Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティポリシーのインポートの概要

Juniper Security Director Cloud では、次世代セキュリティデバイスからセキュリティポリシー設定をインポートできます。これらの非ZTPデバイスのオンボーディングプロセス中に、既存のセキュリティポリシー設定を発見し、組み込むことができます。

Juniper Security Director Cloud は、アドレス、サービス、スケジューラ、SSLプロファイル、コンテンツセキュリティ、IPS、レイヤー7アプリケーションなどのオブジェクトを固有の名前で識別します。セキュリティポリシーをインポートする際、サポートするすべてのオブジェクトを取り込み、それらの名前を次世代セキュリティデバイス上のオブジェクトと比較します。オブジェクトの名前が既存の名前と同じであるが、値が異なる場合に競合が発生します。

これらの名前の競合に対処するために、オブジェクト競合解決(OCR)操作が開始されます。 表1 に、競合を解決するために選択できるアクションを示します。

表1:オブジェクト競合解決アクション
シナリオアクション

オブジェクト名が Juniper Security Director Cloudに存在しません。

オブジェクトが Juniper Security Directorクラウドに追加されます。

同じコンテンツのオブジェクト名が存在します。

新しいオブジェクトは追加されず、既存のオブジェクトが使用されます。

異なるコンテンツのオブジェクト名が存在します。

オブジェクト競合解決操作がトリガーされます。これらのアクションのいずれかを選択して、オブジェクトの競合を解決できます。

  • オブジェクトの名前を変更

    • オブジェクト名に _1 サフィックスが追加され、オブジェクトが追加されます。また、新しい一意の名前を指定することもできます。これはデフォルトのオプションです。

    • セキュリティポリシーを展開すると、既存のオブジェクトが名前を変更したオブジェクトに置き換えられます。セキュリティポリシーラベルは更新されますが、ポリシーに機能的な変更はありません。

  • インポートされた値で上書き

    • 既存のオブジェクトが新しいオブジェクトに置き換えられます。
    • セキュリティポリシーを展開すると、新しいオブジェクトがすべてのデバイスで更新されます。ポリシーに機能的な変更はありません。
    • Juniper Security Director Cloudからデバイスを更新すると、すべてのデバイスへのトラフィックが影響を受ける可能性があります。

  • 既存のオブジェクトを保持

    • 既存のオブジェクト名が使用されます。
    • セキュリティポリシーを展開すると、オブジェクトのコンテンツが更新されます。
    • そこでは、オブジェクトのコンテンツが異なるために、すべてのデバイスへのトラフィックが影響を受ける可能性があります。

オブジェクト競合の解決例

この図は、ポリシーのインポートとオブジェクト競合の解決を示しています。 Juniper Security Director Cloud の既存のオブジェクトは、既存のアドレスの下に表示されます。次世代ファイアウォール上のオブジェクトは、インポートするアドレスの下に表示されます。

セキュリティポリシーのインポート中、オブジェクト競合解決(OCR)は両方のセットを比較し、名前の競合があればフラグを立てます。この図には、オブジェクトの名前を変更、インポートされた値で上書き、または既存のオブジェクトを保持するという3つの解決オプションが表示されており、結果のオブジェクトはOCR後にインポートされたアドレスの下に表示されます。

図1:オブジェクト競合の解決例 Image illustrating the object conflict resolution process