ルール配置分析
セキュリティポリシールールは、整理整頓によって時間の経過とともに効果を失い、非効率性につながる可能性があります。これは、新しいルールが追加されたときにユーザーにすぐに通知されず、ルールベース内の既存のルールに悪影響を与える可能性があるために発生することがよくあります。 Juniper Security Director Cloud は、ルールが配置されている場所を分析し、セキュリティポリシールールに異常を防止するための適切なルール配置の提案を提供することで、この問題に対処します。
ルール配置分析は、セキュリティポリシー内の新しいルールに対してのみ使用できます。
セキュリティポリシーを作成するか、既存のセキュリティポリシーを編集するときに、ルール配置分析を有効にできます。ルール配置分析では、以下の問題を含むセキュリティポリシールールが特定されます。
-
シャドーイング—ルールベースの順序より高いルールが、ルールベースの順序より低いルールのすべてのパケットと一致する場合に発生します。
-
冗長性—2つ以上のルールが同じパケットに対して同じアクションを実行し、同じ設定または構成を実行した場合に発生します。
ルール配置分析動作 は、さまざまなタイプのセキュリティポリシールールのルール配置分析動作を示しています。この表では、2つのルール(既存のルールと新しいルール)を使用して、ルールの配置のしくみを説明しています。
| 条件 | ルール1(既存) | ルール2(新規) | 推奨されるルールの配置 |
|---|---|---|---|
| 完全一致 新しいルールのソース、宛先、アプリケーション/サービス、およびアクションフィールドの既存のルールと同じ値を持つ場合、新しいルールは既存のルールの後に配置する必要があります。 |
|
|
ルール1の後にルール2を配置します。 |
| 別のアクションとの完全一致 新しいルールが 送信元、 宛先、 およびアプリケーション/サービス フィールドの既存のルールと同一で アクションが異なる場合、新しいルールを既存のルールの前に配置する必要があります。 |
|
|
ルール1の前にルール2を配置します。 |
| 新しいルールは既存のルールのサブセットです。 新しいルールが既存のルールのサブセット(より具体的)である場合、新しいルールは既存のルールの前に配置する必要があります。 |
|
|
ルール1の前にルール2を配置します。 |
| 新しいルールは、既存のルールのスーパーセットです。 新しいルールが既存ルールのスーパーセット(より一般的な)である場合、新しいルールは既存ルールの後に配置する必要があります。 |
|
|
ルール1の後にルール2を配置します。 |
| 部分一致 新しいルールが既存のルールと部分的に一致する場合、新しいルールは既存のルールの上に配置する必要があります。 |
|
|
ルール1の前にルール2を配置します。 |
| 一致またはオーバーラップなし 新しいルールが既存のルールと重複しない場合、新しいルールを既存のルールの最上位に配置する必要があります。 |
|
|
ルール1の前にルール2を配置します。 |