ファイアウォールポリシールールの作成

General Information

ルール名

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

説明

ポリシー ルールの説明を入力します。最大長は 1024 文字です。このフィールドに入力したコメントはデバイスに送信されます。

Identify the traffic that the rule applies to

(ソース)ゾーン

SRXシリーズデバイスの場合は、ポリシーのコンテキストを定義するソースゾーン(from-zone)を指定します。ゾーン ポリシーは、あるセキュリティ ゾーン(送信元ゾーン)から別のセキュリティ ゾーン(宛先ゾーン)に入るトラフィックに適用されます。送信元ゾーンと宛先ゾーンのこの組み合わせは、コンテキストと呼ばれます。

Junos Space Security Directorリリース16.2以降、MXシリーズルーターでは、送信元ゾーンフィールドがパケットが入る場所からイングレスインターフェイスとして機能します。パケットがインターフェイスに入る場合、一致方向が入力されます。パケットがインターフェイスを離れる場合、一致方向が出力されます。集約されたマルチサービス (AMS) 値を選択して、イングレス キーを構成します。

Junos Space Security Directorリリース16.2以降、SRXシリーズデバイスとMXシリーズルーターを同じグループポリシーに割り当てると、ポリモーフィックゾーンを送信元ゾーンおよび宛先ゾーンとして使用できます。

(ソース)アドレス

1 つ以上のアドレス名またはアドレス セット名を入力します。 [選択(Select )] をクリックして送信元アドレスを追加します。

[送信元アドレス] ページで、次の操作を行います。

• 任意のアドレスを含める - ファイアウォールルールに任意のアドレスを追加します。

• [特定を含める(Include Specific)]:選択した送信元アドレスをルールに追加します。

  NSX マネージャーを追加すると、セキュリティグループが同期され、対応する動的アドレスグループ(DAG)が Security Director データベースに作成されます。NSX マネージャーの場合は、一覧から必要な DAG を選択します。

• [特定を除外(Exclude Specific)]:選択した送信元アドレスをルールから除外します。

• [メタデータ フィルター別] - ユーザー定義メタデータの一致するアドレスを送信元アドレスとして選択します。

  • [メタデータ フィルター] - フィールドをクリックして、リストから必要なメタデータを選択します。一致するアドレスがフィルタリングされ、[一致したアドレス] フィールドに一覧表示されます。

  • [一致したアドレス] - 選択したメタデータに一致するアドレスを一覧表示します。このアドレスは送信元アドレスとして使用されます。

    メタデータ式ごとに、一意の動的アドレス グループ (DAG) が作成されます。このDAGには、Security DirectorのフィードサーバーURLを指すフィードサーバーURLがあります。

    Office 365 がサードパーティー製フィードのリストに含まれるようになり、Microsoft Office 365 サービス エンドポイント情報(IP アドレス)が SRX シリーズ デバイスにプッシュされるようになりました。このフィードは他のフィードとは動作が異なり、"ipfilter_office365" という事前定義された名前を含む特定の構成パラメーターが必要です。Juniper ATP CloudでOffice 365フィードを有効にする必要があります。Juniper ATP CloudでOffice 365フィードを有効にし、ipfilter_office365フィードを参照するDAGをSRXシリーズデバイス上に作成する方法については、「 サードパーティの脅威フィードを有効にする」を参照してください。

    メタデータベースのポリシーに基づいて動作する各SRXシリーズデバイスまたはvSRXに対して、次のCLIコマンドを使用してフィードサーバーのURLを設定します。

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

アドレスとアドレスグループの作成を参照してください。

(ソース)ユーザーID

ポリシーの一致条件として使用するソース ID (ユーザーおよびロール) を指定します。ユーザーの役割とユーザーグループに基づいて、異なるポリシールールを設定できます。

[ 選択 ] をクリックして、許可または拒否するソース ID を指定します。「ユーザー ID」ページで、使用可能なリストからユーザー ID を選択するか、「 新規ユーザー ID の追加」をクリックして新規 ID を追加できます。

Security DirectorデータベースからユーザーIDを削除するには、「 ユーザーIDの削除 」をクリックし、どのポリシーにも構成されていない値をドロップダウン・リストから選択します。ポリシーで設定されているユーザーIDを削除しようとすると、参照IDとユーザーIDを含むメッセージが表示されます。

(ソース)エンドユーザープロファイル

リストからエンド ユーザ プロファイルを選択します。ファイアウォールポリシールールが適用されます。

デバイスAからのトラフィックがSRXシリーズのデバイスに到着すると、SRXシリーズは最初のトラフィックパケットからデバイスAのIPアドレスを取得し、それを使用してデバイスID認証テーブルで一致するデバイスIDエントリを検索します。次に、そのデバイス ID プロファイルを、エンド ユーザ プロファイル フィールドにデバイス ID プロファイル名が指定されているセキュリティ ポリシーと照合します。一致が見つかった場合、デバイス A から発行するトラフィックにセキュリティ ポリシーが適用されます。

(仕向地)ゾーン

SRXシリーズデバイスの場合は、宛先ゾーン(to-zone)を指定して、ポリシーのコンテキストを定義します。ゾーン ポリシーは、あるセキュリティ ゾーン(送信元ゾーン)から別のセキュリティ ゾーン(宛先ゾーン)に入るトラフィックに適用されます。送信元ゾーンと宛先ゾーンのこの組み合わせは、コンテキストと呼ばれます。

Junos Space Security Directorリリース16.2以降、MXシリーズルーターの場合、このフィールドはパケットが入る場所からのエグレスインターフェイスとして機能します。パケットがインターフェイスに入る場合、一致方向が入力されます。パケットがインターフェイスを離れる場合、一致方向が出力されます。集計されたマルチサービス (AMS) 値を選択して、エグレス キーを構成します。

ポリモーフィックゾーンは、SRXシリーズデバイスとMXシリーズルーターを同じグループポリシーに割り当てる場合に、送信元ゾーンおよび宛先ゾーンとして使用できます。

(仕向地)アドレス

1 つ以上のアドレス名またはアドレス セットを選択します。 [選択(Select )] をクリックして、宛先アドレスを追加します。

[宛先アドレス] ページで、次の操作を行います。

• [含める(Include)] オプションを選択して、選択した宛先アドレスまたは任意のアドレスをルールに追加します。

• [ 除外(Excluded)] オプションを選択して、選択した宛先アドレスをルールから除外します。

• [ メタデータ フィルター別] オプションを選択して、ユーザー定義メタデータの一致するアドレスを宛先アドレスとして選択します。

  • [メタデータ フィルター] - フィールドをクリックして、リストから必要なメタデータを選択します。一致するアドレスがフィルタリングされ、[一致したアドレス] フィールドに一覧表示されます。

  • [一致したアドレス] - 選択したメタデータに一致するアドレスを一覧表示します。このアドレスは宛先アドレスとして使用されます。

    メタデータ式ごとに、一意の動的アドレス グループ (DAG) が作成されます。このDAGには、Security DirectorのフィードサーバーURLを指すフィードサーバーURLがあります。

    Office 365 がサードパーティー製フィードのリストに含まれるようになり、Microsoft Office 365 サービス エンドポイント情報(IP アドレス)が SRX シリーズ デバイスにプッシュされるようになりました。このフィードは他のフィードとは動作が異なり、"ipfilter_office365" という事前定義された名前を含む特定の構成パラメーターが必要です。Juniper ATP CloudでOffice 365フィードを有効にする必要があります。Juniper ATP Cloud で Office 365 フィードを有効にし、ipfilter_office365フィードを参照する DAG を SRX シリーズ デバイス上で作成する方法については、「 サードパーティ脅威フィードの有効化」を参照してください。

    メタデータベースのポリシーに基づいて動作する各SRXシリーズデバイスまたはvSRXに対して、次のCLIコマンドを使用してフィードサーバーのURLを設定します。

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

アドレスとアドレスグループの作成を参照してください。

(仕向地)URLカテゴリ

1 つ以上の定義済み URL カテゴリまたはカスタム URL カテゴリを一致条件として選択します。URLカテゴリは、Junos OSリリース18.4R3以降を搭載したデバイスでサポートされています。

[ 選択 ] をクリックして URL カテゴリを選択します。[使用可能] リストから 1 つ以上の定義済み URL カテゴリまたはカスタム URL カテゴリを選択し、[選択済み] リストに移動します。 OK をクリックします。

(サービスプロトコル)サービス

1 つ以上のサービス (アプリケーション) 名を選択します。[含める、任意のサービス] を選択して、サービス リスト ビルダーの any オプションを無効にします。[任意のサービス] チェック ボックスをオフにして、サービス リスト ビルダーの [使用可能なサービス] 列からサービスを許可または拒否します。[新しいサービスの追加] をクリックして、サービスを作成します。 サービスおよびサービスグループの作成を参照してください。

アプリケーション シグネチャ

[+] アイコンをクリックして、アプリケーションの署名を追加します。定義済みのアプリケーション署名とカスタムのアプリケーション シグネチャの両方を追加できます。

Advanced Security

ルールの処理

アクションは、指定された基準に一致するすべてのトラフィックに適用されます。

• Deny:デバイスはセッションのすべてのパケットをサイレントにドロップし、TCP リセットや ICMP unreachable などのアクティブな制御メッセージを送信しません。

• 拒否:プロトコルが TCP の場合はデバイスが TCP リセットを送信し、プロトコルが UDP、ICMP、またはその他の IP プロトコルの場合はデバイスが ICMP リセットを送信します。このオプションは、アプリケーションがタイムアウトを待つ時間を無駄にせず、代わりにアクティブなメッセージを取得するために、信頼できるリソースに直面する場合に役立ちます。

• [許可(Permit)]:デバイスは、ポリシーに適用したファイアウォール認証のタイプを使用してトラフィックを許可します。

• トンネル—デバイスは、ポリシーに適用したVPNトンネリングオプションのタイプを使用してトラフィックを許可します。

先進のセキュリティ

ファイアウォールポリシーは、ネットワークトラフィックが、ポリシーの一致条件によって指示されたトラフィックのみに制限されるようにするセキュリティのコアレイヤーを提供します。

ファイアウォールポリシーは、ネットワークトラフィックが、ポリシーの一致条件によって指示されたトラフィックのみに制限されるようにするセキュリティのコアレイヤーを提供します。従来のポリシーでは不十分な場合は、アプリケーション識別コンポーネントを選択して、ポリシーの詳細セキュリティプロファイルを作成します。

• [App Firewall(App Firewall)]:アプリケーションファイアウォールを階層化しながらトラフィックに従来のファイアウォール制御を適用して、アプリケーションがポート情報だけでなく、クライアントとサーバー間で送信される内容にも準拠するようにするには、このオプションを選択します。アプリケーションを許可、拒否、および拒否できます。HTTPとHTTPSのための特別なリダイレクト機能もあります。

  [ 新規追加 ] リンクをクリックしてアプリケーション ファイアウォール ポリシーを作成し 、[新しい APPFW ルールの追加] をクリックしてルールを作成します。 アプリケーションファイアウォールポリシーの作成を参照してください。

• SSL フォワード プロキシ:インターネットに暗号化技術を提供するアプリケーション レベルのプロトコルを有効にするには、このオプションを選択します。

  [ フォワード プロキシの追加(Add Forward Proxy )] をクリックして、SSL フォワード プロキシ プロファイルを作成します。 SSL フォワード プロキシ プロファイルの作成を参照してください。

  [リバース プロキシの追加] をクリックして、SSL リバース プロキシ プロファイルを作成します。SSL リバース プロキシ プロファイルの作成を参照してください。

• IPS—IPS 値を [オン] または [オフ] として選択します。

• IPS ポリシー - 標準ファイアウォール ポリシー内の IPS ポリシーをサポートします。ファイアウォールポリシーに割り当てるIPSポリシーを選択します。どのデバイスにも割り当てられていない IPS ポリシーがドロップダウンに一覧表示されます。

  Junos OSリリース18.2以降のデバイスでは、割り当てられたIPSポリシーのCLI設定が、標準のファイアウォールポリシーとともに生成されます。

  メモ：

  ルールの処理は [許可] である必要があります。

  • Junos OS リリース 18.1 以前では、IPS をオンまたはオフの両方のポリシーと IPS ポリシーに設定した場合、Security Director は IPS ポリシーを無視し、IPS On CLI コマンドのみをデバイスに送信します。

  • Junos OS Release 18.2以降では、IPSがオンまたはオフの両方のポリシーとIPSポリシーを設定した場合、Security DirectorはIPS On CLIコマンドを無視し、IPSポリシーCLIコマンドのみをデバイスに送信します。

• [UTM] - クライアント側の脅威に対するレイヤー 7 保護を定義するには、このオプションを選択します。

  [ 新規追加(Add New)] をクリックして、コンテンツ セキュリティ ポリシーを作成します。 UTM ポリシーの作成を参照してください。

• セキュア Web プロキシ: セキュア Web プロキシ プロファイルの作成で作成したセキュア Web プロキシ プロファイルを選択します。

  セキュリティで保護された Web プロキシを使用すると、選択したアプリケーションのトラフィックが外部プロキシ サーバーをバイパスして Web サーバーに直接送信できます。

• 脅威防御ポリシー - 選択した脅威プロファイル(コマンド&コントロールサーバー、感染ホスト、マルウェアなど)の保護と監視を提供するオプションを選択します。

脅威プロファイリング

Juniper ATPクラウド適応型脅威プロファイリングにより、SRXシリーズデバイスは、独自の高度な検出イベントとポリシーマッチイベントに基づいて、脅威フィードを生成、伝播、消費できます。

Junos Space Security Director リリース 21.2 以降、脅威タイプとして送信元アドレスと宛先アドレスを指定してファイアウォール ポリシーを設定できるようになりました。これにより、トラフィックがルールに一致した場合に、選択した脅威フィードに送信元 IP アドレスと宛先 IP アドレスが挿入されます。脅威フィードは、動的アドレスグループ(DAG)として他のデバイスで利用できます。

フィードへの送信元 IP の追加 - リストからセキュリティ フィードを選択します。送信元 IP アドレスは、トラフィックがルールに一致すると脅威フィードに追加されます。

フィードへの宛先 IP の追加:リストからセキュリティ フィードを選択します。トラフィックがルールに一致すると、宛先 IP アドレスが脅威フィードに追加されます。

Rule Options

プロファイル

デフォルトのプロファイルまたはカスタムプロファイルを選択するか、別のポリシーからポリシーのプロファイルを継承できます。ポリシーのプロファイルは、セキュリティポリシーの基本設定を指定します。 ファイアウォールポリシープロファイルの作成を参照してください。

スケジュール

ポリシー スケジュールでは、ポリシーがいつアクティブになるかを定義できるため、暗黙的な一致条件となります。ポリシーがアクティブな曜日と時刻を定義できます。たとえば、営業時間に基づいてアクセスを開始または終了するセキュリティポリシーを定義できます。複数のスケジューラを異なるポリシーに適用できますが、ポリシーごとにアクティブにできるスケジューラは 1 つだけです。事前に保存されたスケジュールを選択すると、選択したスケジュールのデータがスケジュール オプションに入力されます。[ 新規 ] をクリックして、別のスケジュールを作成します。

Rule Analysis

新しいルール、分析の実行

異常を回避するためにルールを分析する場合は、このオプションを選択します。

Rule Placement

位置/シーケンス

順序番号とルールが配置される順序が表示されます。