セキュリティポリシーにルールを追加する

ルール名

新しいルールまたはポリシーの名前を入力します。

ルールの説明

セキュリティ ポリシーの説明を入力します。

グローバルポリシー

このオプションを有効にすると、定義されたポリシーがグローバルポリシーであり、ゾーンが不要であることが指定されます。

送信元ゾーン

ソースを追加するには:

1. [+] をクリックします。

   [ソースの選択(Select Sources)] ページが表示されます。

2. 次の詳細を入力します。

   • [ゾーン(Zone)]:ルールを関連付ける送信元ゾーンをリストから選択します。

   • [アドレス(Addresses)]: [任意(Any )] または [特定(Specific)] を選択します。

     手記：

     • IP フィードを選択して、ポリシーのポリシーの一致基準を定義できます。また、送信元タイプ(アドレス、アドレスグループ、ワイルドカード、範囲、IPフィード)を新しい[タイプ]列に表示できます。

     • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

     特定のアドレスまたは IP フィードを選択するには、[使用可能(Available)] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み(Selected)] 列に移動します。[ 選択項目を除外(Exclude Selected )] を選択すると、選択したアドレスのみをリストから除外できます。

     新しいアドレスを作成するには、[ +] をクリックします。[アドレスの作成] ページが表示されます。フィールドの詳細については、 表 2 を参照してください。

   • [送信元 ID(Source ID)]:[使用可能(Available)] 列からユーザー ID を選択し、右矢印をクリックして [選択済み(Selected)] 列に移動します。

     ソース ID を作成するには、[ +] をクリックします。「ソース・アイデンティティの作成」ページに新しいユーザー名またはIDを入力し、「 OK」をクリックします。

   • 送信元アイデンティティフィード—ユーザーアイデンティティ脅威フィードを選択して、ポリシーのポリシーの一致基準を定義できます。

     [使用可能(Available)] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして [選択済み(Selected)] 列に移動します。

     ユーザー ID 脅威フィードの最大数は 1024 です。つまり、ポリシーごとの送信元アイデンティティ フィードと宛先アイデンティティ フィードの合計です。

     手記：

     フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

ゾーンと宛先

宛先を追加するには:

1. [+] をクリックします。

   [Select Destination] ページが表示されます。

2. 次の詳細を入力します。

   • [ゾーン(Zone)]:ルールを関連付ける宛先ゾーンをリストから選択します。

   • [アドレス(Addresses)]: [任意(Any )] または [特定(Specific)] を選択します。

     手記：

     • IP フィードを選択して、ポリシーのポリシーの一致基準を定義できます。また、送信元タイプ(アドレス、アドレスグループ、ワイルドカード、範囲、IPフィード)を新しい[タイプ]列に表示できます。

     • フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

     特定のアドレスまたは IP フィードを選択するには、[使用可能(Available)] 列からアドレスまたは IP フィードを選択し、右矢印をクリックして [選択済み(Selected)] 列に移動します。[ 選択項目を除外(Exclude Selected )] を選択すると、選択したアドレスのみをリストから除外できます。

     新しいアドレスを作成するには、[ +] をクリックします。フィールドの詳細については、 表 2 を参照してください。

   • 動的アプリケーション - [ 任意(Any)]、[ 特定(Specific)]、または [なし(None)] を選択します。

     手記：

     [動的アプリケーション] オプションは、テナントではサポートされていません。

     特定のアプリケーションを選択するには、「使用可能」列からアプリケーションを選択し、右矢印をクリックして「選択済み」列に移動します。

     手記：

     「すべて選択」チェック・ボックスは、特定の動的アプリケーションを検索する場合にのみ使用できます。

     新しいアプリケーションを作成するには、[ +] をクリックします。[アプリケーション シグネチャの作成(Create アプリケーション シグネチャ)] ページが表示されます。フィールドの詳細については、「 アプリケーション署名の追加」を参照してください。

     手記：

     論理システムの場合、動的アプリケーションをインラインで作成することはできません。

   • [サービス( Services)]:[任意(Any)]、[特定( Specific)]、または [なし(None)] を選択します。

     特定のサービスを選択するには、「使用可能」列からサービスを選択し、右矢印をクリックして「選択済み」列に移動します。

     新しいサービスを作成するには、[ +] をクリックします。「サービスの作成」ページが表示されます。フィールドの詳細については、 表 3 を参照してください。

   • [URLカテゴリ()]: [任意(Any)]、[ 特定(Specific)]、または [なし(None )] を選択して、Web フィルタリング カテゴリの基準を一致させます。

     特定の URLカテゴリを選択するには、[使用可能] 列から URLカテゴリを選択し、右矢印をクリックして [選択済み] 列に移動します。

     手記：

     このオプションは、論理システムおよびテナントでは使用できません。

   • 宛先アイデンティティフィード—ユーザアイデンティティ脅威フィードを選択して、ポリシーのポリシーの一致基準を定義できます。

     [使用可能(Available)] 列からユーザー ID 脅威フィードを選択し、右矢印をクリックして [選択済み(Selected)] 列に移動します。

     ユーザー ID 脅威フィードの最大数は 1024 です。つまり、ポリシーごとの送信元アイデンティティ フィードと宛先アイデンティティ フィードの合計です。

     手記：

     フィードは、Juniper ATP Cloudに登録している場合にのみ表示されます。 request services security-intelligence downloadコマンドを使用してフィードをダウンロードすることもできます。

アクション

トラフィックが条件に一致した場合に実行するアクションを選択します。

• [許可(Permit)]:パケットがファイアウォールを通過することを許可します。

• [拒否(Deny)]:パケットをブロックしてドロップしますが、送信元に通知は返送しません。

• 拒否—パケットをブロックしてドロップし、送信元ホストに通知を送信します。

[+] をクリックします。[Select Advanced Services] ページが表示されます。

SSLプロキシー

この規則に関連付ける SSL プロキシー・ポリシーをリストから選択します。

コンテンツセキュリティ

このルールに関連付けるコンテンツセキュリティポリシーをリストから選択します。このリストには、使用可能なすべてのコンテンツセキュリティポリシーが表示されます。

新しいコンテンツ セキュリティ ポリシーを作成する場合は、[ 新規追加] をクリックします。[コンテンツ セキュリティ セキュリティポリシーの作成] ページが表示されます。新しいコンテンツ セキュリティ ポリシーの作成の詳細については、「 コンテンツ セキュリティポリシーを作成する」を参照してください。

IPSポリシー

リストから IPS ポリシーを選択します。

脅威防止ポリシー

リストから設定済みの脅威防御ポリシーを選択します。

ICAP リダイレクト プロファイル

リストから設定済みの ICAP リダイレクト プロファイル名を選択します。

AAMWの

セキュリティポリシーに関連付ける不正プログラム対策プロファイルをリストから選択します。

SecIntelプロファイルグループ

セキュリティ ポリシーに関連付ける SecIntelプロファイルグループをリストから選択します。

IPSec VPN

リストから IPSec VPN トンネルを選択します。

ペア ポリシー名

同じIPSec VPNを持つポリシーの名前を反対方向に入力して、ペアポリシーを作成します。

アプリケーション QoS プロファイル

リストから設定済みの AppQoS プロファイルを選択します。

新しい AppQoS プロファイルを作成する場合は、[ 新規追加(Add New)] をクリックします。[Add AppQoS Profile] ページが表示されます。新しい AppQoS プロファイルの作成の詳細については、「 アプリケーション QoS プロファイルの追加」を参照してください。

脅威プロファイリング

Juons OS Release 21.4R1以降、このオプションを有効にして脅威プロファイリングフィードを生成できるようになりました。

送信元と送信先のアドレス、送信元と送信先の ID を脅威フィードに追加できます。フィードが生成されたら、指定されたトラフィックを照合するフィードを使用してポリシー アクションを実行するように、他のセキュリティ ポリシーを設定できます。

• [送信元 IP をフィードに追加(Add source IP to feed)]:リストから脅威フィードを選択して、送信元 IP アドレスに追加します。

• [送信元 ID をフィードに追加(Add source identity to feed)]:リストから脅威フィードを選択して、送信元ユーザー ID に追加します。

• [フィードに宛先 IP を追加(Add destination IP to feed)]:リストから脅威フィードを選択して、IP アドレスに追加します。

• [フィードに宛先 ID を追加(Add destination identity to feed)]:リストから脅威フィードを選択して、宛先ユーザー ID に追加します。

入力します

セキュリティ ポリシー ルールに固有の不明なアプリケーション トラフィックのキャプチャを有効にします。

デフォルトでは、このオプションは無効になっています。有効にすると、[ Monitor > Log > Sessions ]ページで入力します(PCAP)ファイルの詳細を表示したり、PCAPファイルをダウンロードしたりできます。

[ ルール オプション] をクリックします。[SELECT RULE OPTIONS] ページが表示されます。

セッション開始

このオプションを有効にすると、セッションの作成時にイベントがログに記録されます。

セッション終了

このオプションを有効にすると、セッションの終了時にイベントがログに記録されます。

数える

このオプションを有効にすると、このポリシーでファイアウォールを通過するパケット、バイト、およびセッション数の統計が収集されます。

統計カウントを指定します。トラフィックが指定されたパケットおよびバイトのしきい値を超えると、アラームがトリガーされます。

認証エントリーをJIMSにプッシュ

認証成功状態のファイアウォール認証からJuniper Identity Management Server(JIMS)に認証エントリーをプッシュするには、このオプションを有効にします。これにより、SRXシリーズファイアウォールはJIMSにクエリーを実行して、IP/ユーザーマッピングとデバイス情報を取得できます。

これは必須のオプションではありません。ローカルの Active Directory で少なくとも 1 つのドメインが構成されている場合に選択するか、ID 管理を構成できます。

種類

リストからファイアウォール認証タイプを選択します。使用可能なオプションは、なし、パススルー、ユーザーファイアウォール、およびWeb認証です。

アクセス プロファイル

リストからアクセスプロファイルを選択します。

クライアント名

クライアント・ユーザー名またはクライアント・ユーザー・グループ名を入力します。

ドメイン

クライアント名に含める必要があるドメイン名をリストから選択します。

Web リダイレクト (http)

このオプションを有効にすると、リダイレクトHTTP応答をクライアントシステムに送信してユーザー認証のためにWebサーバーに再接続することで、HTTPリクエストがデバイスの内部Webサーバーにリダイレクトされます。

キャプティブポータル

クライアントのHTTPまたはHTTPS要求をデバイスの内部HTTPS Webサーバーにリダイレクトするには、このオプションを有効にします。HTTPS クライアント要求は、SSL 終端プロファイルが構成されている場合にリダイレクトされます。

インターフェイス

クライアントのHTTPまたはHTTPSリクエストがリダイレクトされるWebサーバーのインターフェイスを選択します。

IPv4アドレス

クライアントのHTTPまたはHTTPS要求がリダイレクトされるWebサーバーのIPv4アドレスを入力します。

SSL ターミネーション プロファイル

SSL 終了接続設定を含むリストから SSL 終了プロファイルを選択します。SSLターミネーションは、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了するプロセスです。

新しい SSL ターミネーション・プロファイルを追加するには、次のようにします。

1. [ 追加] をクリックします。

   [Create SSL Termination Profile] ページが表示されます。

2. 次の詳細を入力します。

   • [名前(Name)]:SSL 終端プロファイル名を入力します。最大 63 文字。

   • [サーバー証明書(Server certificate)]:サーバー ID の認証に使用するサーバー証明書をリストから選択します。

     証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の追加」を参照してください。

     証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書のインポート」を参照してください。

認証のみのブラウザ

このオプションを有効にすると、ブラウザ以外のHTTPトラフィックがドロップされ、ブラウザを使用してアクセスを要求する認証されていないユーザーにキャプティブポータルを表示できるようになります。

ユーザーエージェント

ユーザーのブラウザトラフィックがHTTP/HTTPSトラフィックであることを確認するために使用されるuser-agent値を入力します。

宛先アドレス変換

宛先アドレス変換に対して実行するアクションをリストから選択します。使用可能なオプションは、なし(None)、変換をドロップ(Drop Translated)、および未変換(Drop Untranslated)です。

リダイレクトオプション

リストからリダイレクトアクションを選択します。使用可能なオプションは、[なし]、[WX リダイレクト]、および [リバース WX リダイレクト] です。

シーケンス番号のチェック

ポリシー ルール レベルでのステートフル インスペクション中の TCP セグメントのシーケンス番号のチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミットの失敗を回避するには、TCP セッション>>フローグローバルオプションシーケンス番号チェックをオフにします。

SYNフラグチェック

ポリシールールレベルでセッションを作成する前に、TCP SYNビットのチェックを有効または無効にします。デフォルトでは、チェックはグローバルレベルで行われます。コミットの失敗を回避するには、TCPセッション>グローバルオプション>フローでSYNフラグチェックをオフにします。

計画

[スケジュール(Schedule)] をクリックし、リストから設定済みのスケジュールの 1 つを選択します。

新しいスケジュールを追加するには、「 新規スケジュールの追加」をクリックします。[Add New Schedule] ページが表示されます。新しいスケジュールの作成について詳しくは、 表 4 を参照してください。

名前

アドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは許可されません。最大 63 文字。

IP タイプ

「IPv4」または「IPv6」を選択します。

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットマスクを入力します。

IPv6 アドレス

有効な IPv6 アドレスを入力します。

サブネットプレフィックス

IPv6 アドレスのサブネットプレフィックスを入力します。

名前

アプリケーションの一意の名前を入力します。

形容

アプリケーションの説明を入力します。

アプリケーション プロトコル

アプリケーション プロトコルのリストからオプションを選択します。

一致する IPプロトコル

リストから IPプロトコルに一致するオプションを選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMPタイプ

「ICMPメッセージ・タイプ」のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPCプログラム番号

RPC プログラム番号の値を入力します。

値の形式は W または X-Y でなければなりません。ここで、W、X、および Y は 0 から 65535 までの整数です。

アクティブ タイム

アプリケーション固有の非アクティブ・タイムアウトのオプションをリストから選択します。

UUID

DCE RPC オブジェクトの値を入力します。

カスタム アプリケーション グループ

リストからアプリケーション・セット名を選択します。

[+] をクリックします。[用語の作成] ページが表示されます。

名前

用語の名前を入力します。

ALG

ALG のリストからオプションを選択します。

一致する IPプロトコル

リストから IPプロトコルに一致するオプションを選択します。

送信元ポート

送信元ポートのリストからオプションを選択します。

宛先ポート

宛先ポートのリストからオプションを選択します。

ICMPタイプ

「ICMPメッセージ・タイプ」のリストからオプションを選択します。

ICMP コード

ICMPメッセージコードのリストからオプションを選択します。

RPCプログラム番号

RPC プログラム番号の値を入力します。

アクティブ タイム

アプリケーション固有の非アクティブ・タイムアウトのオプションをリストから選択します。

UUID

DCE RPC オブジェクトの値を入力します。

名前

スケジュールの名前を入力します。

形容

スケジュールの説明を入力します。

繰り返し

リストからオプションを選択して、スケジュールを繰り返す:

• 一度もない

• 日毎

• ウィークリー

終日

イベントを終日スケジュールするには、このオプションを有効にします。

このオプションは、「なし」および「毎日」の繰り返しタイプのスケジュールでのみ使用できます。

開始日

スケジュールの開始日を YYYY-MM-DD 形式で選択します。

このオプションは、繰り返しないタイプのスケジュールでのみ使用できます。

停止日

スケジュールの停止日を YYYY-MM-DD 形式で選択します。

このオプションは、繰り返しないタイプのスケジュールでのみ使用できます。

開始時刻

スケジュールの開始時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

停止時間

スケジュールの終了時刻を HH:MM:SS 24 時間形式で入力します。

このオプションは、毎日の繰り返しタイプのスケジュールでのみ使用できます。

繰り返す

スケジュールを繰り返す日時を選択します。

選択した日の時刻を設定するには:

1. 「 時刻を設定 」または「 時刻を選択した曜日に設定」をクリックします。

   [時刻を選択した日に設定(Set Time to Selected Days)] ページが表示されます。

2. 次の詳細を入力します。

   • [名前(Name)]:選択した日を表示します。

   • [終日] - イベントを終日実行するには、このオプションを有効にします。

   • [開始時刻(Start time)]:開始時刻を HH:MM:SS 24 時間形式で入力します。

   • [停止時間(Stop time)]:停止時間を HH:MM:SS 24 時間形式で入力します。

3. 「 OK」 をクリックして変更を保存します。

このオプションは、週次繰り返しタイプのスケジュールでのみ使用できます。

スケジュール条件

次のいずれかのオプションを選択します。

• [スケジュールを停止しない(Schedule Never Stops)]:スケジュールは無期限(繰り返し)にすることができますが、日次または週次スケジュールで指定された場合に限ります。

• [スケジュールの指定ウィンドウ(Schedule Specify Window)]:スケジュールは、開始日と終了日で指定された 1 つのタイムスロットでアクティブにできます。

  次の詳細を入力します。

  • [スケジュール開始(Schedule starts)]:スケジュール開始日を YYYY-MM-DD 形式で入力します。

  • [スケジュール終了(Schedule ends)]:スケジュールの開始日を YYYY-MM-DD 形式で入力します。

このオプションは、「日次」および「週次」の繰り返しタイプのスケジュールでのみ使用できます。