Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

インポート セキュリティ ポリシーの概要

Juniper Security Director Cloudは、次世代セキュリティデバイスからのポリシー設定のインポートをサポートしています。次世代セキュリティ デバイス(非 ZTP)のオンボーディング中に、既存のポリシー設定を検出できます。

Juniper Security Director Cloudは、オブジェクト(アドレス、サービス、スケジューラ、SSLプロファイル、コンテンツセキュリティ、IPS、レイヤー7アプリケーションなど)の一意の識別子としてオブジェクト名を使用します。ポリシーのインポート中に、Juniper Security Director Cloudでサポートされるすべてのオブジェクトがインポートされ、すべてのオブジェクト名が、Juniper Security Director Cloudの内容と次世代セキュリティデバイス上にあるもののとで比較されます。インポートするオブジェクトの名前が既存のオブジェクトと一致するが、オブジェクトの値が一致しない場合、競合が発生します。オブジェクト競合解決(OCR)操作は、オブジェクト名の競合を解決するためにトリガーされます。

  • オブジェクト名がJuniper Security Director Cloudに存在しない場合、オブジェクトはJuniper Security Director Cloudに追加されます。
  • 同じコンテンツを持つオブジェクト名がJuniper Security Director Cloudに存在する場合、Juniper Security Director Cloud内の既存のオブジェクトが使用されます。
  • オブジェクト名が異なるコンテンツを持つ Juniper Security Director Cloud に存在する場合、オブジェクト競合解決操作がトリガーされます。以下の競合解決オプションが利用可能です。
    • オブジェクトの名前変更
      • これはデフォルトオプションです。
      • デフォルトでは、サフィックス "_1" がオブジェクト名に追加されます。または、新しい一意の名前を指定することもできます。
      • ポリシーを展開すると、元のオブジェクトが削除され、新しい名前のオブジェクトが追加されます。
      • セキュリティ ポリシーに機能的な変更はありません(ラベルのみ)。
    • インポートした値での上書き
      • Juniper Security Director Cloudのオブジェクトは、インポート操作のオブジェクトに置き換えられます。
      • この変更は、ポリシー導入後にこのオブジェクトを使用する他のすべてのデバイスに反映されます。
      • セキュリティ ポリシーに機能的な変更はありません。
      • 次回 Juniper Security Director Cloud から他のデバイスが更新された時に、このオブジェクトを使用するすべてのデバイスにトラフィックが影響を与える可能性があります。
    • 既存のオブジェクトを保持する
      • Juniper Security Director Cloudのオブジェクト名は、次世代セキュリティデバイスの代わりに使用されます。
      • インポートされたセキュリティポリシーのポリシー展開には、変更が表示されます。
      • コンテンツが何らかの形で異なるため、このセキュリティにトラフィックが影響を与える可能性があります。

以下のセクションでは、ポリシーのインポート例を示します。ここでは、オブジェクトタイプとして Address を使用し、オブジェクト名の競合を解決する方法を確認します。

Juniper Security Director Cloudの既存のオブジェクトを 表1に示します。

表 1:Juniper Security Director Cloud の既存のアドレス
オブジェクト名 既存の値
アドレス 1 198.51.100.10
住所2 198.51.100.20
住所3 198.51.100.30

次世代セキュリティ デバイス内の既存のオブジェクトを 表 2 に示します。

表 2:次世代セキュリティ デバイス内の既存のアドレス
オブジェクト名 既存の値
アドレス 1 203.0.113.10/32
住所2 203.0.113.20/32
住所3 203.0.113.30/32

ポリシーインポート中にOCRがトリガーされ、オブジェクトが次世代セキュリティデバイスとJuniper Security Director Cloudの間で競合します。選択した解決策を 表 3 に示します。

表3:Juniper Security Director Cloudにポリシーをインポートする際のOCR
Juniper Security Director Cloud オブジェクト タイプのオブジェクト名 Juniper Security Director Cloud 内の既存の値 Juniper Security Director Cloud インポート済み値から Juniper Security Director Cloud の競合解決 Juniper Security Director Cloud の新しいオブジェクト名

アドレス 1

アドレス

198.51.100.10 203.0.113.10 既存のオブジェクトを保持

Address1_1

住所2

アドレス 198.51.100.2 203.0.113.20 インポートした値での上書き

Address2_1

住所3

アドレス 198.51.100.30 203.0.113.30 オブジェクトの名前変更

Address3_1

オブジェクト値と解決後の結果の競合を 表 4 に示します。

表 4:Juniper Security Director Cloud にポリシーをインポートした後
Juniper Security Director Cloud の検出されたオブジェクト名 Juniper Security Director Cloud の検出された値 の結果
アドレス 1 198.51.100.10

変更なし

住所2 203.0.113.20

内容の変更

住所3 198.51.100.30

変更なし

Address3_1

203.0.113.30

作成Address3_1