項目一覧
ポリシー順序の概要
デフォルトでは、新しいポリシーはポリシー検索リストの末尾に移動します。そのため、あるポリシーが別のポリシーを覆い隠す可能性があります。設定されたポリシーの順序は、デバイスがトラフィックを処理する方法において重要です。ポリシー検索は、ポリシーが設定された順序で実行されます。トラフィックに一致する最初のポリシーが使用されます。一般的なポリシーの後に特定のポリシーが表示されている場合は、その特定のポリシーが使用されない可能性が高くなります。
たとえば、同じ送信元ゾーン、宛先ゾーン、送信元 IP アドレス、およびIP アドレスに対して 2 つのポリシーが設定されているが、1 つのポリシーに permit-all があり、もう 1 つに permit-mail がある場合、permit-all を持つポリシーの後に permit-mail を持つポリシーがリストされている場合、permit-mail を持つポリシーは一致しません。
ポリシーは出現順に実行されるため、次の点に注意する必要があります。
-
ポリシーの順序は重要です。
-
新しく作成されたポリシーは、ポリシーリストの末尾に移動します。
-
ポリシーの順序は変更できます。
-
ポリシーリストの最後のポリシーはデフォルトポリシーで、デフォルトのアクションはすべてのトラフィックを拒否します。
ポリシーの並べ替え
ポリシーのシャドウ化は、ポリシーの順序を逆にして、より具体的なポリシーを優先することで修正できます。
ポリシーの順序付けは、仮想プライベートネットワーク(VPN)環境では非常に重要です。最初に VPN または暗号化ポリシーをリストすることで、VPN トラフィックが一般的な許可ポリシーではなく、暗号化ポリシーに到達します。
S.いいえ。[Zone Policy]ページの(シーケンス番号)列では、ポリシーを並べ替えることができます。
-
S.No.を使用します。列をクリックして、ポリシーの順序を変更する数値を入力します。
-
選択したポリシーをある場所から別の場所にドラッグ&ドロップします。
シーケンス番号は、ポリシーをドラッグするか、新しいシーケンス番号を手動で入力すると変化します。新しく移動したポリシーの下にあるすべてのポリシーのシーケンス番号も変更されます。
ドラッグ&ドロップ機能は、ポリシーリストをフィルタリングした場合は無効になります。
ポリシー一致の優先順位
ポリシーを一致させるには、ファイアウォールがポリシーを評価する方法を理解することが重要です。ジュニパーでは、セキュリティ ポリシー コンテキストを、同じ送信元と宛先のゾーン ペア内にあるポリシーと呼んでいます。たとえば、送信元ゾーンの信頼と宛先ゾーンの信頼解除内のすべてのポリシーは、同じコンテキストにあります。図 1 は、ポリシーが検索される順序を示しています。
コンテキストの優先順位に関しては、SRXシリーズデバイスは以下の優先順位をサポートします。
-
イントラゾーンポリシーに一致する:不明なセッションの最初のパケットが評価され、送信元ゾーンと宛先ゾーンが同じかどうかが判断されます。これは、イングレス インターフェイスとエグレス インターフェイスの両方が同じゾーンにある場合に発生します。このコンテキスト一致は優先順位が最も高く、最初に一致します。
-
[インターゾーン ポリシーに一致(Match interzone policies)]:セッションがゾーン内コンテキストまたはポリシーと一致しない場合、次のポリシーは送信元ゾーンと宛先ゾーン コンテキストに対するポリシーになります。コンテキストが一致する場合、そのコンテキスト内のポリシーが一致すると評価されます。インターゾーンポリシーは、一致するイントラゾーンポリシーがない場合にのみ評価されます。
-
グローバルポリシー:イントラゾーンまたはインターゾーンのいずれのポリシーにも一致するポリシーがない場合、次に一致するポリシーはグローバルポリシーです。グローバル ポリシーは、任意のゾーン コンテキストと一致しますが、ポリシーの一致基準は他のセキュリティ ポリシーと同じです(たとえば、送信元 IP アドレス、宛先アドレス、サービス、ユーザー オブジェクトなど)。これは、イントラゾーンおよびインターゾーンポリシーの後に評価される最後のポリシーセットです。
-
デフォルトアクション:このアクションは、イントラゾーン、インターゾーン、またはグローバルポリシーに一致するものがない場合に実行されます。