ルールオプションの作成
ルールオプションが作成されると、Juniper Security Director Cloudは、ルールオプションを表すオブジェクトをデータベースに作成します。このオブジェクトを使用して、セキュリティ ポリシーを作成できます。
[規則のオプション] ページを使用すると、セキュリティ ポリシーの基本設定を指定するオブジェクトを作成できます。
ルールオプションを作成するには:
-
[ 共有サービス ] > [ ファイアウォール プロファイル ] > [規則のオプション] を選択します。
[ルール オプション] ページが表示されます。
-
プラスアイコン(+)をクリックします。
[ルールの作成オプション] ページが表示されます。
-
に記載されている [ルール オプション] ページについてガイドラインに従って、構成設定を完了します。
注:
アスタリスク (*) の付いたフィールドは必須です。
-
OK をクリックします。
新しいルール オプションが作成され、確認メッセージが表示されます。
表 1: [ルールの作成オプション] ページのフィールド フィールド 説明 お名前
スペースと一部の特殊文字を含むことができる英数字の一意の文字列を入力します。
最大長は 255 文字です。
説明
ポリシーの説明を入力します。最大長は 255 文字です。
一般 ハードウェアアクセラレーション
高速パス・パケットを SPU(サービス処理装置)ではなくネットワーク・プロセッサーで処理するには、このオプションを有効にします。ポリシーチェックを実行する際、SPU はトラフィックがサービス オフロードに適しているかどうかを確認します。
リダイレクトオプション
次の中からオプションを選択します。
- なし
- リダイレクトWx:LANから到着するパケットのWXリダイレクトを有効にする場合は、このオプションを選択します。
- Wx-WANから到着するパケットのリバースフローに対してWXリダイレクトを有効にする場合は、このオプションを選択します。
認証
注:認証は、許可アクションが有効になっている場合にのみサポートされます。
認証エントリーをJIMSにプッシュ
JIMSへのプッシュを有効にします。
認証タイプ
ユーザーを個別に、またはグループで制限または許可するオプションを選択します。クライアントを制限または許可するために認証を使用しない場合は、[ なし] を選択します。
- パススルー-パススルーユーザー認証は、アクティブな認証の形式です。ユーザーは、パススルー認証が呼び出されたときに、ユーザー名とパスワードの入力を求められます。
- Web-Web 認証は、パススルー ユーザー認証に代わるものです。クライアント ブラウザから接続するリソースを指すのではなく、Web 認証が有効になっているデバイス上の IP アドレスをブラウザでポイントします。これにより、デバイス上の Web 認証機能をホストしている IP アドレスへの HTTP セッションが開始されます。次に、デバイスはユーザー名とパスワードの入力を求め、結果をデバイスにキャッシュします。その後、トラフィックで Web 認証ポリシーが検出されると、以前の Web 認証結果に基づいてアクセスを許可または拒否されます。
- ユーザーファイアウォール(User Firewall) - ファイアウォールの内側にある保護されたリソースへのファイアウォールユーザーのアクセスを制限および許可するファイアウォール認証ポリシーです。
- インフラネット-統合アクセス制御(UAC)導入でJunos OS Enforcerとして機能するようSRXシリーズファイアウォールを設定するには、このオプションを選択します。
TCPオプション 同期チェック
このオプションを有効にすると、デバイスは、確立されたセッションに属していない限り、非SYNフラグが設定されたTCPセグメントを拒否します。
シーケンスチェック
TCP バイト シーケンス カウンターを監視し、信頼されていないシーケンス番号に対して信頼できる確認応答番号を検証するには、このオプションを有効にします。
ウィンドウスケール
ネットワーク伝送速度を上げるには、このオプションを有効にします
初期TCP MSS
イングレスインターフェイス(初期方向)に到着するパケットのTCP最大セグメントサイズ(MSS)を選択します。パケット内の値が選択した値よりも大きい場合、設定された値が着信パケットのTCP MSS値を上書きします。範囲は 64 から 65535 です。
逆TCP MSS
特定のポリシーに一致し、セッションの逆方向に移動するパケットの TCP 最大セグメント サイズ(MSS)を選択します。パケットの値が選択した値よりも大きい場合、設定された値でTCP MSS値が置き換えられます。範囲は 64 から 65535 です。
高度な設定 宛先 NAT 制御
オプションを選択してください
- なし
- 変換されていないドロップ - 変換された宛先IPアドレスを持つパケットをドロップします。セキュリティ ポリシーで許可されるトラフィックは、宛先 IP アドレスが変換されていないパケットに制限されます。
- 変換された宛先IPアドレスを含まない変換されたパケットをドロップします。セキュリティ ポリシーで許可されるトラフィックは、宛先 IP アドレスが宛先 NAT ルールによって変換されたパケットに制限されます。