Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ファイアウォールフィルター

ネットワークアクセスをより詳細に制御するために、ジュニパー Mist管理スイッチのアクセスコントロールリスト(ACL)を設定できるようになりました。ポートプロファイルベースのフィルターとRADIUSベースのフィルターを使用できます。

フィルターについて

以下のタイプのフィルターを使用してACLを作成できます。

  • ポートプロファイルベースのフィルター—このACLは、指定されたポートプロファイルが適用されているすべてのポートに対して、入力方向のスイッチポート上のレイヤー2フィルターとして適用されます。

  • RADIUSベースのフィルター—このACLは、RADIUSベースのフィルターを使用してトラフィックをフィルタリングします。各ポリシーの適用は、RADIUSサーバーを介して行われます。これらのフィルターは、RADIUSサーバーを介してユーザーを認証するすべてのEXシリーズスイッチでサポートされています。RADIUSファイアウォールフィルターを追加した後、IDをメモします。ジュニパー Mistポータルでスイッチポリシーを作成するために必要になります。

ファイアウォールフィルターの作成

ファイアウォールフィルターは、ポリシーラベルの形式で設定され、スイッチのポリシールールに適用されます。これらのラベルは、ユーザー(ソース)とリソース(宛先)を分類および分類するために使用されます。次に、スイッチポリシーでこれらのラベルを使用して、ネットワーク内の特定のリソースへのアクセスを許可するユーザーを指定します。ラベルは、組織、サイト、またはスイッチレベルで定義できます。

始める前に

ファイアウォールフィルターを作成するには:

  1. ジュニパー Mistポータルで、スイッチテンプレートまたはサイトレベルのスイッチ設定に移動します。

    • スイッチテンプレートを検索するには—左側のメニューから、組織>有線>スイッチテンプレートを選択します。次にテンプレートをクリックします。

    • サイトレベルのスイッチ設定を検索するには—左側のメニューから、 サイト > 有線 > スイッチ設定を選択します。次に、サイトをクリックします。

  2. ラベルを設定するには、スイッチポリシーラベルセクションまで下にスクロールし、以下の説明に従って送信元タグと宛先タグを追加します。

    • ソースソースを追加をクリックし、画面のテキストを参照して情報を入力します。追加 をクリックして、 新しいソースを保存します。

      Form titled Add Source for configuring source settings with fields for name, type, IP address, and port. Add and Cancel buttons.
      表1:ソース設定
      フィールド の説明
      名前 この送信元を識別するための名前を入力します。
      種類

      ソースタイプを選択します。
      ポートプロファイル

      タイプとしてポートプロファイルを選択した場合、このドロップダウンメニューからプロファイルを選択します。このメニューには、システム定義のプロファイルや、設定に追加したその他のプロファイルが含まれています。
      Radius AVPから - 「フィルタID」 RADIUSベースのフィルターの場合は、フィルターを入力します。詳細については、このフィールドの横にある i ボタンにカーソルを合わせてください。
      送信元IPアドレス (オプション)単一のIPアドレスまたは複数のアドレスをカンマで区切って入力します。
      送信元ポート (オプション)ポート番号または番号の範囲を入力します。有効な番号は1から65535です。範囲には、開始番号、ダッシュ、終了番号 (50 から 60 など) を入力します。

    • 宛先宛先を追加をクリックし、画面のテキストを参照して情報を入力します。 追加 をクリックして、新しい宛先を保存します。

      Destination fields showing Internal_Resources as the Name, an IP address in the Destination IP Address field, Any as the Protocol, and no specified Port Range
  3. ポリシーを設定するには、スイッチポリシーセクションまで下にスクロールして、新しいラベルを使用するポリシーを追加します。
    1. サイトレベルのスイッチ設定で作業している場合は、[定義されたテンプレートを上書きする]を選択します。
    2. スイッチポリシーの追加をクリックします。
      新しいポリシーがポリシーリストの上部に表示され、デフォルト名にはスイッチポリシー1が表示されます。
    3. デフォルトのポリシー名をクリックし、このポリシーを識別するための短くて具体的な名前を入力します。
    4. [ソース] で [+] ボタンをクリックし、リストから送信元ラベルを選択します。
    5. 先で+ボタンをクリックし、宛先ラベルを選択します。
      宛先ラベルは緑色の背景で表示され、このポリシーがこの宛先へのアクセスを許可していることを示しています。
    6. このポリシーで指定された宛先へのアクセスをブロックする場合は、宛先ボタンをクリックし、拒否をクリックします。
      Selecting the Destination Button to Change the Action (Allow or Deny)
      ポリシーを拒否に変更すると、宛先ボタンが赤に変わります。
      手記:

      • 新しいルールのデフォルトのアクションは 、許可 (緑色のボタン)です。

      • Junousは、リストされた順序でポリシーを処理します。最終ポリシーが処理された後、Junosはデフォルトで 拒否します。リストの最後に明示的な 拒否 ポリシーを追加する必要はありません。

    この例では、送信元ラベル、宛先ラベル、ポリシーを追加した後の設定がどのようになるかを示しています。

    Screenshot showing several sources, destinations, and policies
  4. ポリシーの順序を変更する必要がある場合は、ポリシー番号の横にある青いボタンにマウスを置き、リストを上下にドラッグします。
  5. 設定ページの右上隅にある保存をクリックします。
  6. 画面上の確認情報を確認し、確認ウィンドウの下部にある [保存] をクリックします。
スイッチポリシー設定がスイッチにプッシュされます。

また、スイッチレベルで、スイッチポリシールールがトリガーされた回数(つまり、ネットワークトラフィックと一致した回数)に関する情報も確認できます。スイッチの詳細ページのスイッチポリシーセクションには、以下の詳細が表示されます。

  • スイッチポリシーの全体的なヒットカウントこの情報は、 ヒットカウント 列に表示されます。

  • 宛先ごとのヒットカウントにより、より詳細なインサイトが得られます。各宛先タグをクリックすると、そのタグのヒットカウントとポリシートリガーイベントの時系列を表示できます。

    • User interface for managing Switch Policies in a network system, featuring a beta-labeled Switch Policy section, checkbox to override site or template settings, search bar, list of three policies with configuration details, policy scope, sources, destinations with hit counts and statuses, and an Add Switch Policy button.