セキュリティポリシーの概要
セキュリティポリシーは、デバイスを通過するトラフィックを管理するために特定のルールを適用し、ルールの指示に従って許可またはブロックします。これらの規制は、データフローを制御するだけでなく、ネットワークトランスポート(レイヤー4)プロトコルとアプリケーション(レイヤー7)プロトコルの両方を1つの規制に統合することもできます。セキュリティ ポリシーのルールには、通常、送信元と宛先の情報、IP アドレス、ユーザー ID、URL カテゴリ、サービス、アプリケーションが含まれます。
デバイスにリンクされているセキュリティポリシーを作成、編集、および削除できます。このページにアクセスするには、[ SRX > セキュリティポリシー > SRX ポリシー]を選択します。
Junos OS リリース 18.2R1 以降を搭載した CPE デバイスまたは次世代ファイアウォールでは、セキュリティ ポリシーは統合セキュリティ ポリシーとして機能します。これにより、動的なアプリケーションが条件とともにポリシーの一致基準を定義として機能し、アプリケーショントラフィックを制御するために個別のアプリケーションセキュリティを設定する必要がなくなります。
セキュリティポリシーのメリット
- アプリケーションに基づいて、トラフィックの許可、拒否、拒否、リダイレクト、またはトンネリングを行います。
- HTTPトラフィックだけでなく、その上で動作するすべてのアプリケーションも認識するため、ポリシーを効果的に適用できます。たとえば、アプリケーションのセキュリティ規則では、Facebook からの HTTP トラフィックをブロックし、Microsoft Outlook への HTTP Web アクセスを許可することができます。
- 以下を指定することで、高度なセキュリティ保護を提供します。
- 侵入防御システム(IPS)プロファイル
- コンテンツ セキュリティ プロファイル
- SSL プロキシ プロファイル
-
ルールをゾーンベースのルールとグローバルルールに分類します。
-
ゾーンベースルールは、送信元エンドポイントと宛先エンドポイントとしてゾーンを持つルールです。
-
グローバル ルールにより、ゾーン制限なしでトラフィックに対してアクションを実行する柔軟性が得られます。
表 1:ゾーンベース ルールとグローバル ルールのパラメータ 送信元 、宛先、 アプリケーション/サービス アクション 、高度なセキュリティオプション 、サポートされているオプション ゾーン
アドレス
同一性
ゾーン
アドレス
URL カテゴリ
アプリケーション
サービス
許す
打ち消す
リジェクト
リダイレクト
トンネル
IPS プロファイル
コンテンツ セキュリティ プロファイル
SSL プロキシ プロファイル
スケジュール
伐採
ルールのオプション
-
セキュリティポリシーとルールの順序
セキュリティ ポリシーとルールは、表示される順序で適用されます。
-
セキュリティ ポリシーおよびセキュリティ ポリシー内のルールは、上から下に順次適用されます。たとえば、次の 2 つのセキュリティ ポリシーがあるシナリオについて考えてみます。
-
シーケンス番号 1 の Rule-a と Rule-b を含む P1
-
シーケンス番号 2 の Rule-a と Rule-b を含む P2
デプロイ後、セキュリティ ポリシーとルールは次の順序で適用されます。
-
P1ルール -a
-
P1 ルール b
-
P2 ルール a
-
P2 ルール b
-
-
新しいセキュリティ ポリシーとルールがリストの最後に追加されます。
-
デフォルトポリシーはリストの最後のポリシーで、すべてのトラフィックを拒否します。
-
1 つのセキュリティ ポリシー ルールが、別のセキュリティ ポリシー ルールをマスクできます。
-
セキュリティ ポリシーとルールの順序は、並べ替え機能を使用して変更できます。
フィールドの説明
畑 |
形容 |
---|---|
シーケンス |
ポリシーの注文番号。 |
名前 |
セキュリティ ポリシーの名前。 |
準則 |
ポリシーに関連付けられているルールの数。 ポリシーにルールが関連付けられていない場合は、[ルールの追加(Add Rule)] リンクが表示されます。セキュリティポリシールールの追加を参照してください |
デバイス |
ポリシーに関連付けられているデバイスの数。 |
地位 |
セキュリティ ポリシーの展開ステータス。
|
変更者 |
ポリシーを変更したユーザー。 |
最終更新日 |
ポリシーが変更された日時。 |
形容 |
セキュリティ ポリシーの説明。 |