ルール配置分析
一定の期間を経ると、ルールが整理されなくなり、一部のルールが無効になるにつれ、セキュリティ ポリシー ルールが非効率的になる可能性があります。これは主に、ルール ベースの他のルールに悪影響を及ぼす可能性のある新しいルールが追加された場合に、エンド ユーザーにタイムリーな通知が行われないために発生します。
Juniper Security Director Cloudは、ルールの配置を分析し、ルールの異常を回避するための正しいルール配置を提案することで、この問題に対処します。
-
セキュリティー ポリシーの作成時または既存のセキュリティー ポリシーの編集時に、ルール配置分析を有効にできます。
-
ルール配置分析の提案は、セキュリティ ポリシーで新しく作成されたルールに対してのみ使用できます。
ルール配置分析では、以下の問題が含まれるセキュリティー ポリシー ルールを特定します。
-
シャドーイング — ルール ベースの順序が高いルールが、ルール ベースの順序が低いルールのすべてのパケットと一致する場合に発生します。
-
冗長性—同じパケットに対して同じアクションを実行するルールが、同じ設定または設定とともに 2 つ以上ある場合に発生します。
以下のリストは、さまざまなタイプのセキュリティー ポリシー ルールに対するルール配置分析の動作を示しています。
-
完全一致 — 新しく作成したルールの値が [ソース]、[ 宛先]、[ アプリケーション/サービス]、[ アクション ]フィールドの既存のルールと同じ値の場合は、既存のルールの後に新しいルールを配置する必要があります。
-
異なるアクションと完全に一致 — 新しく作成したルールが[ ソース]、[ 宛先]、[ アプリケーション/サービス ]フィールドの既存のルールと異なる アクションで同一の場合は、新しいルールを既存のルールの前に配置する必要があります。
-
新しいルールは既存のルールのサブセットです - 新しく作成したルールが既存のルールのサブセットである場合は、新しいルールを既存のルールの前に配置する必要があります。
-
新しいルールは既存のルールのスーパー セットです。
-
一致の一部 — 新しく作成したルールが既存のルールと部分的に一致する場合は、新しく作成したルールを既存のルールの上に配置する必要があります。
-
重複なしまたは重複なし — 新しく作成したルールに既存のルールと重複がない場合は、新しく作成したルールを既存のルールの一番上に配置する必要があります。
次の表は、さまざまなタイプのルールに対するルール配置分析の例をいくつか示しています。
| 条件 | ルール 1(既存) | ルール 2(新規) | 推奨ルールの配置 |
|---|---|---|---|
| 完全一致 |
|
|
ルール 1 の後にルール 2 を配置します。 |
| 別のアクションとの完全一致 |
|
|
ルール 2 をルール 1 の前に配置します。 |
| 新しいルールは既存のルールのサブセットです |
|
|
ルール 2 をルール 1 の前に配置します。 |
| ルール 2 は既存のルールのスーパー セット |
|
|
ルール 1 の後にルール 2 を配置します。 |
| 部分一致 |
|
|
ルール 2 をルール 1 の前に配置します。 |
| 一致なし、重複なし |
|
|
ルール 2 をルール 1 の前に配置します。 |