サービスおよびサービスグループの作成
始める前に
トピックを読んでください。
送信元ポートと宛先ポート、TCP や UDP などのプロトコルの種類など、サービスの作成に使用しているプロトコルのすべての情報を収集します。
既存のサービスを複製する方が、新しいサービスを作成するよりも効率的であるかどうかを確認します。
サービスのメインページを確認して、現在のデータセットを理解してください。フィールドの説明については、を参照してください。
Security Directorのサービスは、ドメインネームサービス(DNS)など、デバイス上のアプリケーションを指します。サービスは、アプリケーションで使用されるプロトコルとポートに基づいており、ポリシーに追加すると、設定されたサービスをSecurity Directorによって管理されるすべてのデバイスに適用できます。サービスを作成したら、それを他のサービスと組み合わせてサービスグループを形成できます。サービスグループは、同じポリシーを複数のサービスに適用する場合に便利です。
サービスの作成に使用できるプロトコルには、TCP、UDP、SUN-RPC、MS-RPC、ICMPv6、およびその他のものがあります。
デバイスのアップデート中に、Junos Spaceの[デバイスのアップデート]で利用可能なオプションを選択することで、未使用のサービスやサービスグループをすべて削除できます。デフォルトでは、このオプションは、Security Directorの新規インストールまたは以前のリリースからのアップグレードを実行するときに有効になります。
一般的に使用されるサービスにはジュニパーネットワークスが定義したサービスオブジェクトがありますが、それらを変更または削除することはできません。これらのサービスは、Security Directorの新しいバージョンをインストールすると表示されます。
サービスを設定するには:
- [ Configure > Shared Objects > Services] を選択します。
- 「作成」をクリックします。
- 表 1 から 表 3 のガイドラインに従って設定を完了します。
- [ OK] をクリックします。
設定を含む新しいサービスまたはサービスグループが作成されます。このオブジェクトはポリシーで使用できます。また、ドメインに割り当てることもできます。 「ドメインへのポリシーとプロファイルの割り当て」を参照してください。
設定 |
ガイドライン |
|---|---|
General Information |
|
オブジェクト タイプ |
「サービス ロケーションを選択」または「サービス・グループ」を選択します。「サービス・グループ」を選択すると、画面が切り替わり、サービス・グループに含めるサービスを選択できます。 |
名前 |
必須。サービスの一意の名前を入力します。英数字で始める必要があり、63 文字を超えることはできません。ダッシュとアンダースコアを使用できます。 |
形容 |
サービスの説明を入力します。この説明は、すべての管理者にとってできるだけ役立つものにする必要があります。 |
Create Protocol |
|
名前 |
プロトコルの一意の名前を入力します。英数字で始める必要があり、63 文字を超えることはできません。ダッシュとアンダースコアを使用できます。 |
形容 |
プロトコルの説明を入力します。1,024 文字を超えることはできません。 |
種類 |
プロトコルのタイプを選択し、対応するフィールドに入力します。使用可能なタイプは、TCP、UDP、ICMP、SUN-RPC、MS-RPC、ICMPv6、および Other です。[TCP] を選択した場合は、この表に進みます。その他のプロトコル タイプについては、表 2 を参照してください。 |
宛先ポート |
TCPの宛先ポート番号を入力します。これは、0 から 65,535 までの値または値の範囲です。 [宛先ポート(Destination Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になるというメッセージが表示されます。"Any" は null または空を表します。「 キャンセル 」をクリックして宛先ポートを入力するか、「 OK 」をクリックしてデフォルト値を続行します。 |
Advanced Settings |
|
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ALG |
該当する場合は、 ALG (アプリケーション層ゲートウェイ)サービスオプションを選択します。 |
送信元ポートとポート範囲 |
プロトコルの送信元ポートまたはポート範囲を入力します。 [送信元ポート(Source Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になることを示すメッセージが表示されます。"Any" は null または空を表します。「 キャンセル 」をクリックして送信元ポートを入力するか、「 OK 」をクリックしてデフォルト値を続行します。 |
Security Directorリリース18.3R1以降、名前、宛先ポート、タイムアウト時間、送信元ポートまたはポート範囲などのプロトコルの詳細が重複するサービスオブジェクトを作成することはできません。重複したコンテンツを持つサービスの作成は、Junos Spaceネットワーク管理プラットフォームの共有オブジェクト設定に基づきます。
デフォルトでは、重複するサービス オブジェクトを作成できます。Security Directorで重複するサービスの作成を許可しない場合は、[ネットワーク管理プラットフォーム]に移動し、[管理]>[アプリケーション]>[アプリケーション設定の変更]>[共有オブジェクト]を選択します。このチェックボックスをオンにすると、重複するコンテンツを持つサービスが作成されないようにします。Security Directorで重複するコンテンツを選択すると、エラーメッセージが表示されます。
表 2 は、さまざまなプロトコル タイプの設定とガイドラインを示しています。
設定 |
ガイドライン |
|---|---|
UDP |
|
宛先ポート |
UDP の宛先ポート番号を入力します。これは、0 から 65,535 までの値または値の範囲です。 [宛先ポート(Destination Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になるというメッセージが表示されます。"Any" は null または空を表します。「 キャンセル 」をクリックして宛先ポートを入力するか、「 OK 」をクリックしてデフォルト値を続行します。 |
Advanced Settings |
|
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ALG |
該当する場合は、ALG(アプリケーション層ゲートウェイ)サービスオプションを選択します。 |
送信元ポートとポート範囲 |
UDP の送信元ポートまたはポート範囲を入力します。これは、0 から 65,535 までの値または値の範囲です。 [送信元ポート(Source Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になることを示すメッセージが表示されます。"Any" は null または空を表します。「 キャンセル 」をクリックして送信元ポートを入力するか、「 OK 」をクリックしてデフォルト値を続行します。 |
ICMP |
|
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ICMPタイプ |
ICMP メッセージタイプに 0 から 225 までの値を入力します。たとえば、host unreachable の場合は 1 と入力します。これらの値は、RFC 792 で確認できます。 |
ICMP コード |
ICMP コードに 0 から 225 までの値を入力します。たとえば、エコー応答の場合は 0 を入力します。これらの値は、RFC 792 で確認できます。 |
SUN-RPC |
|
宛先ポート (ALG を有効にする が選択されている場合に使用可能) |
SUN-RPC の宛先ポートを入力します。これは、0 から 65,535 までの値または値の範囲です。 [宛先ポート(Destination Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になるというメッセージが表示されます。"Any" は null または空を表します。「 キャンセル 」をクリックして宛先ポートを入力するか、「 OK 」をクリックしてデフォルト値を続行します。 |
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ALGを有効にする |
デフォルトでは選択されていません。このプロトコルでALGを有効にする場合は、使用可能になるフィールドに宛先ポートを入力する必要があります。 |
RPCプログラム番号 |
RPC(リモートプロシージャコール)サービスの値または値範囲を入力します。たとえば、リモート実行の場合は「100,017」と入力します。これらの値は、RFC 5531 で確認できます。 |
プロトコルタイプ |
プロトコルの種類として [TCP または UDP を選択] または [UDP] を選択します。 |
MS-RPC |
|
宛先ポート (ALG を有効にする が選択されている場合に使用可能) |
MS-RPC の宛先ポートを入力します。これは、0 から 65,535 までの値または値の範囲です。 [宛先ポート(Destination Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になるというメッセージが表示されます。"Any" は null または空を表します。 「キャンセル 」をクリックして宛先ポートを入力し、「 OK 」をクリックしてデフォルト値を続行します。 |
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ALGを有効にする |
デフォルトでは選択されていません。このプロトコルでALGを有効にする場合は、使用可能になったフィールドに宛先ポート番号を入力する必要があります。 |
UUID |
MS-RPC サービスに対応する UUID 値を入力します。定義済みの値については、「MS-RPC UUID マッピング」を参照してください。 |
プロトコルタイプ |
プロトコルの種類として [TCP または UDP を選択] または [UDP] を選択します。 |
ICMPv6 |
|
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ICMPタイプ |
ICMPv6 メッセージ タイプに 0 から 225 までの値を入力します。これらの値は、RFC 4443 で確認できます。 |
ICMP コード |
ICMPv6 コードに 0 から 225 までの値を入力します。これらの値は、RFC 4443 で確認できます。 |
宛先ポート |
指定されたタイプカテゴリに一致しないプロトコルを作成するには、otherを使用します。もう一方のプロトコルの宛先ポートを入力します。これは、0 から 65,535 までの値または値の範囲です。 [宛先ポート(Destination Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になるというメッセージが表示されます。"Any" は null または空を表します。 「キャンセル 」をクリックして宛先ポートを入力し、「 OK 」をクリックしてデフォルト値を続行します。 |
Advanced Settings |
|
アクティブ タイムアウトの有効化 |
デフォルトで選択されています。このプロトコルのタイムアウト値を秒単位または分単位で入力します。最大値は 129,600 秒と 2,160 分です。 |
ALG |
該当する場合は、ALG(アプリケーション層ゲートウェイ)サービスオプションを選択します。 |
送信元ポートとポート範囲 |
他のプロトコルの送信元ポートまたはポート範囲を入力します。 [送信元ポート(Source Port)] フィールドに値を指定しない場合は、デフォルト値が [任意(Any)] になることを示すメッセージが表示されます。"Any" は null または空を表します。「 キャンセル 」をクリックして送信元ポートを入力するか、「 OK 」をクリックしてデフォルト値を続行します。 |
プロトコル番号 |
プロトコル タイプのプロトコル番号を入力します。RFC 791には、プロトコルとそれに対応する番号のリストが含まれています。この番号は、データが渡されるプロトコル スタックの次に上位レベルのサービスを識別します。 |
表 3 に、サービス グループの設定とガイドラインを示します。
設定 |
ガイドライン |
|---|---|
General Information |
|
オブジェクト タイプ |
サービス ロケーションを選択グループ。「サービス・グループ」を選択すると、画面が切り替わり、サービス・グループに含めるサービスを選択できます。 |
名前 |
サービスグループの一意の名前を入力します。英数字で始める必要があり、63 文字を超えることはできません。ダッシュとアンダースコアを使用できます。 |
形容 |
サービスグループの説明を入力します。この説明は、すべての管理者にとってできるだけ役立つものにする必要があります。 |
サービス |
サービスグループに含める各サービスの横にあるチェックボックスを選択します。矢印をクリックして、選択したサービスを [使用可能] 列から [選択済み] 列に移動します。各列の上部にあるフィールドを使用して、リストされているサービスを検索できることに注意してください。 選択したサービスグループがすでに利用可能な場合、重複するコンテンツを持つサービスグループの作成は、Junos Spaceネットワーク管理プラットフォームの共有オブジェクト設定に基づきます。 デフォルトでは、重複するサービスグループを作成できます。Security Directorで重複するサービスグループの作成を許可しない場合は、[ ネットワーク管理プラットフォーム ]に移動し、[ 管理]>[アプリケーション]>[アプリケーション設定の変更]>[共有オブジェクト]を選択します。このチェックボックスをオンにすると、重複するコンテンツを持つサービスグループが作成されなくなります。Security Directorで重複するコンテンツを選択すると、エラーメッセージが表示されます。 |