ng-juniper
構文
base-filter { base-filter; ng-default-filter; } category category-name { action (block | log-and-permit | permit | quarantine); custom-message custom-message; } custom-message custom-message; default (block | log-and-permit | permit | quarantine); fallback-settings { default (block | permit); server-connectivity (block | log-and-permit); timeout (block | log-and-permit); too-many-requests (block | log-and-permit); } no-safe-search; server { host host; port port; proxy-profile proxy-profile; routing-instance routing-instance; source-address source-address; tls-profile tls-profile; } site-reputation-action (very-safe | moderately-safe | fairly-safe | suspicious | harmful); timeout timeout;
階層レベル
[edit security utm default-configuration web-filtering ng-juniper] [edit security utm feature-profile web-filtering ng-juniper profile name]
説明
Juniper NextGen Webフィルタリングエンジンを設定します。Juniper NextGen Webフィルタリングは、Juniper NextGen Webフィルタリング(NGWF)クラウドからURLレピュテーションまたはカテゴリを検索するSRXシリーズデバイスのゲートウェイとして機能します。
オプション
base-filter | ジュニパーベースフィルター。 |
ng-default-filter | ジュニパーのデフォルトベースフィルター。 |
category name | Juniper NextGenのカテゴリ名。 |
action | Web トラフィックがカテゴリに一致した場合に実行するアクション。可能なオプションは、ブロック、ログと許可、許可、および検疫です。 |
custom-message | Webトラフィックがカテゴリと一致したときに実行されるアクションのカスタムメッセージ。 |
default | Juniper NextGenのデフォルトプロファイル。 |
fallback-settings | Juniper NextGenのフォールバック設定。 |
no-safe-search | Juniper NextGen プロトコルのセーフサーチは実行しないでください。 |
server | Juniper NextGenサーバーを設定します。 |
host | サーバー ホスト IP アドレスまたは文字列ホスト名。 |
port | サーバーのポート番号。
|
proxy-profile | プロキシ プロファイル名。 |
routing-instance | ルーティングインスタンス名。 |
source-address | サーバーの接続に使用される送信元 IP アドレス。 |
tls-profile | SSL 開始プロファイル。 |
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース23.4R1で導入されたステートメント。
NGWF が HTTPS 接続を介して通信するには、SSL 開始プロファイルを設定する必要があります。
user@host#set security utm default-configuration web-filtering ng-juniper server ?
Possible completions:
<[Enter]> Execute this command
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups host Server host IP address or string host name
port Server port (1..65535)
proxy-profile Proxy profile
routing-instance Routing instance name
source-address Source IP address used to connect server tls-profile SSL initiation profile
tls-profile SSL initiation profile
次に、SSL 開始プロファイルの設定例を示します。
-
コンテンツ・セキュリティー・サーバーとの SSL ハンドシェークに使用できる自己署名証明書を作成します。
request security pki generate-key-pair certificate-id utmcert size 1024 type rsa request security pki local-certificate generate-self-signed certificate-id utmcert subject "DC=Domain_component,CN=utmcert,OU=SLT_QA,O=Juniper,L=Sunnyvale,ST=CA,C=US" ip-address 0.0.0.0 domain-name juniper.net
-
2. 作成した証明書を呼び出して、SSL 開始プロファイルを構成します。
set services ssl initiation profile ssl_init_prof client-certificate utmcert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl initiation profile ssl_init_prof trusted-ca all
次に、NGWF が機能するために必要な設定の例を示します。
set security policies from-zone trust to-zone untrust policy fw_policy match source-address any
set security policies from-zone trust to-zone untrust policy fw_policy match destination-address any
set security policies from-zone trust to-zone untrust policy fw_policy match application any
set security policies from-zone trust to-zone untrust policy fw_policy then permit application-services ssl-proxy profile-name ssl-profile
set security policies from-zone trust to-zone untrust policy fw_policy then permit application-services utm-policy WF