ルールのルール配置分析
ルールがまとまりなくなり、セキュリティポリシーのルールが非効率になり、一部のルールが無効になることがあります。これは主に、ルール ベース内の他のルールに悪影響を与える可能性のある新しいルールが追加されたときに、エンド ユーザーにタイムリーに通知されないために発生します。
Juniper Security Director Cloud は、ルールの配置を分析し、特定のポリシーのルールの異常を回避するための正しいルール配置を提案することで、この問題に対処します。
-
ルール配置分析は、セキュリティ ポリシーを作成するとき、または既存のセキュリティ ポリシーを編集するときに有効にできます。
-
ルール配置分析の提案は、セキュリティ ポリシーで新しく作成されたルールに対してのみ使用できます。
ルール配置分析により、次の問題を含むセキュリティ ポリシー ルールが特定されます。
-
シャドーイング:ルール ベースの順序で上位のルールが、ルール ベースの順序で下位にあるルールのすべてのパケットと一致する場合に発生します。
-
冗長性 - 2 つ以上のルールが、同じ設定または構成とともに、同じパケットに対して同じアクションを実行する場合に発生します。
次のリストは、さまざまなタイプのセキュリティ ポリシー ルールのルール配置分析の動作を示しています。
-
完全一致:新しく作成されたルールの値が [送信元(Sources)]、[ 宛先(Destination)]、[ アプリケーション/サービス(Application/Services)]、および [アクション(Action )] フィールドの場合、新しいルールは既存のルールの後に配置する必要があります。
-
異なるアクションとの完全一致:新しく作成されたルールが [ソース(Sources)]、[ 宛先(Destination)]、[ アプリケーション/サービス(Application/Services )] フィールドの既存のルールと同一で、 アクションが異なる場合は、新しいルールを既存のルールの前に配置する必要があります。
-
[新しいルールは既存のルールのサブセットである] - 新しく作成されたルールが既存のルールのサブセットである場合、新しいルールは既存のルールの前に配置する必要があります。
-
[新しいルールは既存のルールのスーパーセットである] - 新しく作成されたルールが既存のルールのスーパーセットである場合、新しいルールは既存のルールの後に配置する必要があります。
-
部分一致:新しく作成されたルールが既存のルールと部分的に一致する場合、新しく作成されたルールを既存のルールの上に配置する必要があります。
-
一致しない、または重複しない - 新しく作成されたルールが既存のルールと重複しない場合は、新しく作成されたルールを既存のルールの先頭に配置する必要があります。
次の表は、さまざまなタイプのルールのルール配置分析の例をいくつか示しています。
| 条件 | ルール1 (既存) | ルール 2 (新規) | 推奨されるルールの配置 |
|---|---|---|---|
| 完全一致 |
|
|
ルール 1 の後にルール 2 を配置します。 |
| 別のアクションとの完全一致 |
|
|
ルール 2 をルール 1 の前に配置します。 |
| 新しいルールは、既存のルールのサブセットです |
|
|
ルール 2 をルール 1 の前に配置します。 |
| ルール 2 は、既存のルールのスーパーセットです |
|
|
ルール 1 の後にルール 2 を配置します。 |
| 部分一致 |
|
|
ルール 2 をルール 1 の前に配置します。 |
| 一致しない、または重複しない |
|
|
ルール 2 をルール 1 の前に配置します。 |