Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュアエッジポリシールールを追加する

このページを使用して、コンテキスト内でトランジットトラフィックを制御するSecure Edgeポリシールールを追加します。トラフィックは、送信元サイト、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションをポリシーデータベースと照合することによって分類されます。

また、次のうち 1 つ以上を指定して、高度なセキュリティ保護を有効にすることもできます。

  • 侵入防御システム(IPS)プロファイル
  • プロファイルの復号化
  • Web フィルタリング
  • コンテンツ フィルタリング
  • SecIntelグループ
  • アンチマルウェア
  • Cloud Access Security Broker(CASB)

Juniper Secure Edgeでは、オンプレミスのユーザーとデバイスを認証するために、以下の方法を提供しています。

  • JIMS(ジュニパーID管理システム):お客様の拠点にJIMS(ジュニパーID管理システム)コレクターを導入できます。JIMSは、ドメインに参加している認証済みユーザーをアクティブディレクトリから取得し、その情報をJuniper Secure Edgeサービスに渡します。このアクションにより、ドメインに参加しているユーザーは、再認証を行うことなくJuniper Secure Edgeを介してアプリケーションにシームレスにアクセスでき、最高のユーザーエクスペリエンスを確保できます。

    手記:

    オンプレミスのJIMSコレクターをデプロイせずにユーザーグループ情報を取得することもできます。Juniper Secure EdgeでIDプロバイダ(IdP)設定を構成して、Microsoft Entra ID(Azure AD)またはOktaからユーザーグループ情報を取得します。Juniper Secure Edgeは、Microsoft Entra IDまたはOktaからユーザーグループ情報を受信します。管理者は、ユーザーグループを使用してセキュリティポリシーを管理できます。

  • キャプティブポータル - キャプティブポータルオプションを有効にして、Juniper Secure Edgeにオンプレミスユーザーの認証を要求することもできます。ドメインに参加していないユーザーを Juniper Secure Edge によって認証する場合や、JIMS コレクターが Active Directory サーバーと通信できない場合に備えて認証メカニズムをバックアップする場合は、このオプションを検討してください。既定では、この機能はオンプレミス ユーザーに対して無効になっています。キャプティブ ポータル機能を有効にする前に、次の点を考慮してください。

    • オンプレミス ユーザー (ゲスト ユーザーなど) と、Active Directory が認証できないデバイスに対してポリシーの例外を作成する必要があります。

      • このようなユーザーやデバイスにJuniper Secure Edgeを介したアクセスを許可する場合は、このような例外ポリシーをキャプティブポータルポリシーの上に配置する必要があります。
      • さらに、ポリシー設定を管理するには、このようなユーザーとデバイスを独自の IP サブネットに配置する必要があります。
    • キャプティブ ポータル ポリシーは、ブラウザベースのトラフィックに対してのみ機能します。

    • 推奨される DHCP リース時間は 5 時間です。有効期限が切れる前にリースを更新するか、リースが更新されない場合は新しい IP アドレスを要求する必要があります。DHCP リースが更新されない場合、または新しい IP アドレスが DHCP によって割り当てられた場合は、再認証する必要があります。

Secure Edgeのポリシー・ルールを構成するには:

  1. [セキュアエッジ>セキュリティポリシー]を選択します。

    [セキュア エッジ ポリシー] ページが表示されます。

  2. [+] をクリックします。
    Secure Edge ポリシー ルールを作成するオプションは、[Secure Edge Policy] ページにインラインで表示されます。
  3. 表 1 に示すガイドラインに従って構成を完了します。
  4. チェックマークアイコン✓をクリックして変更を保存します。
    指定された構成の新しい Secure Edge ポリシー規則が保存され、確認メッセージが表示されます。
    表 1: Secure Edge ポリシーの追加ページのフィールド
    フィールド の説明
    ルール名 数字または文字で始まり、文字、数字、ダッシュ、アンダースコアで構成される一意の文字列を入力します。スペースは使用できず、最大長は 63 文字です。名前を入力しない場合、ルールはJuniper Secure Edgeによって割り当てられたデフォルト名で保存されます。
    形容 ポリシー ルールの説明を入力します。最大長は 900 文字です。説明は、'&'、'<'、'>'、および '\n' 文字を除いた文字列である必要があります。
    ソース 追加アイコン(+)をクリックして、表示されたサイト、アドレス、およびユーザーグループのリストから、Secure Edgeポリシールールが適用されるソースエンドポイントを選択します。
    目的 地 追加アイコン(+)をクリックして、表示されたアドレスとURLカテゴリのリストから、Secure Edgeポリシールールが適用される宛先エンドポイントを選択します。
    アプリケーション/サービス 追加アイコン(+)をクリックして、アプリケーションとサービスを選択します。
    手記:

    CASB でサポートされているクラウド アプリケーションに依存するアプリケーションを選択します。依存アプリケーションの詳細については、 CASB プロファイルの作成を参照してください。

    アクション ドロップダウンメニューから、送信元と宛先間のトラフィックに対するアクションを選択します。
    • 許可—デバイスはトラフィックを許可します。
    • Deny:デバイスはセッションのすべてのパケットをサイレントにドロップし、TCP リセットや ICMP unreachable などのアクティブな制御メッセージを送信しません。
    • 拒否—デバイスはパケットをドロップし、トラフィックタイプに基づいて次のメッセージを送信します。
      • TCPトラフィック:デバイスがTCPリセットメッセージを送信元ホストに送信します。
      • UDPトラフィック:デバイスはICMPメッセージ「宛先到達不能、ポート到達不能」を送信します。
      • その他のすべてのトラフィックの場合:デバイスは送信元ホストに通知せずにパケットをドロップします。
    • リダイレクト—ポリシーが拒否アクションでHTTPまたはHTTPSトラフィックをブロックする場合、接続されたクライアントに通知するための応答を統合ポリシーで定義できます。リダイレクトオプション:
      • メッセージ - ドロップダウン リストからメッセージを選択するか、[ リダイレクト メッセージの作成 ] をクリックしてメッセージを入力します([ブロック メッセージ(Block Message)] フィールド)。

      • URL - ドロップダウン リストからリダイレクト URL を選択するか、[ リダイレクト URL の追加 ] をクリックしてリダイレクト URL を入力します。

    セキュリティサブスクリプション
    手記:

    すべてのセキュリティ サブスクリプション オプションを構成できるのは、アクションに対して [許可] を選択した場合のみです。

    • IPS:アクションを許可に設定すると、IPSプロファイルを有効にできます。

      IPS プロファイルを有効にして、侵入を監視および防止します。

    • プロファイルの復号化:アクションを [許可(Permit)] または [拒否(Eject)] に設定すると、リストからプロファイルを選択して復号化プロファイルを指定できます。

      復号化プロファイルを使用して、Secure Edgeによる復号化または復号化のためにバイパスされる可能性のあるトラフィックを指定することができます。

      新しい復号化プロファイルを追加する場合は、[ 新規作成] をクリックします。

      CASB プロファイルを選択した場合は、復号化プロファイルを選択する必要があります。

      手記:

      CASB 対応の Microsoft Teams アプリケーションを使用する場合は、暗号化解除プロファイルを編集してアクティビティーを識別する必要があります。

      既定では、復号化プロファイル (除外リスト) には、次の Microsoft URL が含まれています。

      • *.delivery.mp.microsoft.com
      • *.teams.microsoft.com
      • *.update.microsoft.com
      • *.vortex-win.data.microsoft.com
      • activation.sls.microsoft.com
      • update.microsoft.com
      • windowsupdate.microsoft.com
      • *.windowsupdate.microsoft.com

      除外リストから *.teams.microsoft.com を削除して、Microsoft Teamsアクティビティを識別する必要があります。

    • Web フィルタリング:アクションを [許可(Permit)] に設定すると、リストからプロファイルを選択して Web フィルタリング プロファイルを指定できます。

      Web フィルタリングプロファイルを使用すると、HTTP 経由での不適切な Web コンテンツへのアクセスを防止することで、インターネットの使用を管理できます。

      新しい Web フィルタリング プロファイルを追加する場合は、[ 新規作成(Create New)] をクリックします。

    • コンテンツ フィルタリング:アクションを [許可(Permit)] に設定すると、リストからプロファイルを選択してコンテンツ フィルタリング プロファイルを指定できます。

      コンテンツフィルタプロファイルを使用して、ファイルタイプ、アプリケーション、および方向に基づいてコンテンツをフィルタリングできます。コンテンツフィルタポリシーは、他のすべてのコンテンツセキュリティポリシーよりも先にトラフィックを評価します。したがって、トラフィックがコンテンツ フィルタで設定された基準を満たす場合、コンテンツ フィルタはこのトラフィックに対して最初に動作します。

      新しいコンテンツフィルタプロファイルを追加する場合は、[ 新規作成]をクリックします。

    • SecIntel グループ - アクションを [許可] に設定すると、リストからプロファイルを選択して SecIntel プロファイル グループを指定できます。

      SecIntel プロファイル グループを使用して、異なる SecIntel プロファイルのグループを割り当てます。

      新しい SecIntel グループを追加する場合は、[ 新規作成] をクリックします。

    • マルウェア対策:アクションを [許可] に設定すると、リストからプロファイルを選択してマルウェア対策プロファイルを指定できます。

      マルウェア対策プロファイルを使用して、マルウェアをスキャンするコンテンツと、マルウェアが検出されたときに実行するアクションを定義できます。

      新しいマルウェア対策プロファイルを追加する場合は、[ 新規作成 ] をクリックします。

    • CASB:アクションを [許可] に設定すると、リストからプロファイルを選択して CASB プロファイルを指定できます。CASB プロファイルを割り当てるには、復号化プロファイルを選択する必要があります。

      CASBプロファイルをSecure Edgeポリシーに割り当てると、ポップアップウィンドウが開きます。デフォルトでは、CASB でサポートされている各クラウドアプリケーションに対してクラウドアプリケーショングループが選択されます。このオプションはグレー表示されているため、これらのグループを編集することはできません。クラウドアプリケーショングループの詳細については、「 CASB プロファイルの作成」を参照してください。

      CASBプロファイルを使用して、異常な使用状況や疑わしい動作を自動的に検出できます。

      新しい CASB プロファイルを追加する場合は、[ 新規作成 ] をクリックします。詳細については、「 CASB プロファイルの作成」を参照してください。

    オプション リストから事前に保存されたスケジュールを選択します。

    ポリシースケジュールは、ポリシーがいつアクティブになるかを定義できるため、暗黙的な一致条件となります。[ スケジュールの作成] をクリックして、新しいスケジュールを定義します。ポリシーがアクティブな曜日と時刻を定義できます。たとえば、営業時間に基づいてアクセスを開始または終了するセキュリティポリシーを定義できます。

    [ ログ記録 ] オプションを有効にして、セッションの作成時にイベントをログに記録します。

    [サイトトラフィック用キャプティブポータル]オプションを有効にして、認証されたオンプレミスサイトユーザーがJuniper Secure Edgeにログインできるようにします。既定では、キャプティブ ポータル オプションはローミング ユーザーに対して有効になり、オンプレミス サイト ユーザーに対しては無効になります。