Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

SRXシリーズファイアウォールでアプリケーションポリシーを設定する

次の手順に従って、アプリケーションへのアクセスを制御するポリシーを設定します。

アプリケーションポリシーは、Juniper WAN Assurance設計のセキュリティポリシーであり、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィックステアリングポリシーに従って定義します。アプリケーション ポリシーを定義するには、ネットワーク、アプリケーション、トラフィック ステアリング プロファイルを作成する必要があります。次に、これらの詳細をポリシーの一致基準を定義として使用して、アプリケーションまたは宛先へのアクセスを許可したり、アクセスをブロックしたりします。

Juniper Mist™ クラウド ポータルでは、[ ネットワーク] または [ユーザー ] の設定によってソース ゾーンが決まります。 [アプリケーション + トラフィック ステアリング(Applications + Traffic Steering)] 設定によって、宛先ゾーンが決まります。トラフィックステアリングパスは、ジュニパーネットワーク®スSRXシリーズファイアウォールの宛先ゾーンを決定するため、トラフィックステアリングプロファイルをアプリケーションポリシーに割り当ててください。

アプリケーションポリシーに関する注意事項:

  • アプリケーション ポリシーは、組織レベル、WAN Edge テンプレート内、ハブ プロファイル内の 3 つの方法のいずれかで定義できます。

  • 組織レベルでアプリケーション ポリシーを定義すると、複数の WAN Edge テンプレートまたはハブ プロファイルでポリシーをインポートして使用できます。つまり、「一度定義したら、複数回使用する」モデルに従うことができます。

  • アプリケーション ポリシーを WAN Edge またはハブ プロファイル内で直接定義する場合、ポリシーの範囲は、その WAN Edge テンプレート内またはハブ プロファイル内でのみ制限されます。このポリシーを他のテンプレートやプロファイルで再利用することはできません。

  • Mistは、ポリシーリストに表示される順にポリシーを評価して適用します。

    手記:セッションスマートルーターの場合、ポリシーの順序は重要ではありません。良い方法として、グローバルポリシーをポリシーリストの最後に配置することができます。

アプリケーション ポリシーの構成

アプリケーション ポリシーを設定するには、次の手順に従います。

  1. Juniper Mistクラウドポータルで、WAN>アプリケーションポリシー> 組織を選択して、組織レベルでポリシーを作成します。
    WAN Edge テンプレートまたはハブ プロファイル レベルでポリシーを作成する場合は、[ WAN >組織 > WAN Edge テンプレート (WAN Edge Templates)] または [ハブ プロファイル (Hub Profile)] を選択し、必要なテンプレートまたはプロファイルを選択します。
  2. アプリケーション・ポリシー」セクションまで下にスクロールし、「アプリケーション・ポリシーの追加」をクリックします。
    手記:

    [ アプリケーション ポリシーのインポート (Import Application Policy )] オプションをクリックすると、グローバル ポリシーを WAN Edge テンプレートまたはハブ プロファイルにインポートできます。

    Juniper Mistクラウドポータルでは、テンプレートまたはプロファイルで定義されたローカルポリシーと区別するために、インポートされたポリシーがグレーで表示されます。
  3. [ 名前 ] 列の下の新しいフィールドをクリックし、ポリシーに名前を付けてから、青いチェック マークをクリックして変更を適用します。

    次の図(図 1)は、アプリケーション ポリシーを構成するときに使用できるオプションを示しています。

    図 1: アプリケーション ポリシーの構成オプション Application Policy Configuration Options
    次の表 ( 表 1)で、アプリケーション ポリシーで使用できる構成オプションについて説明します。
    表 1:アプリケーション ポリシー オプション
    フィールド の説明
    いいえ。

    number(数値)の略語。このエントリは、アプリケーション ポリシーの位置を示します。Mist は、位置(このフィールドに表示される順序)によってポリシーを評価して適用します。
    名前 アプリケーション ポリシーの名前。アプリケーションの名前付けには、英数字、アンダースコア、ダッシュなど、最大 32 文字を使用できます。
    ネットワーク/ユーザー

    ネットワークとネットワークのユーザー。ネットワークは、ネットワーク内の要求の送信元です。使用可能なネットワークのリストからネットワークを選択できます。ユーザーをネットワークに関連付けている場合、Mist ポータルのドロップダウン メニューに user.network 形式で詳細が表示されます。
    アクション

    ポリシー アクション。次のいずれかのポリシーアクションを選択します。

    • 許す

    • ブロック
    お申込み・お届け先

    宛先エンドポイント。アプリケーションは、ポリシーで使用される宛先を決定します。

    定義済みのアプリケーションのリストからアプリケーションを選択できます。
    IDP

    (オプション)侵入検出および防止(IDP)プロファイルIDP プロファイルの 1 つを選択します。

    • [標準(Standard)]:標準プロファイルはデフォルトのプロファイルで、ジュニパーネットワークスが推奨する IDP シグネチャとルールのセットを表します。アクションには次のものが含まれます。

      クライアントとサーバーのTCP接続を閉じます。

      現在のパケットと後続のすべてのパケットをドロップする

    • [厳密(Strict)]:厳密なプロファイルには、標準プロファイルと同様の IDP 署名とルールのセットが含まれます。ただし、システムが攻撃を検出すると、プロファイルはネットワークで検出された悪意のあるトラフィックやその他の攻撃をアクティブにブロックします。

    • アラート

      —アラート プロファイルはアラートのみを生成し、追加のアクションは実行しません。アラート プロファイルは、重大度の低い攻撃にのみ適しています。IDP の署名とルールは、標準プロファイルと同じです。

    • クリティカルのみ(SRX):クリティカルのみプロファイルは、重大度の高い攻撃に適しています。システムが重大な攻撃を検出すると、このプロファイルは適切なアクションを実行します。SRX300シリーズのファイアウォールには、クリティカル - SRXのみのSRXプロファイルを推奨します。

    • [なし(None)]:IDP プロファイルは適用されません。

    アプリケーション ポリシーで適用する IDP プロファイルは、トラフィック インスペクションを実行して、許可されたトラフィックへの侵入を検出して防止します。
    高度なセキュリティ サービス(SRX のみ)

    SRXシリーズファイアウォールの 高度なセキュリティ サービス のアプリケーション ポリシーで、次のセキュアなAIネイティブエッジ機能を設定できます。

    • SSL(Secure Sockets Layer)フォワードプロキシ—SSLフォワードプロキシは仲介役として機能し、クライアントとサーバー間でSSL暗号と復号化を実行します。SSL フォワードプロキシは透過プロキシです。つまり、クライアントとサーバー間でSSL暗号および復号化を実行しますが、サーバーもクライアントもその存在を検出することはできません。暗号カテゴリに基づいて、次の SSL プロキシ プロファイルを使用できます:弱、中、強。

    • アンチウイルス:アンチウイルス設定を作成し、アプリケーション ポリシーに関連付けることができます。定義済みの設定(デフォルト、HTTP(S) のみ、FTP なし)から選択するか、カスタムのアンチウイルス設定を作成できます。

    手記:これらの機能には、追加のデバイス側ライセンスが必要です。
    トラフィックステアリング

    トラフィック ステアリング プロファイル。トラフィック ステアリング プロファイルは、トラフィック パスを定義します。

    ステアリング・プロファイルは、WANエッジ・スポーク・デバイスまたはハブデバイスにポリシーを展開するために必要です。
    ヒット カウント [アプリケーション ポリシーのヒット数(許可/ブロック/フィルタ)]:トラフィックが特定のアプリケーション ポリシーにヒットした回数を表示します。
    手記:

    「No.」(注文番号)および「トラフィック・ステアリング」フィールドは、組織レベルのアプリケーション・ポリシーでは使用できません。アプリケーション ポリシーを WAN エッジまたはハブ プロファイル内で直接定義する場合は、順序番号とトラフィック ステアリング オプションを指定する必要があります。
    手記:WANからLANへのトラフィックを許可するアプリケーションポリシーは、宛先NATが設定されているネットワークで設定 する必要があります。この設定では、SRXシリーズファイアウォールにプッシュするアプリケーションポリシーを拡張できます。詳細については、 SRXシリーズファイアウォール用のネットワークを設定するの表1を参照してください。
  4. 表 2 に記載されている詳細に従って、設定を完了します。
    表 2: アプリケーション ポリシーの例
    S.No。 ルール名 ネットワーク ・アクション ・デスティネーション ・ステアリング
    1 スポークツーハブDMZ すべての。スポーク-LAN1 通る ハブ1-LAN1 ハブLAN
    2 ハブDMZツースポーク ハブ1-LAN1 通る スポーク-LAN1 オーバーレイ
    3 スポークツースポークオンハブヘアピン すべての。スポーク-LAN1 通る スポーク-LAN1 オーバーレイ
    4 ハブDMZからインターネットへ ハブ1-LAN1 通る 任意 LBO
    5 スポークトラフィックCBOオンハブ すべての。スポーク-LAN1 通る 任意 LBO
  5. 保存」をクリックします。

    図 2 は、新しく作成されたアプリケーション ポリシーの一覧を示しています。

    図2:アプリケーションポリシーの概要 Application Policies Summary

アプリケーションポリシーの並べ替えと削除

アプリケーション ポリシーを並べ替えると、作成後にポリシーを移動できます。

は、ポリシーを評価し、ポリシーリストに表示される順にポリシーを実行するMist、次の点に注意する必要があります。

  • ポリシーの順序は重要です。ポリシーの評価はリストの先頭から開始されるため

  • 新しいポリシーは、ポリシーリストの末尾に移動します。

ポリシーを選択し、上矢印または下矢印を使用して順序を変更します。ポリシーの順序はいつでも変更できます。

図 3: ポリシー順序Changing Policy Orderの変更

アプリケーション ポリシーを削除するには、削除するアプリケーション ポリシーを選択し、ウィンドウの右上に表示される [ 削除 ] をクリックします。

ネットワークとアプリケーションで同じIPアドレスとプレフィックスを使用する

アプリケーション ポリシー設定では、 ネットワーク/ユーザ は送信元ゾーンに属し、 アプリケーション/宛先 は宛先ゾーンに属します。

異なる目的で定義する場合、ネットワークとアプリケーションの両方に同じIPアドレスとプレフィックスを使用できます。つまり、あるポリシーでは送信元として機能し、別のポリシーでは宛先として機能します。

図 4 のポリシーについて考えてみます。

図 4: アプリケーション ポリシーの詳細 Application Policies Details

ここには、スポークLANインターフェイスのIPアドレス192.168.200.0/24を持つ Network/Users SPOKE-LAN1があります。このスクリーンショットは、次のポリシーが同じネットワークを異なる方法で使用していることを示しています。

  • [Spoke-to-Spoke-via-Hub]:このポリシーでは、ハブを介した受信および送信のスポーク間トラフィックを許可します。ここでは、 SPOKE-LAN1 をネットワークとアプリケーションの両方として定義しました。

  • [スポークツーハブ DMZ(Spoke-to-Hub-DMZ)]:このポリシーでは、スポークツーハブのトラフィックを許可します。ここでは、 SPOKE-LAN1 をネットワークとして定義しました。

  • Hub-DMZ-to-Spoke:このポリシーは、ハブツースポークのトラフィックを許可します。ここでは、 SPOKE-LAN1 をアプリケーションとして定義しました。

参照