択] ページが表示されます。

メモ:

  • アクションが Reject の場合:

    • SSLプロキシーとリダイレクト・プロファイルのオプションのみを設定できます。

    • 動的アプリケーションが「なし」の場合は、SSL プロキシー・オプションのみを構成できます。

    • 高度なセキュリティ オプションは、論理システムとテナントではサポートされていません。

  • アクションが許可されている場合:

    • 論理システムでは、IPS、IPS ポリシー、コンテンツ セキュリティ、脅威防御ポリシー、ICAP リダイレクト プロファイル、AppQOS オプションのみがサポートされます。

    • テナントシステムでは、脅威防御ポリシーとAppQOSのみがサポートされます。

SSL プロキシー

このルールに関連付ける SSL プロキシー・ポリシーをリストから選択します。

コンテンツセキュリティ

このルールに関連付けるコンテンツ セキュリティ ポリシーを一覧から選択します。このリストには、使用可能なすべてのコンテンツ セキュリティ ポリシーが表示されます。

新しいコンテンツ セキュリティ ポリシーを作成する場合は、[ 新規追加] をクリックします。[コンテンツ セキュリティ ポリシーの作成] ページが表示されます。新しいコンテンツ セキュリティ ポリシーの作成の詳細については、「 コンテンツ セキュリティ ポリシーの作成」を参照してください。

IPS ポリシー

リストから IPS ポリシーを選択します。

脅威防御ポリシー

リストから、構成済みの脅威防御ポリシーを選択します。

ICAP リダイレクト プロファイル

構成した ICAP リダイレクト プロファイル名をリストから選択します。

AAMW

セキュリティ ポリシーに関連付ける一覧からアンチマルウェア プロファイルを選択します。

メモ:

Junos OS 22.2R1 リリース以降、アンチマルウェア プロファイルをセキュリティ ポリシーに関連付けることができます。

SecIntel プロファイル グループ

セキュリティ ポリシーに関連付けるリストから SecIntel プロファイル グループを選択します。

メモ:

Junos OS 22.2R1 リリース以降、SecIntel プロファイル グループをセキュリティ ポリシーに関連付けることができます。

IPsec VPN

リストから IPsec VPN トンネルを選択します。

メモ:

宛先で [動的アプリケーション] を選択した場合、IPsec VPN オプションはサポートされません。

ペアポリシー名

ペアポリシーを作成するには、反対方向に同じIPsec VPNを持つポリシーの名前を入力します。

メモ:

宛先で [動的アプリケーション] を選択した場合、ポリシー名のペア オプションはサポートされません。

アプリケーション QoS プロファイル

構成した AppQoS プロファイルをリストから選択します。

新しい AppQoS プロファイルを作成する場合は、「 新規追加」をクリックします。[AppQoS プロファイルの追加] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、「 アプリケーション QoS プロファイルの追加」を参照してください。

脅威プロファイリング

Juons OS リリース 21.4R1 以降、このオプションを有効にして脅威プロファイリング フィードを生成できるようになりました。

メモ:

フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド request services security-intelligence download、 を使用してフィードをダウンロードすることもできます。

脅威フィードには、送信元アドレスと宛先アドレス、送信元と宛先のIDを追加できます。フィードが生成された後、フィードを使用して指定されたトラフィックに一致させ、ポリシーアクションを実行するように他のセキュリティポリシーを設定できます。

  • フィードに送信元 IP を追加 — リストから脅威フィードを選択して、送信元 IP アドレスに追加します。

  • フィードに送信元 ID を追加 — 一覧から脅威フィードを選択して、送信元ユーザー ID に追加します。

  • フィードに宛先 IP を追加 — リストから脅威フィードを選択して、宛先 IP アドレスに追加します。

  • フィードに宛先 ID を追加 — リストから脅威フィードを選択して、宛先ユーザー ID に追加します。

パケット キャプチャ

セキュリティ ポリシー ルールに固有の未知のアプリケーション トラフィックをキャプチャできるようにします。

デフォルトでは、このオプションは無効になっています。有効にすると、パケット キャプチャ(PCAP)ファイルの詳細を表示するか、[ セッションの監視 > ログ > セッション ] ページで PCAP ファイルをダウンロードできます。
ルール オプション

[ ルール オプション] をクリックします。[ルール オプションの選択] ページが表示されます。
ログ

セッション開始

セッション作成時にイベントをログに記録するには、このオプションを有効にします。

セッション終了

セッションが閉じたときにイベントをログに記録するには、このオプションを有効にします。

カウント

このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット、バイト、およびセッション数の統計を収集できます。

統計カウントを指定します。トラフィックが指定されたパケットとバイトのしきい値を超えるたびにアラームがトリガーされます。

メモ:

[有効にするカウント] が有効になっていない場合、アラームしきい値フィールドは無効になります。

認証
メモ:

  • 宛先で [動的アプリケーション] を選択した場合、認証オプションはサポートされません。

  • このオプションは、論理システムおよびテナント システムではサポートされていません。

JIMS への認証エントリのプッシュ

認証が成功した状態のファイアウォール認証からJuniper Identity Management Server(JIMS)に認証エントリーをプッシュするには、このオプションを有効にします。これにより、SRX シリーズ ファイアウォールが JIMS に問い合わせ、IP/ユーザー マッピングとデバイス情報を取得できます。

これは必須オプションではありません。ローカル Active Directory で少なくとも 1 つのドメインが構成されている場合、または ID 管理を構成する場合に選択できます。

リストからファイアウォール認証タイプを選択します。使用可能なオプションは、なし、パススルー、ユーザー ファイアウォール、Web 認証です。

アクセス プロファイル

リストからアクセス プロファイルを選択します。

メモ:

このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。

クライアント名

クライアント ユーザー名またはクライアント ユーザー グループ名を入力します。

メモ:

このオプションは、認証タイプをユーザーファイアウォールとして選択した場合はサポートされません。

ドメイン

リストからクライアント名に含まれている必要があるドメイン名を選択します。

メモ:

このオプションは、認証タイプをユーザーファイアウォールとして選択した場合にのみサポートされます。

Webリダイレクト(http)

クライアントシステムにリダイレクトHTTP応答を送信して、ユーザー認証のためにWebサーバーに再接続することで、デバイスの内部WebサーバーにHTTPリクエストをリダイレクトするには、このオプションを有効にします。

メモ:

このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。

キャプティブ ポータル

クライアント HTTP または HTTPS 要求をデバイスの内部 HTTPS Web サーバーにリダイレクトするには、このオプションを有効にします。SSL終端プロファイルが設定されている場合、HTTPSクライアント要求はリダイレクトされます。

メモ:

このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。

インターフェイス

クライアント HTTP または HTTPS 要求がリダイレクトされる Web サーバーのインターフェイスを選択します。

メモ:

ポリシーが作成されると、これを編集することはできません。インターフェイスを編集するには、 ネットワーク > 接続 >インターフェイスに移動 します

IPv4 アドレス

クライアント HTTP または HTTPS 要求がリダイレクトされる Web サーバーの IPv4 アドレスを入力します。

メモ:

ポリシーが作成されると、これを編集することはできません。インターフェイスを編集するには、 ネットワーク > 接続 >インターフェイスに移動 します

SSL 終端プロファイル

SSL 終端接続設定が含まれているリストから SSL 終端プロファイルを選択します。SSL 終端は、SRX シリーズ ファイアウォールが SSL プロキシー サーバーとして機能し、クライアントからの SSL セッションを終了するプロセスです。

新しい SSL 終端プロファイルを追加するには、以下の手順に示します。

  1. [ 追加] をクリックします。

    [SSL 終端プロファイルの作成] ページが表示されます。

  2. 以下の詳細を入力します。

    • 名前 — SSL 終端プロファイル名を入力します。最大63文字。

    • サーバー証明書 — サーバー ID の認証に使用するサーバー証明書を一覧から選択します。

      証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。

      証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。

認証専用ブラウザー

このオプションを有効にすると、ブラウザー以外の HTTP トラフィックをドロップして、ブラウザーを使用してアクセスを要求する認証されていないユーザーにキャプティブ ポータルを表示できます。

メモ:

このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。

ユーザーエージェント

ユーザーのブラウザートラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるユーザーエージェント値を入力します。

メモ:

このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。
詳細設定

宛先アドレス変換

リストから宛先アドレス変換に対して実行するアクションを選択します。使用可能なオプションは、「なし」、「変換済みドロップ」、および「変換されていないドロップ」です。

リダイレクト オプション

リストからリダイレクトアクションを選択します。使用可能なオプションは、なし、リダイレクト Wx、および逆リダイレクト Wx です。

メモ:

このオプションは、SRX5000シリーズのデバイスではサポートされていません。
TCP セッション オプション

シーケンス番号のチェック

ポリシー ルール レベルでのステートフル インスペクション中に、TCP セグメントのシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミット失敗を回避するには、グローバルオプション>フロー>TCPセッションシーケンス番号チェックをオフにします。

SYN フラグ チェック

ポリシー ルール レベルでセッションを作成する前に、TCP SYN ビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミット失敗を回避するには、グローバルオプション>フロー>TCPセッションの下でSYNフラグチェックをオフにします。
スケジュール

スケジュール

[ スケジュール ] をクリックし、構成済みのスケジュールのいずれかをリストから選択します。

新しいスケジュールを追加するには、 新しいスケジュールの追加をクリックします。[新しいスケジュールの追加] ページが表示されます。新しいスケジュールの作成の詳細については、 表 4 を参照してください。
表 2: [住所の作成] ページのフィールド

フィールド

アクション

名前

アドレスの名前を入力します。名前は、英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列でなければなりません。スペースは使用できません。最大63文字。

IP タイプ

[IPv4] または [IPv6] を選択します
IPv4

IPv4 アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4アドレスのサブネットマスクを入力します。
IPv6

IPv6 アドレス

有効な IPv6 アドレスを入力します。

サブネットプレフィックス

IPv6 アドレスのサブネット プレフィックスを入力します。
表 3: [サービスの作成] ページのフィールド

フィールド

アクション
グローバル設定

名前

アプリケーションの一意の名前を入力します。

説明

アプリケーションの説明を入力します。

アプリケーション プロトコル

アプリケーション プロトコルのリストからオプションを選択します。

IP プロトコルを照合

IP プロトコルに一致させるオプションをリストから選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMP タイプ

ICMP メッセージ タイプのリストからオプションを選択します。

ICMP コード

ICMP メッセージ コードのリストからオプションを選択します。

RPC プログラム番号

RPC プログラム番号の値を入力します。

値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0~65535 の整数です。

非アクティブタイムアウト

アプリケーション固有の非アクティブタイムアウトに関するオプションをリストから選択します。

Uuid

DCE RPC オブジェクトの値を入力します。

メモ:

値の形式は12345678-1234-1234-1234-123456789012でなければなりません。

カスタム アプリケーション グループ

リストからアプリケーション セット名を選択します。
用語

[ +] をクリックします。[用語の作成] ページが表示されます。

名前

条件の名前を入力します。

Alg

ALG のリストからオプションを選択します。

IP プロトコルを照合

IP プロトコルに一致させるオプションをリストから選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMP タイプ

ICMP メッセージ タイプのリストからオプションを選択します。

ICMP コード

ICMP メッセージ コードのリストからオプションを選択します。

RPC プログラム番号

RPC プログラム番号の値を入力します。

メモ:

値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0~65535 の整数です。

非アクティブタイムアウト

アプリケーション固有の非アクティブタイムアウトに関するオプションをリストから選択します。

Uuid

DCE RPC オブジェクトの値を入力します。

メモ:

値の形式は12345678-1234-1234-1234-123456789012でなければなりません。
表 4: 新しいスケジュールの追加ページのフィールド

フィールド

アクション

名前

スケジュールの名前を入力します。

説明

スケジュールの説明を入力します。

繰り返し

スケジュールを繰り返す場合は、リストからオプションを選択します。

  • ぜんぜん

  • 毎日

  • 毎 週

終日

1 日のイベントをスケジュールするには、このオプションを有効にします。

このオプションは、「なし」と「毎日繰り返し」のタイプのスケジュールでのみ使用できます。

開始日

スケジュール開始日を YYY-MM-DD 形式で選択します。

このオプションは、[繰り返しタイプのスケジュールなし]の場合にのみ使用できます。

終了日

スケジュールの終了日を YYY-MM-DD 形式で選択します。

このオプションは、[繰り返しタイプのスケジュールなし]の場合にのみ使用できます。

開始時間

スケジュールの開始時間を HH:MM:SS 24 時間形式で入力します。

このオプションは、日次繰り返しタイプスケジュールでのみ使用できます。

停止時間

スケジュールの終了時間を HH:MM:SS 24 時間形式で入力します。

このオプションは、日次繰り返しタイプスケジュールでのみ使用できます。

を繰り返す

スケジュールを繰り返す日と時間を選択します。

選択した曜日の時間を設定するには、

  1. [ 時間の設定 ] または [ 選択した日に時間を設定] をクリックします。

    [選択した日数に時間を設定] ページが表示されます。

  2. 以下の詳細を入力します。

    • 名前 — 選択した曜日を表示します。

    • 終日 — このオプションを有効にすると、イベントを 1 日の間実行できます。

    • 開始時間 — HH:MM:SS 24 時間形式で開始時間を入力します。

    • 停止時間 — 停止時間を HH:MM:SS 24 時間形式で入力します。

  3. [ OK] を クリックして変更を保存します。

このオプションは、週ごとの繰り返しタイプスケジュールでのみ使用できます。

スケジュール基準

以下のいずれかのオプションを選択します。

  • 停止しないスケジュール — スケジュールは、毎日または毎週のスケジュールで指定されているとおりに限り、永遠にアクティブ(繰り返し)できます。

  • [スケジュールの指定ウィンドウ] - 開始日と終了日で指定されたとおり、1 つのタイム スロットでスケジュールをアクティブにできます。

    以下の詳細を入力します。

    • スケジュール開始 — スケジュール開始日を YYYY-MM-DD 形式で入力します。

    • [スケジュール終了] — スケジュールの開始日を YYYY-MM-DD 形式で入力します。

このオプションは、日次および週繰り返しタイプのスケジュールでのみ使用できます。

関連ドキュメント