ファイアウォールポリシールールの作成
始める前に
「ファイアウォール ポリシーの概要」トピックをお読みください。
ファイアウォールルールのメインページを確認して、現在のデータセットを理解してください。フィールドの説明については 、ファイアウォールポリシールールのメインページのフィールド を参照してください。
[Create Rule(ルールの作成)] ページを使用して、コンテキスト内(送信元ゾーンから宛先ゾーン)でのトランジットトラフィックを制御するファイアウォールルールを設定します。トラフィックは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションをポリシーデータベースと照合することによって分類されます。
Security Directorでは、デバイスにデバイス固有のポリシーを設定し、複数のグループポリシーの一部にすることができます。デバイスのルールは次の順序で更新されます。
「デバイス固有のポリシー」の前に適用されるポリシー内のルール
デバイス固有のポリシー内のルール
「デバイス固有のポリシー」の後に適用されるポリシー内のルール
「デバイス固有のポリシー」の前に適用されたポリシー内のルールが優先され、上書きすることはできません。ただし、デバイス固有のポリシーに上書きルールを追加することで、「デバイス固有のポリシー」の後に適用されるポリシー内のルールを上書きできます。エンタープライズ シナリオでは、"デバイス固有のポリシー" の前に適用されたポリシーからデバイスに "共通必須" ルールを割り当て、"デバイス固有のポリシー" の後に適用されるポリシーから "共通してあると便利な" ルールをデバイスに割り当てることができます。
例外は、「デバイス固有のポリシー」でデバイスごとに追加できます。デバイスに適用されるルールの完全なリストを表示するには、[ デバイス>ファイアウォールポリシー>を構成する]を選択します。デバイスを選択して、そのデバイスに関連付けられているルールを表示します。
ファイアウォールポリシールールを設定するには:
設定 |
ガイドライン |
---|---|
General Information |
|
ルール名 |
英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。 |
説明 |
ポリシー ルールの説明を入力します。最大長は 1024 文字です。このフィールドに入力したコメントはデバイスに送信されます。 |
Identify the traffic that the rule applies to |
|
(ソース)ゾーン |
SRXシリーズデバイスの場合は、ポリシーのコンテキストを定義するソースゾーン(from-zone)を指定します。ゾーン ポリシーは、あるセキュリティ ゾーン(送信元ゾーン)から別のセキュリティ ゾーン(宛先ゾーン)に入るトラフィックに適用されます。送信元ゾーンと宛先ゾーンのこの組み合わせは、コンテキストと呼ばれます。 Junos Space Security Directorリリース16.2以降、MXシリーズルーターでは、送信元ゾーンフィールドがパケットが入る場所からイングレスインターフェイスとして機能します。パケットがインターフェイスに入る場合、一致方向が入力されます。パケットがインターフェイスを離れる場合、一致方向が出力されます。集約されたマルチサービス (AMS) 値を選択して、イングレス キーを構成します。 Junos Space Security Directorリリース16.2以降、SRXシリーズデバイスとMXシリーズルーターを同じグループポリシーに割り当てると、ポリモーフィックゾーンを送信元ゾーンおよび宛先ゾーンとして使用できます。 |
(ソース)アドレス |
1 つ以上のアドレス名またはアドレス セット名を入力します。 [選択(Select )] をクリックして送信元アドレスを追加します。 [送信元アドレス] ページで、次の操作を行います。
アドレスとアドレスグループの作成を参照してください。 |
(ソース)ユーザーID |
ポリシーの一致条件として使用するソース ID (ユーザーおよびロール) を指定します。ユーザーの役割とユーザーグループに基づいて、異なるポリシールールを設定できます。 [ 選択 ] をクリックして、許可または拒否するソース ID を指定します。「ユーザー ID」ページで、使用可能なリストからユーザー ID を選択するか、「 新規ユーザー ID の追加」をクリックして新規 ID を追加できます。 Security DirectorデータベースからユーザーIDを削除するには、「 ユーザーIDの削除 」をクリックし、どのポリシーにも構成されていない値をドロップダウン・リストから選択します。ポリシーで設定されているユーザーIDを削除しようとすると、参照IDとユーザーIDを含むメッセージが表示されます。
メモ:
Security Directorでのみ作成されたユーザーIDがドロップダウンリストに表示されます。 |
(ソース)エンドユーザープロファイル |
リストからエンド ユーザ プロファイルを選択します。ファイアウォールポリシールールが適用されます。 デバイスAからのトラフィックがSRXシリーズのデバイスに到着すると、SRXシリーズは最初のトラフィックパケットからデバイスAのIPアドレスを取得し、それを使用してデバイスID認証テーブルで一致するデバイスIDエントリを検索します。次に、そのデバイス ID プロファイルを、エンド ユーザ プロファイル フィールドにデバイス ID プロファイル名が指定されているセキュリティ ポリシーと照合します。一致が見つかった場合、デバイス A から発行するトラフィックにセキュリティ ポリシーが適用されます。 |
(仕向地)ゾーン |
SRXシリーズデバイスの場合は、宛先ゾーン(to-zone)を指定して、ポリシーのコンテキストを定義します。ゾーン ポリシーは、あるセキュリティ ゾーン(送信元ゾーン)から別のセキュリティ ゾーン(宛先ゾーン)に入るトラフィックに適用されます。送信元ゾーンと宛先ゾーンのこの組み合わせは、コンテキストと呼ばれます。 Junos Space Security Directorリリース16.2以降、MXシリーズルーターの場合、このフィールドはパケットが入る場所からのエグレスインターフェイスとして機能します。パケットがインターフェイスに入る場合、一致方向が入力されます。パケットがインターフェイスを離れる場合、一致方向が出力されます。集計されたマルチサービス (AMS) 値を選択して、エグレス キーを構成します。 ポリモーフィックゾーンは、SRXシリーズデバイスとMXシリーズルーターを同じグループポリシーに割り当てる場合に、送信元ゾーンおよび宛先ゾーンとして使用できます。 |
(仕向地)アドレス |
1 つ以上のアドレス名またはアドレス セットを選択します。 [選択(Select )] をクリックして、宛先アドレスを追加します。 [宛先アドレス] ページで、次の操作を行います。
アドレスとアドレスグループの作成を参照してください。 |
(仕向地)URLカテゴリ |
1 つ以上の定義済み URL カテゴリまたはカスタム URL カテゴリを一致条件として選択します。URLカテゴリは、Junos OSリリース18.4R3以降を搭載したデバイスでサポートされています。 [ 選択 ] をクリックして URL カテゴリを選択します。[使用可能] リストから 1 つ以上の定義済み URL カテゴリまたはカスタム URL カテゴリを選択し、[選択済み] リストに移動します。 OK をクリックします。 |
(サービスプロトコル)サービス |
1 つ以上のサービス (アプリケーション) 名を選択します。[含める、任意のサービス] を選択して、サービス リスト ビルダーの any オプションを無効にします。[任意のサービス] チェック ボックスをオフにして、サービス リスト ビルダーの [使用可能なサービス] 列からサービスを許可または拒否します。[新しいサービスの追加] をクリックして、サービスを作成します。 サービスおよびサービスグループの作成を参照してください。 |
アプリケーション シグネチャ |
[+] アイコンをクリックして、アプリケーションの署名を追加します。定義済みのアプリケーション署名とカスタムのアプリケーション シグネチャの両方を追加できます。 |
Advanced Security |
|
ルールの処理 |
アクションは、指定された基準に一致するすべてのトラフィックに適用されます。
|
先進のセキュリティ |
ファイアウォールポリシーは、ネットワークトラフィックが、ポリシーの一致条件によって指示されたトラフィックのみに制限されるようにするセキュリティのコアレイヤーを提供します。 ファイアウォールポリシーは、ネットワークトラフィックが、ポリシーの一致条件によって指示されたトラフィックのみに制限されるようにするセキュリティのコアレイヤーを提供します。従来のポリシーでは不十分な場合は、アプリケーション識別コンポーネントを選択して、ポリシーの詳細セキュリティプロファイルを作成します。
メモ:
インラインアプリケーションファイアウォールポリシー、SSLプロキシプロファイル、およびコンテンツセキュリティを作成するには、ルールアクションを許可する必要があります。 |
脅威プロファイリング |
Juniper ATPクラウド適応型脅威プロファイリングにより、SRXシリーズデバイスは、独自の高度な検出イベントとポリシーマッチイベントに基づいて、脅威フィードを生成、伝播、消費できます。 Junos Space Security Director リリース 21.2 以降、脅威タイプとして送信元アドレスと宛先アドレスを指定してファイアウォール ポリシーを設定できるようになりました。これにより、トラフィックがルールに一致した場合に、選択した脅威フィードに送信元 IP アドレスと宛先 IP アドレスが挿入されます。脅威フィードは、動的アドレスグループ(DAG)として他のデバイスで利用できます。 フィードへの送信元 IP の追加 - リストからセキュリティ フィードを選択します。送信元 IP アドレスは、トラフィックがルールに一致すると脅威フィードに追加されます。 フィードへの宛先 IP の追加:リストからセキュリティ フィードを選択します。トラフィックがルールに一致すると、宛先 IP アドレスが脅威フィードに追加されます。
メモ:
これらのフィールドを使用するには、まずデバイスをATPクラウドに登録してから、ドロップダウンリストにフィードを表示するようPolicy Enforcerを設定します。 |
Rule Options |
|
プロファイル |
デフォルトのプロファイルまたはカスタムプロファイルを選択するか、別のポリシーからポリシーのプロファイルを継承できます。ポリシーのプロファイルは、セキュリティポリシーの基本設定を指定します。 ファイアウォールポリシープロファイルの作成を参照してください。 |
スケジュール |
ポリシー スケジュールでは、ポリシーがいつアクティブになるかを定義できるため、暗黙的な一致条件となります。ポリシーがアクティブな曜日と時刻を定義できます。たとえば、営業時間に基づいてアクセスを開始または終了するセキュリティポリシーを定義できます。複数のスケジューラを異なるポリシーに適用できますが、ポリシーごとにアクティブにできるスケジューラは 1 つだけです。事前に保存されたスケジュールを選択すると、選択したスケジュールのデータがスケジュール オプションに入力されます。[ 新規 ] をクリックして、別のスケジュールを作成します。 |
Rule Analysis |
|
新しいルール、分析の実行 |
異常を回避するためにルールを分析する場合は、このオプションを選択します。 |
Rule Placement |
|
位置/シーケンス |
順序番号とルールが配置される順序が表示されます。 |