セキュリティ ポリシーにルールを追加する
ここにいる: セキュリティポリシー & オブジェクト > セキュリティポリシー。
セキュリティ ポリシー ルールで Content Security ポリシーと AppQoS プロファイルを参照するには、必要に応じてセキュリティ ポリシー ルールを作成または編集する前に、Content Security ポリシーおよび AppQoS プロファイルを作成します。コンテンツセキュリティポリシーを作成するには、 セキュリティサービス > コンテンツセキュリティ > コンテンツセキュリティポリシー にアクセスし、AppQoSプロファイルを作成するには、 ネットワーク > アプリケーションQoSにアクセスしてください。
セキュリティ ポリシーにルールを追加するには、以下の手順に示します。
フィールド |
アクション |
---|---|
ルール名 |
新しいルールまたはポリシーの名前を入力します。 |
ルールの説明 |
セキュリティ ポリシーの説明を入力します。 |
グローバル ポリシー |
定義されたポリシーがグローバル ポリシーであり、ゾーンは不要であることを指定するには、このオプションを有効にします。 |
ソース ゾーン |
ソースを追加するには、
|
宛先ゾーン |
宛先を追加するには、以下の手順に示します。
|
アクション |
トラフィックが条件に一致したときに実行するアクションを選択します。
|
高度なサービス [ +] をクリックします。[高度なサービスの選択] ページが表示されます。
メモ:
|
|
SSL プロキシー |
このルールに関連付ける SSL プロキシー・ポリシーをリストから選択します。 |
コンテンツセキュリティ |
このルールに関連付けるコンテンツ セキュリティ ポリシーを一覧から選択します。このリストには、使用可能なすべてのコンテンツ セキュリティ ポリシーが表示されます。 新しいコンテンツ セキュリティ ポリシーを作成する場合は、[ 新規追加] をクリックします。[コンテンツ セキュリティ ポリシーの作成] ページが表示されます。新しいコンテンツ セキュリティ ポリシーの作成の詳細については、「 コンテンツ セキュリティ ポリシーの作成」を参照してください。 |
IPS ポリシー |
リストから IPS ポリシーを選択します。 |
脅威防御ポリシー |
リストから、構成済みの脅威防御ポリシーを選択します。 |
ICAP リダイレクト プロファイル |
構成した ICAP リダイレクト プロファイル名をリストから選択します。 |
AAMW |
セキュリティ ポリシーに関連付ける一覧からアンチマルウェア プロファイルを選択します。
メモ:
Junos OS 22.2R1 リリース以降、アンチマルウェア プロファイルをセキュリティ ポリシーに関連付けることができます。 |
SecIntel プロファイル グループ |
セキュリティ ポリシーに関連付けるリストから SecIntel プロファイル グループを選択します。
メモ:
Junos OS 22.2R1 リリース以降、SecIntel プロファイル グループをセキュリティ ポリシーに関連付けることができます。 |
IPsec VPN |
リストから IPsec VPN トンネルを選択します。
メモ:
宛先で [動的アプリケーション] を選択した場合、IPsec VPN オプションはサポートされません。 |
ペアポリシー名 |
ペアポリシーを作成するには、反対方向に同じIPsec VPNを持つポリシーの名前を入力します。
メモ:
宛先で [動的アプリケーション] を選択した場合、ポリシー名のペア オプションはサポートされません。 |
アプリケーション QoS プロファイル |
構成した AppQoS プロファイルをリストから選択します。 新しい AppQoS プロファイルを作成する場合は、「 新規追加」をクリックします。[AppQoS プロファイルの追加] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、「 アプリケーション QoS プロファイルの追加」を参照してください。 |
脅威プロファイリング |
Juons OS リリース 21.4R1 以降、このオプションを有効にして脅威プロファイリング フィードを生成できるようになりました。
メモ:
フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。コマンド 脅威フィードには、送信元アドレスと宛先アドレス、送信元と宛先のIDを追加できます。フィードが生成された後、フィードを使用して指定されたトラフィックに一致させ、ポリシーアクションを実行するように他のセキュリティポリシーを設定できます。
|
パケット キャプチャ |
セキュリティ ポリシー ルールに固有の未知のアプリケーション トラフィックをキャプチャできるようにします。 デフォルトでは、このオプションは無効になっています。有効にすると、パケット キャプチャ(PCAP)ファイルの詳細を表示するか、[ セッションの監視 > ログ > セッション ] ページで PCAP ファイルをダウンロードできます。 |
ルール オプション [ ルール オプション] をクリックします。[ルール オプションの選択] ページが表示されます。 |
|
ログ | |
セッション開始 |
セッション作成時にイベントをログに記録するには、このオプションを有効にします。 |
セッション終了 |
セッションが閉じたときにイベントをログに記録するには、このオプションを有効にします。 |
カウント |
このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット、バイト、およびセッション数の統計を収集できます。 統計カウントを指定します。トラフィックが指定されたパケットとバイトのしきい値を超えるたびにアラームがトリガーされます。
メモ:
[有効にするカウント] が有効になっていない場合、アラームしきい値フィールドは無効になります。 |
認証
メモ:
|
|
JIMS への認証エントリのプッシュ |
認証が成功した状態のファイアウォール認証からJuniper Identity Management Server(JIMS)に認証エントリーをプッシュするには、このオプションを有効にします。これにより、SRX シリーズ ファイアウォールが JIMS に問い合わせ、IP/ユーザー マッピングとデバイス情報を取得できます。 これは必須オプションではありません。ローカル Active Directory で少なくとも 1 つのドメインが構成されている場合、または ID 管理を構成する場合に選択できます。 |
型 |
リストからファイアウォール認証タイプを選択します。使用可能なオプションは、なし、パススルー、ユーザー ファイアウォール、Web 認証です。 |
アクセス プロファイル |
リストからアクセス プロファイルを選択します。
メモ:
このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。 |
クライアント名 |
クライアント ユーザー名またはクライアント ユーザー グループ名を入力します。
メモ:
このオプションは、認証タイプをユーザーファイアウォールとして選択した場合はサポートされません。 |
ドメイン |
リストからクライアント名に含まれている必要があるドメイン名を選択します。
メモ:
このオプションは、認証タイプをユーザーファイアウォールとして選択した場合にのみサポートされます。 |
Webリダイレクト(http) |
クライアントシステムにリダイレクトHTTP応答を送信して、ユーザー認証のためにWebサーバーに再接続することで、デバイスの内部WebサーバーにHTTPリクエストをリダイレクトするには、このオプションを有効にします。
メモ:
このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。 |
キャプティブ ポータル |
クライアント HTTP または HTTPS 要求をデバイスの内部 HTTPS Web サーバーにリダイレクトするには、このオプションを有効にします。SSL終端プロファイルが設定されている場合、HTTPSクライアント要求はリダイレクトされます。
メモ:
このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。 |
インターフェイス |
クライアント HTTP または HTTPS 要求がリダイレクトされる Web サーバーのインターフェイスを選択します。
メモ:
ポリシーが作成されると、これを編集することはできません。インターフェイスを編集するには、 ネットワーク > 接続 >インターフェイスに移動 します。 |
IPv4 アドレス |
クライアント HTTP または HTTPS 要求がリダイレクトされる Web サーバーの IPv4 アドレスを入力します。
メモ:
ポリシーが作成されると、これを編集することはできません。インターフェイスを編集するには、 ネットワーク > 接続 >インターフェイスに移動 します。 |
SSL 終端プロファイル |
SSL 終端接続設定が含まれているリストから SSL 終端プロファイルを選択します。SSL 終端は、SRX シリーズ ファイアウォールが SSL プロキシー サーバーとして機能し、クライアントからの SSL セッションを終了するプロセスです。 新しい SSL 終端プロファイルを追加するには、以下の手順に示します。 |
認証専用ブラウザー |
このオプションを有効にすると、ブラウザー以外の HTTP トラフィックをドロップして、ブラウザーを使用してアクセスを要求する認証されていないユーザーにキャプティブ ポータルを表示できます。
メモ:
このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。 |
ユーザーエージェント |
ユーザーのブラウザートラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるユーザーエージェント値を入力します。
メモ:
このオプションは、認証タイプを Web 認証として選択した場合はサポートされません。 |
詳細設定 | |
宛先アドレス変換 |
リストから宛先アドレス変換に対して実行するアクションを選択します。使用可能なオプションは、「なし」、「変換済みドロップ」、および「変換されていないドロップ」です。 |
リダイレクト オプション |
リストからリダイレクトアクションを選択します。使用可能なオプションは、なし、リダイレクト Wx、および逆リダイレクト Wx です。
メモ:
このオプションは、SRX5000シリーズのデバイスではサポートされていません。 |
TCP セッション オプション | |
シーケンス番号のチェック |
ポリシー ルール レベルでのステートフル インスペクション中に、TCP セグメントのシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミット失敗を回避するには、グローバルオプション>フロー>TCPセッションのシーケンス番号チェックをオフにします。 |
SYN フラグ チェック |
ポリシー ルール レベルでセッションを作成する前に、TCP SYN ビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミット失敗を回避するには、グローバルオプション>フロー>TCPセッションの下でSYNフラグチェックをオフにします。 |
スケジュール | |
スケジュール |
[ スケジュール ] をクリックし、構成済みのスケジュールのいずれかをリストから選択します。 新しいスケジュールを追加するには、 新しいスケジュールの追加をクリックします。[新しいスケジュールの追加] ページが表示されます。新しいスケジュールの作成の詳細については、 表 4 を参照してください。 |
フィールド |
アクション |
---|---|
名前 |
アドレスの名前を入力します。名前は、英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列でなければなりません。スペースは使用できません。最大63文字。 |
IP タイプ |
[IPv4] または [IPv6] を選択します。 |
IPv4 | |
IPv4 アドレス |
有効な IPv4 アドレスを入力します。 |
サブネット |
IPv4アドレスのサブネットマスクを入力します。 |
IPv6 | |
IPv6 アドレス |
有効な IPv6 アドレスを入力します。 |
サブネットプレフィックス |
IPv6 アドレスのサブネット プレフィックスを入力します。 |
フィールド |
アクション |
---|---|
グローバル設定 | |
名前 |
アプリケーションの一意の名前を入力します。 |
説明 |
アプリケーションの説明を入力します。 |
アプリケーション プロトコル |
アプリケーション プロトコルのリストからオプションを選択します。 |
IP プロトコルを照合 |
IP プロトコルに一致させるオプションをリストから選択します。 |
送信元ポート |
送信元ポートのリストからオプションを選択します。 |
宛先ポート |
宛先ポートのリストからオプションを選択します。 |
ICMP タイプ |
ICMP メッセージ タイプのリストからオプションを選択します。 |
ICMP コード |
ICMP メッセージ コードのリストからオプションを選択します。 |
RPC プログラム番号 |
RPC プログラム番号の値を入力します。 値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0~65535 の整数です。 |
非アクティブタイムアウト |
アプリケーション固有の非アクティブタイムアウトに関するオプションをリストから選択します。 |
Uuid |
DCE RPC オブジェクトの値を入力します。
メモ:
値の形式は12345678-1234-1234-1234-123456789012でなければなりません。 |
カスタム アプリケーション グループ |
リストからアプリケーション セット名を選択します。 |
用語 [ +] をクリックします。[用語の作成] ページが表示されます。 |
|
名前 |
条件の名前を入力します。 |
Alg |
ALG のリストからオプションを選択します。 |
IP プロトコルを照合 |
IP プロトコルに一致させるオプションをリストから選択します。 |
送信元ポート |
送信元ポートのリストからオプションを選択します。 |
宛先ポート |
宛先ポートのリストからオプションを選択します。 |
ICMP タイプ |
ICMP メッセージ タイプのリストからオプションを選択します。 |
ICMP コード |
ICMP メッセージ コードのリストからオプションを選択します。 |
RPC プログラム番号 |
RPC プログラム番号の値を入力します。
メモ:
値の形式は W または X-Y である必要があります。ここで、W、X、および Y は 0~65535 の整数です。 |
非アクティブタイムアウト |
アプリケーション固有の非アクティブタイムアウトに関するオプションをリストから選択します。 |
Uuid |
DCE RPC オブジェクトの値を入力します。
メモ:
値の形式は12345678-1234-1234-1234-123456789012でなければなりません。 |
フィールド |
アクション |
---|---|
名前 |
スケジュールの名前を入力します。 |
説明 |
スケジュールの説明を入力します。 |
繰り返し |
スケジュールを繰り返す場合は、リストからオプションを選択します。
|
終日 |
1 日のイベントをスケジュールするには、このオプションを有効にします。 このオプションは、「なし」と「毎日繰り返し」のタイプのスケジュールでのみ使用できます。 |
開始日 |
スケジュール開始日を YYY-MM-DD 形式で選択します。 このオプションは、[繰り返しタイプのスケジュールなし]の場合にのみ使用できます。 |
終了日 |
スケジュールの終了日を YYY-MM-DD 形式で選択します。 このオプションは、[繰り返しタイプのスケジュールなし]の場合にのみ使用できます。 |
開始時間 |
スケジュールの開始時間を HH:MM:SS 24 時間形式で入力します。 このオプションは、日次繰り返しタイプスケジュールでのみ使用できます。 |
停止時間 |
スケジュールの終了時間を HH:MM:SS 24 時間形式で入力します。 このオプションは、日次繰り返しタイプスケジュールでのみ使用できます。 |
を繰り返す |
スケジュールを繰り返す日と時間を選択します。 選択した曜日の時間を設定するには、
このオプションは、週ごとの繰り返しタイプスケジュールでのみ使用できます。 |
スケジュール基準 |
以下のいずれかのオプションを選択します。
このオプションは、日次および週繰り返しタイプのスケジュールでのみ使用できます。 |