ファイアウォール ポリシー ルールの作成

General Information

ルール名

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは許可されておらず、;最大長は 63 文字です。

形容

ポリシー・ルールの説明を入力します。最大長は 1024 文字です。このフィールドに入力されたコメントは、デバイスに送信されます。

Identify the traffic that the rule applies to

(出典)ゾーン

SRXシリーズデバイスでは、送信元ゾーン(from-zone)を指定してポリシーのコンテキストを定義します。ゾーンポリシーは、あるセキュリティゾーン(送信元ゾーン)から別のセキュリティゾーン(宛先ゾーン)に入るトラフィックに適用されます。この送信元ゾーンと宛先ゾーンの組み合わせをコンテキストと呼びます。

Junos Space Security Directorリリース16.2以降、MXシリーズルーターでは、送信元ゾーンフィールドは、パケットが入るイングレスインターフェイスとして機能します。パケットがインターフェイスに入る場合、一致方向が入力されます。パケットがインターフェイスを離れる場合、一致方向が出力されます。集約されたマルチサービス (AMS) 値を選択して、イングレス キーを構成します。

Junos Space Security Directorリリース16.2以降、SRXシリーズデバイスとMXシリーズルーターを同じグループポリシーに割り当てると、ポリモーフィックゾーンを送信元ゾーンおよび宛先ゾーンとして使用できます。

(出典)住所

1 つ以上のアドレス名またはアドレス セット名を入力します。[ 選択 ] をクリックして、送信元アドレスを追加します。

[送信元アドレス] ページで、次の操作を行います。

• [任意のアドレスを含める(Include Any Address)]:ルールオプションは、ファイアウォールルールに任意のアドレスを追加します。

• [Include Specific]:選択した送信元アドレスをルールに追加します。

  NSX Manager を追加すると、セキュリティ グループが同期され、対応する動的アドレス グループ (DAG) が Security Director データベースに作成されます。NSX Manager で、リストから必要な DAG を選択します。

• [特定の除外(Exclude Specific)]:選択した送信元アドレスをルールから除外します。

• [メタデータ フィルタ別(By Metadata Filter)]:ユーザ定義メタデータの一致するアドレスを送信元アドレスとして選択します。

  • [メタデータ フィルター(Metadata Filter)]:フィールドをクリックして、リストから必要なメタデータを選択します。一致するアドレスがフィルタリングされ、[一致したアドレス(Matched Address)] フィールドに一覧表示されます。

  • [一致したアドレス(Matched Addresses)]:選択したメタデータに一致するアドレスをリストします。このアドレスは、送信元アドレスとして使用されます。

    メタデータ式ごとに、一意の動的アドレス グループ (DAG) が作成されます。この DAG には、Security Director のフィード サーバー URL を指すフィード サーバー URL があります。

    Office 365が、Microsoft Office 365サービスエンドポイント情報(IPアドレス)をSRXシリーズデバイスにプッシュするためのサードパーティフィードのリストに含まれるようになりました。このフィードは他のフィードとは動作が異なり、事前定義された名前「ipfilter_office365」など、特定の設定パラメータが必要です。Juniper ATP Cloud で Office 365 フィードを有効にする必要があります。Juniper ATP Cloud で Office 365 フィードを有効にし、ipfilter_office365 フィードを参照する SRXシリーズデバイス で DAG を作成する方法については、「 サード パーティの脅威フィードの有効化」を参照してください。

    次のCLIコマンドを使用して、メタデータベースのポリシーで動作する各SRXシリーズデバイスまたはvSRXにフィードサーバーのURLを設定します。

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

アドレスとアドレス グループの作成を参照してください。

(出典)ユーザーID

ポリシーの一致条件として使用するソースID(ユーザーおよびロール)を指定します。ユーザーロールとユーザーグループに基づいて異なるポリシールールを設定できます。

[ 選択 ] をクリックして、許可または拒否するソース ID を指定します。「ユーザー ID」ページで、使用可能なリストからユーザー ID を選択するか、「 新規ユーザー ID の追加」をクリックして新しい ID を追加できます。

Security DirectorデータベースからユーザIDを削除するには、[ ユーザーの削除 ]をクリックし、どのポリシーにも設定されていない値をドロップダウンリストから選択します。ポリシーで設定されたユーザー ID を削除しようとすると、参照 ID とユーザー ID が記載されたメッセージが表示されます。

(出典)エンドユーザープロファイル

リストからエンド ユーザー プロファイルを選択します。ファイアウォールポリシールールが適用されます。

デバイスAからのトラフィックがSRXシリーズデバイスに到達すると、SRXシリーズは最初のトラフィックパケットからデバイスAのIPアドレスを取得し、それを使用してデバイスアイデンティティ認証テーブルで一致するデバイスアイデンティティエントリーを検索します。次に、そのデバイス アイデンティティ プロファイルを、エンド ユーザ プロファイル フィールドでデバイス アイデンティティ プロファイル名が指定されているセキュリティ ポリシーと照合します。一致が見つかった場合、デバイスAから発行されるトラフィックにセキュリティポリシーが適用されます。

(宛先)ゾーン

SRXシリーズデバイスでは、宛先ゾーン(to-zone)を指定してポリシーのコンテキストを定義します。ゾーンポリシーは、あるセキュリティゾーン(送信元ゾーン)から別のセキュリティゾーン(宛先ゾーン)に入るトラフィックに適用されます。この送信元ゾーンと宛先ゾーンの組み合わせをコンテキストと呼びます。

Junos Space Security Directorリリース16.2以降、MXシリーズルーターでは、このフィールドはパケットが入るエグレスインターフェイスとして機能します。パケットがインターフェイスに入る場合、一致方向が入力されます。パケットがインターフェイスを離れる場合、一致方向が出力されます。集約されたマルチサービス(AMS)値を選択して、エグレスキーを設定します。

ポリモーフィック ゾーンは、SRXシリーズ デバイスと MXシリーズ ルーターを同じグループ ポリシーに割り当てると、送信元ゾーンおよび宛先ゾーンとして使用できます。

(宛先)住所

1 つ以上のアドレス名またはアドレス セットを選択します。[ 選択(Select )] をクリックして、宛先アドレスを追加します。

[宛先アドレス] ページで、次の操作を行います。

• [ 含める(Include )] オプションを選択して、選択した宛先アドレスまたは任意のアドレスをルールに追加します。

• [ 除外(Exclude )] オプションを選択して、選択した宛先アドレスをルールから除外します。

• 「 メタデータフィルター別 」オプションを選択して、ユーザー定義メタデータの一致するアドレスを宛先アドレスとして選択します。

  • [メタデータ フィルター(Metadata Filter)]:フィールドをクリックして、リストから必要なメタデータを選択します。一致するアドレスがフィルタリングされ、[一致したアドレス(Matched Address)] フィールドに一覧表示されます。

  • [一致したアドレス(Matched Addresses)]:選択したメタデータに一致するアドレスをリストします。このアドレスは、宛先アドレスとして使用されます。

    メタデータ式ごとに、一意の動的アドレス グループ (DAG) が作成されます。この DAG には、Security Director のフィード サーバー URL を指すフィード サーバー URL があります。

    Office 365が、Microsoft Office 365サービスエンドポイント情報(IPアドレス)をSRXシリーズデバイスにプッシュするためのサードパーティフィードのリストに含まれるようになりました。このフィードは他のフィードとは動作が異なり、事前定義された名前「ipfilter_office365」など、特定の設定パラメータが必要です。Juniper ATP Cloud で Office 365 フィードを有効にする必要があります。Juniper ATP Cloud で Office 365 フィードを有効にし、ipfilter_office365 フィードを参照する SRXシリーズデバイス で DAG を作成する方法については、「 サード パーティの脅威フィードの有効化」を参照してください。

    次のCLIコマンドを使用して、メタデータベースのポリシーで動作する各SRXシリーズデバイスまたはvSRXにフィードサーバーのURLを設定します。

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

アドレスとアドレス グループの作成を参照してください。

(宛先)URLカテゴリ

1 つ以上の定義済みまたはカスタム URLカテゴリを一致条件として選択します。URLカテゴリは、Junos OS リリース18.4R3以降を実行しているデバイスでサポートされています。

[ 選択 ] をクリックして、URLカテゴリを選択します。[使用可能(Available)] リストから 1 つ以上の定義済みまたはカスタム URL カテゴリを選択し、[選択済み(Selected)] リストに移動します。[ OK] をクリックします。

(サービスプロトコル)サービス

1 つ以上のサービス (アプリケーション) 名を選択します。「含める」、「任意のサービス」を選択して、サービスリストビルダーの「任意」オプションを無効にします。[サービス リスト ビルダーの使用可能な(Services List Builder available)] 列のサービスを許可または拒否するには、[任意のサービス(Any Service)] チェックボックスをオフにします。「新規サービスの追加」をクリックして、サービスを作成します。 「サービスおよびサービスグループの作成」を参照してください。

アプリケーション シグネチャ

「+」アイコンをクリックして、アプリケーションのシグネチャを追加します。定義済みのアプリケーション シグネチャとカスタム アプリケーション シグネチャの両方を追加できます。

Advanced Security

ルール アクション

アクションは、指定された基準に一致するすべてのトラフィックに適用されます。

• 拒否—デバイスはセッションのすべてのパケットをサイレントにドロップし、TCPリセットやICMP到達不能などのアクティブな制御メッセージを送信しません。

• 拒否—プロトコルがTCPの場合はデバイスがTCPリセットを送信し、プロトコルがUDP、ICMP、またはその他のIPプロトコルの場合はデバイスからICMPリセットを送信します。このオプションは、信頼できるリソースに直面して、アプリケーションがタイムアウトを待つ時間を無駄にせず、代わりにアクティブなメッセージを取得する場合に便利です。

• [許可(Permit)]:デバイスは、ポリシーに適用したファイアウォール認証のタイプを使用してトラフィックを許可します。

• [トンネル(Tunnel)]:デバイスは、ポリシーに適用した VPN トンネリング オプションのタイプを使用してトラフィックを許可します。

先進のセキュリティ

ファイアウォールポリシーは、ネットワークトラフィックがポリシーの一致条件によって指示されたトラフィックのみに制限されるようにする、セキュリティのコアレイヤーを提供します。

ファイアウォールポリシーは、ネットワークトラフィックがポリシーの一致条件によって指示されたトラフィックのみに制限されるようにする、セキュリティのコアレイヤーを提供します。従来のポリシーでは不十分な場合は、アプリケーション識別コンポーネントを選択して、ポリシーの高度なセキュリティプロファイルを作成します。

• [App Firewall]:アプリケーションファイアウォールを階層化しながら、トラフィックに従来のファイアウォール制御を適用するには、このオプションを選択して、アプリケーションがポート情報だけでなく、クライアントとサーバー間で送信される内容にも準拠するようにします。アプリケーションを許可、拒否、および拒否できます。HTTPとHTTPS用の特別なリダイレクト機能もあります。

  [ 新規追加(Add New)] リンクをクリックしてアプリケーション ファイアウォール ポリシーを作成し、[ 新しい APPFW ルールの追加(Add New APPFW Rule )] をクリックしてルールを作成します。 「アプリケーションファイアウォールポリシーの作成」を参照してください。

• [SSL フォワード プロキシ(SSL Forward Proxy)]:インターネットに暗号化技術を提供するアプリケーションレベルのプロトコルを有効にするには、このオプションを選択します。

  [ フォワード プロキシの追加(Add Forward Proxy )] をクリックして、SSL フォワード プロキシ プロファイルを作成します。 「SSL フォワード プロキシ プロファイルの作成」を参照してください。

  [リバー ス プロキシの追加(Add Reverse Proxy )] をクリックして、SSL リバース プロキシ プロファイルを作成します。 「SSL リバース プロキシ プロファイルの作成」を参照してください。

• [IPS]:IPS 値を [オン(On)] または [オフ(Off)] として選択します。

• IPS ポリシー—標準ファイアウォール ポリシー内の IPS ポリシーをサポートします。ファイアウォールポリシーに割り当てる IPS ポリシーを選択します。どのデバイスにも割り当てられていない IPS ポリシーは、ドロップダウンに一覧表示されます。

  Junos OS リリース 18.2 以降のデバイスでは、割り当てられた IPS ポリシーの CLI 設定が、標準のファイアウォール ポリシーとともに生成されます。

  手記：

  ルール アクションは [許可] である必要があります。

  • Junos OS リリース 18.1 以前では、IPS を On または Off として、かつ IPS ポリシーを持つポリシーを設定した場合、Security Director は IPS ポリシーを無視し、IPS On CLI コマンドのみをデバイスに送信します。

  • Junos OS リリース 18.2 以降では、IPS を On または Off として、かつ IPS ポリシーの両方を持つポリシーを設定した場合、Security Director は IPS On CLI コマンドを無視し、IPS ポリシー CLI コマンドのみをデバイスに送信します。

• UTM—クライアント側の脅威に対するレイヤー 7 保護を定義するには、このオプションを選択します。

  [ 新規追加(Add New )] をクリックして、コンテンツ セキュリティ ポリシーを作成します。 「UTMポリシーの作成」を参照してください。

• [Secure Web Proxy()]: [Secure Web Proxy プロファイルの作成(Create a Profile)] で作成したセキュア Web プロキシ プロファイルを選択します。

  セキュア Web プロキシを使用すると、選択したアプリケーションのトラフィックが外部プロキシ サーバをバイパスして Web サーバに直接送信されるようにすることができます。

• 脅威防止ポリシー - 選択した脅威プロファイル(コマンドおよびコントロールサーバー、感染したホスト、マルウェアなど)の保護と監視を提供するオプションを選択します。

脅威プロファイリング

Juniper ATP Cloudの適応型脅威プロファイリングにより、SRXシリーズデバイスは、独自の高度な検出とポリシー一致イベントに基づいて、脅威フィードを生成、伝送、利用することができます。

Junos Space Security Director リリース 21.2 以降では、送信元アドレスと宛先アドレスを脅威タイプとして設定し、トラフィックがルールに一致すると、送信元 IP アドレスとIP アドレスを選択した脅威フィードに挿入するファイアウォール ポリシーを設定できます。脅威フィードは、他のデバイスから動的アドレスグループ(DAG)として利用できます。

[フィードに元 IPを追加(Add to Feed)]:リストからセキュリティ フィードを選択します。トラフィックがルールに一致すると、送信元 IP アドレスが脅威フィードに追加されます。

[フィードに宛先 IPを追加(Add to Feed)]:リストからセキュリティ フィードを選択します。トラフィックがルールに一致すると、IP アドレスが脅威フィードに追加されます。

Rule Options

プロフィール

デフォルトプロファイルまたはカスタムプロファイルを選択するか、別のポリシーからポリシープロファイルを継承できます。ポリシープロファイルは、セキュリティポリシーの基本設定を指定します。 ファイアウォールポリシープロファイルの作成をご覧ください。

計画

ポリシー スケジュールを使用すると、ポリシーをいつアクティブにするかを定義できるため、暗黙的な一致条件になります。ポリシーがアクティブな曜日と時刻を定義できます。たとえば、営業時間に基づいてアクセスを開始または終了するセキュリティ ポリシーを定義できます。複数のスケジューラを異なるポリシーに適用できますが、1 つのポリシーでアクティブにできるスケジューラは 1 つだけです。事前に保存されたスケジュールを選択すると、選択したスケジュールのデータがスケジュール オプションに入力されます。[ 新規 ] をクリックして、別のスケジュールを作成します。

Rule Analysis

新しいルール、分析の実行

異常を回避するためにルールを分析する場合は、このオプションを選択します。

Rule Placement

ロケーション/シーケンス

シーケンス番号とルールが配置される順序が表示されます。