Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールポリシーの概要

Security Directorには、2種類のファイアウォール ポリシーが用意されています。

  • デバイスポリシー:デバイスごとに作成されるファイアウォールポリシーのタイプ。このタイプのポリシーは、デバイスごとに一意のファイアウォールポリシー設定をプッシュする場合に使用します。デバイスファイアウォールポリシーのデバイスルールを作成できます。

    Security Director は、論理システムまたはテナント システムを他のセキュリティ デバイスと同じように表示し、論理システムまたはテナント システムのセキュリティ設定の所有権を取得します。Security Director では、各論理システムまたはテナント システムは、固有のセキュリティ デバイスとして管理されます。

    デバイス ポリシーのデバイス割り当て中に、現在のドメインのデバイスのみが一覧表示されます。

    メモ:

    Security Directorがルート論理システムを検出すると、ルートlsysはデバイス内の他のすべてのユーザーlsysを検出します。

    Security Directorでは、デバイスにデバイス指定のポリシーを設定し、複数のグループポリシーの一部にすることができます。デバイスのルールは、次の順序で更新されます。

    • 「デバイス固有のポリシー」の前に適用されるポリシー内のルール

    • デバイス固有のポリシー内のルール

    • 「デバイス固有のポリシー」の後に適用されるポリシー内のルール

    「デバイス固有のポリシー」の前に適用されたポリシー内のルールが優先され、上書きすることはできません。ただし、デバイス固有のポリシーに上書きルールを追加することで、「デバイス固有のポリシー」の後に適用されるポリシー内のルールを上書きできます。エンタープライズ シナリオでは、"デバイス固有のポリシー" の前に適用されたポリシーからデバイスに "共通必須" ルールを割り当て、"デバイス固有のポリシー" の後に適用されるポリシーから "共通してあると便利な" ルールをデバイスに割り当てることができます。

    メモ:

    例外は、「デバイス固有のポリシー」でデバイスごとに追加できます。デバイスに適用されるルールの完全なリストについては、[ デバイス>>ファイアウォールポリシーを構成する]を選択します。デバイスを選択して、そのデバイスに関連付けられているルールを表示します。

    すべてのデバイスポリシーを使用すると、Security Directorによって管理されるすべてのデバイスにルールをグローバルに適用できます。すべてのデバイスポリシーはグローバルドメインの一部であり、ビューの親が有効になっている場合はすべての子ドメインに表示されます。

  • グループ:複数のデバイスと共有されているファイアウォールポリシーのタイプ。このタイプのポリシーは、特定のファイアウォールポリシー設定を大規模なデバイスセットに更新する場合に使用します。ポリシーの配置は、デバイス固有の前またはデバイス固有の後に選択できます。デバイスでグループファイアウォールポリシーが更新されると、ルールは次の順序で更新されます:

    • 「デバイス固有のポリシー」の前に適用されるポリシー内のルール

    • デバイス固有のポリシー内のルール

    • 「デバイス固有のポリシー」の後に適用されるポリシー内のルール

    グループ ポリシーのデバイスの割り当て中に、現在のドメインと子ドメイン (親の表示が有効になっている) のデバイスのみが一覧表示されます。親ビューが無効になっている子ドメイン内のデバイスはリストされません。グローバルドメインのすべてのグループポリシーが子ドメインに表示されるわけではありません。グローバルドメインのグループポリシー(すべてのデバイスポリシーを含む)は、その子ドメインの親ビューが無効になっている場合、子ドメインに表示されません。子ドメインのデバイスが割り当てられているグローバルドメインのグループポリシーのみが子ドメインに表示されます。グローバル ドメインにグループ ポリシーがあり、D1 ドメインとグローバル ドメインの両方のデバイスが割り当てられている場合、グローバル ドメインのこのグループ ポリシーのみが D1 ドメイン デバイスと共に D1 ドメインに表示されます。グローバル ドメインの他のデバイス、つまりデバイス例外ポリシーは、D1 ドメインに表示されません。

    子ドメインからグローバルドメインのグループポリシーを編集することはできません。これは、[すべてのデバイス] ポリシーにも当てはまります。ポリシーの変更、ポリシーの削除、スナップショットの管理、スナップショット ポリシー、ポリシー ロックの取得もできません。同様に、グローバル ドメインから D1 ドメインのデバイス例外ポリシーでこれらのアクションを実行することはできません。現在のドメインのグループ ポリシーに優先順位を付けることができます。他のドメインのグループ ポリシーは表示されません。

メモ:

Security Directorを介してデバイス固有のポリシーの前(事前)または後(後)に適用されるグループポリシー:

  • グローバルベースポリシーとゾーンベースポリシーで別々に機能します。

  • ポリシー順序の概要で説明されているように、Junos-SRX ポリシーの優先順位を変更しないでください。

ファイアウォールポリシーの基本設定は、ポリシープロファイルから取得します。基本設定には、ログオプション、ファイアウォール認証スキーム、およびトラフィックリダイレクトオプションが含まれます。

ファイアウォールポリシーは表形式で表示されます。ポリシーを選択し、インラインまたは + アイコンを使用してルールを適用できます。詳細については、 ファイアウォールポリシールールの作成を参照してください。

Junos Space Security Directorリリース19.3R1以降、IPSポリシーを標準のファイアウォールポリシールールに割り当てることができます。CLIは、Junos OSリリース18.2以降のデバイス向けに、(IPSポリシーが割り当てられている)標準ファイアウォールポリシーとともに、IPSポリシーに対して生成されます。IPSポリシー名はファイアウォールポリシールールで直接使用されるため、[edit security idp active-policy policy-name]ステートメントはJunos OSリリース18.2以降では非推奨となります。非推奨のアクティブポリシーCLIをインポートし、Security Directorから新しいCLIに変換することができます。Junos OSバージョン18.2以降の非推奨のアクティブポリシーのIPSポリシーをインポートできます。IPS ポリシーがインポートされると、デバイスのファイアウォールポリシーに関連付けられたルールが IPS ポリシーの詳細で更新されます。Security Directorからの後続のアップデートでは、IDPをアタッチするための新しいファイアウォールポリシーCLIがプレビューで表示され、同じものをデバイスにアップデートできます。

メモ:
  • Junos OS リリース 18.2 を搭載したデバイスでは、ファイアウォール ポリシーのすべてのルールに同じ IPS ポリシーを割り当てる必要があります。

  • Junos OS リリース 18.3 以降のデバイスでは、ファイアウォール ポリシーのルールに異なる IPS ポリシーを割り当てることができます。デフォルトのIDPポリシーを設定する必要があります。設定しないと、コミットに失敗します。