セキュリティ ポリシー規則を追加する
このページを使用して、コンテキスト内のトランジットトラフィックを制御するセキュリティポリシールールを追加します。トラフィックは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションをポリシーデータベースと照合することによって分類されます。
次のセキュリティプロファイルを指定して、高度なセキュリティ保護を有効にすることもできます。
-
コンテンツセキュリティプロファイル
-
プロファイルの復号化
-
フローベースのウイルス対策プロファイル
-
侵入防御システム(IPS)プロファイル
-
マルウェア対策プロファイル
-
Secintel プロファイル グループ
-
セキュア Web プロキシ プロファイル
- SRX > セキュリティ ポリシー > SRX ポリシー を選択します。
[セキュリティ ポリシー] ページが表示されます。
- セキュリティ ポリシーをクリックしてルールを追加します。
[セキュリティ ポリシー] ページが表示されます。
- [+] をクリックします。
セキュリティ ポリシー規則を作成するオプションは、[セキュリティ ポリシー] ページにインラインで表示されます。
- 表 1 に示すガイドラインに従って構成を完了します。
表 1: [セキュリティ ポリシー名] ページのフィールド フィールド の説明 一般情報 名前
最大 63 文字の英数字(スペースなし)で名前を入力します。名前には、ダッシュ (-) とアンダースコア (_) を使用できます。
名前を入力しない場合、 ルールはJuniper Security Director Cloudによって割り当てられたデフォルト名で保存されます。
形容
最大 900 文字を含むポリシー ルールの説明を入力します。説明には、アンパサンド (&)、角括弧 (<、>)、改行などの特殊文字を含めることはできません。
ソース
[+] をクリックして、セキュリティ ポリシー ルールを適用するゾーン、アドレス、およびユーザーのリストからソース エンドポイントを選択します。
手記:次の設定が構成されている場合、ルールをゾーンベースのルールとして保存するか、グローバルルールとして保存するかを選択できます。
-
[ ルールの保存] オプションは 、[組織の設定] で有効になっています。 「ルールの保存オプション」を参照してください。
-
送信元ゾーンと宛先ゾーンが 1 つだけ選択されます。
目的 地
[+] をクリックして、セキュリティ ポリシー ルールを適用する領域、アドレス、および URL カテゴリのリストから宛先エンドポイントを選択します。
手記:次の設定が構成されている場合、ルールをゾーンベースのルールとして保存するか、グローバルルールとして保存するかを選択できます。
-
[ ルールの保存] オプションは 、[組織の設定] で有効になっています。 「ルールの保存オプション」を参照してください。
-
送信元ゾーンと宛先ゾーンが 1 つだけ選択されます。
アプリケーション/サービス
[+] をクリックして、アプリケーションとサービスを選択します。
セキュア Web プロキシ機能は、統合ポリシーをサポートしていません。セキュアWebプロキシプロファイルをルールに関連付ける場合は、 アプリケーションを無効にする必要があります。セキュア Web プロキシ プロファイルを構成するときに、必要なアプリケーションを選択できます。
アクション
送信元と宛先間のトラフィックに対するアクションをドロップダウン リストから選択します。
- 許可—デバイスはトラフィックを許可します。
- 拒否:デバイスはセッションのすべてのパケットをサイレントにドロップし、TCP リセットや ICMP 到達不能などのアクティブな制御メッセージを送信しません。
- 拒否—デバイスはパケットをドロップし、トラフィックタイプに基づいて次のメッセージを送信します。
- TCPトラフィック:デバイスはTCPリセットメッセージを送信元ホストに送信します。
- UDPトラフィック:デバイスは、宛先到達不能、ポート到達不能ICMPメッセージを送信します。
- その他のすべてのトラフィックの場合:デバイスは送信元ホストに通知せずにパケットをドロップします。
-
リダイレクト:ポリシーが拒否アクションでHTTPまたはHTTPSトラフィックをブロックした場合に接続されたクライアントに通知するための応答を統合ポリシーで定義します。
-
メッセージ - ドロップダウン リストからメッセージを選択するか、[ リダイレクト メッセージの作成 ] をクリックしてメッセージを入力します。
-
URL - ドロップダウン リストからリダイレクト URL を選択するか、[ リダイレクト URL を追加 ] をクリックしてリダイレクト URL を入力します。
-
-
トンネル—デバイスは、ポリシーに適用されるVPNトンネリングオプションのタイプを使用してトラフィックを許可します。
セキュリティサブスクリプション セキュリティ ポリシー規則に適用するセキュリティ サブスクリプションを選択します。
-
IPS: [許可(Permit )] アクションを選択すると、リストからプロファイルを選択して侵入を監視および防止し、IPS プロファイルを指定できます。
-
コンテンツ セキュリティ - [許可] アクションを選択すると、スパムやマルウェアなどの複数の脅威タイプから保護するプロファイルをリストから選択してコンテンツ セキュリティ プロファイルを指定し、未承認の Web サイトやコンテンツへのアクセスを制御できます。
-
復号化— 許可、 拒否、または リダイレクト アクションを選択すると、クライアントとサーバー間でSSL暗号化と復号化を実行し、高度なセキュリティサブスクリプション保護を適用して脅威を検出できる詳細なアプリケーション情報を取得するように復号化プロファイルを設定できます。
-
フローベースの AV:アクションを [許可(Permit)] に設定すると、フローベースのウイルス対策プロファイルをセキュリティ ポリシーに割り当てて、ペイロード コンテンツ内のパケットの脅威をリアルタイムでスキャンし、脅威が検出された場合はコンテンツをブロックできます。
-
アンチマルウェア—アクションを [許可] に設定すると、アンチマルウェアプロファイルをセキュリティポリシーに割り当てて、検査のために ATP クラウドに送信するファイルと、マルウェアが検出されたときに実行するアクションを定義できます。
-
SecIntel:アクションを [許可] に設定すると、SecIntel プロファイル グループをセキュリティ ポリシーに割り当てて、C&C、DNS、感染したホストなどの SecIntel プロファイルを追加できます。
- セキュア Web プロキシ - アクションを [許可] に設定すると、トグル スイッチを有効にしてセキュア Web プロキシ プロファイルを割り当て、アプリケーションがプロキシ サーバーをバイパスして Web サーバーに直接接続できるようになります。セキュア Web プロキシ プロファイルの詳細については、「セキュア Web プロキシ ページについて 」を参照してください。
-
ICAP リダイレクト - 許可 または 拒否 アクションを選択すると、ICAP リダイレクトプロファイルを割り当てて、HTTP または HTTPS トラフィックを復号化し、HTTP メッセージをサードパーティのオンプレミス DLP サーバーにリダイレクトできます。
[ カスタマイズ] をクリックして、セキュリティ サブスクリプション プロファイルを構成します。既定のプロファイルが設定されていない場合は、カスタマイズ オプションを使用して構成するか、グローバル オプションを使用して既定のプロファイルを設定できます。 セキュリティ ポリシーのグローバル オプションの設定を参照してください。
この設定は、[ 許可 ] または [ 拒否 ] アクションを選択した場合にのみ使用できます。
オプション
計画
事前に保存したスケジュールを選択します。スケジュール オプションには、選択したスケジュール データが入力されます。
ポリシースケジュールを使用すると、ポリシーがいつアクティブになり、暗黙的一致基準になるかを定義できます。ポリシーがアクティブな曜日と時刻を定義できます。たとえば、営業時間に基づいてアクセスを開始または終了するセキュリティ ポリシーを定義できます。
セッション開始ログ
セッションの作成時にイベントのログ記録を有効にするには、このオプションを選択します。
セッション終了ログ
セッションが閉じられたときにイベントのログ記録を有効にするには、このオプションを選択します。
ロギングが有効になっている場合、システムはデフォルトでセッションの終了時にログを記録します。
ルールのオプション
リダイレクトオプション、認証、TCPオプション、および宛先アドレス変換済みパケットまたは未変換パケットのアクションを指定するオブジェクトを作成します。
-
- [✓] をクリックして変更を保存します。