Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

セッションスマートルーターでのアプリケーションポリシーの設定

次の手順に従って、アプリケーションへのアクセスを制御するポリシーを設定します。

アプリケーションポリシーは、Juniper WAN Assurance設計のセキュリティポリシーであり、どのネットワークとユーザーがどのアプリケーションにアクセスできるかを、どのトラフィックステアリングポリシーに従って定義します。アプリケーション ポリシーを定義するには、ネットワーク、アプリケーション、トラフィック ステアリング プロファイルを作成する必要があります。次に、これらの詳細をポリシーの一致基準を定義として使用して、アプリケーションまたは宛先へのアクセスを許可またはブロックします。

Juniper Mistクラウド・ポータルでは、「 ネットワーク」または「ユーザー 」設定によってソース・ゾーンが決まります。 [アプリケーション + トラフィック ステアリング(Applications + Traffic Steering)] 設定によって、宛先ゾーンが決まります。

ジュニパー®のセッションセッションスマート™ ルーターのアプリケーションポリシーに関する注意事項:

  • アプリケーション ポリシーは、組織レベル、WAN Edge テンプレート内、ハブ プロファイル内の 3 つの方法のいずれかで定義できます。

  • 組織レベルでアプリケーション ポリシーを定義すると、複数の WAN Edge テンプレートまたはハブ プロファイルでポリシーをインポートして使用できます。つまり、「一度定義したら、複数回使用する」モデルに従うことができます。

  • アプリケーション ポリシーを WAN Edge プロファイルまたはハブ プロファイル内で直接定義する場合、ポリシーの範囲は、その WAN Edge テンプレートまたはハブ プロファイル内でのみ制限されます。このポリシーを他のテンプレートやプロファイルで再利用することはできません。

アプリケーション ポリシーの構成

アプリケーション ポリシーを設定するには、次の手順に従います。

  1. クラウドJuniper Mistポータルで、「組織>WAN>アプリケーションポリシー」を選択して、組織レベルでポリシーを作成します。
    WAN Edge テンプレートまたはハブ プロファイル レベルでポリシーを作成する場合は、[ WAN > 組織 > WAN Edge テンプレート (WAN Edge Templates)] または [ハブ プロファイル (Hub Profile)] を選択し、必要なテンプレートまたはプロファイルを選択します。
  2. アプリケーション・ポリシー」セクションまで下にスクロールし、「アプリケーション・ポリシーの追加」ボタンをクリックします。
    手記:

    [ アプリケーション ポリシーのインポート (Import Application Policy )] オプションをクリックすると、グローバル ポリシーを WAN Edge テンプレートまたはハブ プロファイルにインポートできます。

    Juniper Mist Cloudポータルでは、インポートされたポリシーがグレーで表示され、テンプレート/プロファイルで定義されたローカルポリシーと区別できます。
  3. [ 名前 ] 列の下の新しいフィールドをクリックし、ポリシーに名前を付けてから、青いチェック マークをクリックして変更を適用します。

    図 1 は、アプリケーション ポリシーを構成するときに使用できるオプションを示しています。

    図 1: アプリケーション ポリシーの構成オプション Application Policy Configuration Options
    表 1 アプリケーション ポリシーで使用できる構成オプションについて説明します。
    表 1:アプリケーション ポリシー オプション
    フィールド の説明
    いいえ。

    number(数値)の略語。このエントリは、アプリケーション ポリシーの位置を示します。

    セッションスマートルーターの場合、ポリシーの順序は重要ではありません。グローバルポリシーは、ポリシーリストの最後に配置することをお勧めします。
    名前 アプリケーション ポリシーの名前。アプリケーションの名前付けには、英数字、アンダースコア、ダッシュなど、最大 32 文字を使用できます。
    ネットワーク/ユーザー

    ネットワークとネットワークのユーザー。ネットワークは、ネットワーク内の要求の送信元です。使用可能なネットワークのリストからネットワークを選択できます。ユーザをネットワークに関連付けている場合、Mist ポータルのドロップダウン メニューに user. network 形式で詳細が表示されます。
    アクション

    ポリシー アクション。次のいずれかのポリシーアクションを選択します。

    • 許す

    • ブロック
    お申込み・お届け先 宛先エンドポイント。アプリケーションは、ポリシーで使用される宛先を決定します 定義済みのアプリケーションのリストからアプリケーションを選択できます。
    IDP

    (オプション)侵入検出および防止(IDP)プロファイルIDP プロファイルの 1 つを選択します。

    • [標準(Standard)]:標準プロファイルはデフォルトのプロファイルで、ジュニパーネットワークスが推奨する IDP シグネチャとルールのセットを表します。アクションには次のものが含まれます。

      クライアントとサーバーのTCP接続を閉じます。

      現在のパケットと後続のすべてのパケットをドロップします。

    • [厳密(Strict)]:厳密なプロファイルには、標準プロファイルと同様の IDP 署名とルールのセットが含まれます。ただし、システムが攻撃を検出すると、プロファイルはネットワークで検出された悪意のあるトラフィックやその他の攻撃をアクティブにブロックします。

    • アラート

      —アラート プロファイルはアラートのみを生成し、追加のアクションは実行しません。アラート プロファイルは、重大度の低い攻撃にのみ適しています。IDP の署名とルールは、標準プロファイルと同じです。
    • [なし(None)]:IDP プロファイルは適用されません。

    アプリケーション ポリシーで適用された IDP プロファイルは、トラフィック インスペクションを実行して、許可されたトラフィックへの侵入を検出して防止します。
    トラフィックステアリング

    トラフィック ステアリング プロファイル。トラフィック ステアリング プロファイルは、トラフィック パスを定義します。

    ステアリング・プロファイルは、WANエッジ・スポーク・デバイスまたはハブデバイスにポリシーを展開するために必要です。
    手記:

    「No.」(注文番号)および「トラフィック・ステアリング」フィールドは、組織レベルのアプリケーション・ポリシーでは使用できません。アプリケーション ポリシーを WAN エッジまたはハブ プロファイル内で直接定義する場合は、順序番号とトラフィック ステアリング オプションを指定する必要があります。
  4. 表 2 に記載されている詳細に従って、設定を完了します。
    表 2: アプリケーション ポリシーの例
    いいえ。 ポリシー名 ネットワーク/ユーザー アプリケーション/宛先 アクション
    1 スポークツーハブDMZ スポーク-LAN1 HUB1-LAN1 および HUB2-LAN1 許す
    2 スポークツースポーク via-hub スポーク-LAN1 スポーク-LAN1 許す
    3 ハブ DMZ からスポークへ HUB1-LAN1 および HUB2-LAN1 スポーク-LAN1 許す
    4 Internet-via-Hub-CBO スポーク-LAN1 任意 許す
  5. 保存」をクリックします。

    図 2 は、新しく作成されたアプリケーション ポリシーの一覧を示しています。

    図2:アプリケーションポリシーの概要 Application Policies Summary

アプリケーション ポリシーの並べ替えと削除

アプリケーション ポリシーを並べ替えると、作成後にポリシーを移動できます。

セッションスマートルーターのポリシー順序については、次の点に注意してください。

  • ポリシーの順序は、セッションスマートルーターにとって重要ではありません。
  • セッションスマートルーターは、すべてのポリシーを同時に評価し、最も具体的な一致するポリシーを各セッションに適用します。ポリシーリスト内のアプリケーションポリシーの順序は、その評価や適用に影響しません。
  • 新しいポリシーは、ポリシーリストの末尾に移動します。
  • SRXシリーズファイアウォールの場合、デバイスはトップダウン方式でポリシーを評価します。より具体的なポリシーを、より具体的でないポリシーの上に並べると、一致するポリシーが変わります。

ポリシーは、アプリケーションに影響を与えることなく、管理ニーズに応じて任意の順序で編成できます。

ポリシーを選択し、上矢印または下矢印を使用して順序を変更します。ポリシーの順序はいつでも変更できます。

図 3: ポリシー順序Changing Policy Orderの変更

アプリケーション ポリシーを削除するには、削除するアプリケーション ポリシーを選択し、ウィンドウの右上に表示される [ 削除 ] をクリックします。

ネットワークやアプリケーションで同じIPアドレス/プレフィックスを使用する

アプリケーション ポリシー設定では、 ネットワーク/ユーザ は送信元ゾーンに属し、 アプリケーション/宛先 は宛先ゾーンに属します。

ネットワークとアプリケーションを定義する目的が異なる場合、同じIPアドレスとプレフィックスを使用できます。つまり、あるポリシーでは送信元として機能し、別のポリシーでは宛先として機能します。

図 4 のポリシーについて考えてみます。

図 4: アプリケーション ポリシーの詳細 Application Policies Details

ここには、スポークLANインターフェイスのIPアドレス192.168.200.0/24を持つ Network/Users SPOKE-LAN1があります。このスクリーンショットは、次のポリシーが同じネットワークを異なる方法で使用していることを示しています。

  • [Spoke-to-Spoke-via-Hub]:このポリシーでは、ハブを介した受信および送信のスポーク間トラフィックを許可します。ここでは、 SPOKE-LAN1 をネットワークとアプリケーションの両方として定義しました。

  • [スポークツーハブ DMZ(Spoke-to-Hub-DMZ)]:このポリシーでは、スポークツーハブのトラフィックを許可します。ここでは、 SPOKE-LAN1 をネットワークとして定義しました。

  • Hub-DMZ-to-Spoke:このポリシーは、ハブツースポークのトラフィックを許可します。ここでは、 SPOKE-LAN1 をアプリケーションとして定義しました。

ブレークアウトパスの監視 (ベータ)

アプリケーションポリシーダッシュボードのアプリケーションルーティングの可視性グラフでブレイクアウトパスを監視できます。

手記:

この機能はベータ参加者のみ利用できます。

セッションスマートルーターを使用したネットワーク監視エクスペリエンスを向上させるため、Juniper Mistは、ローカルブレイクアウトトラフィックが、リンクレイテンシ、ジッター、および損失パラメーターに関連するSLA要件を満たしていない場合、あるパスから別のパスに切り替えます。

SSRデバイスは、すべてのローカルブレイクアウトパスのSLAパラメータ(遅延、ジッター、およびロス)を、各アプリケーションのこれらのパラメータに設定されたしきい値と比較します。設定された閾値を超えた場合(つまり、ローカルブレークアウトパスが関連するSLA要件を満たさない場合)、トラフィックはトラフィックステアリング設定に基づいて別のパスに移行します。このようなトラフィックの変化は、アプリケーション ポリシー ダッシュボードのアプリケーション ルーティングの可視性グラフに表示されます。

次の例では、SLA しきい値違反により、ge-0/0/3 インターフェイスから ge-0/0/5 インターフェイスへのトラフィック シフトが見られます。

Application Routing Visibility Graph