- play_arrow 概要
- play_arrow IPv6 のフローベース処理
- play_arrow フローベースのセッションの監視とエラー処理用パラメーターの確立
- play_arrow パケットベースフォワーディング
- play_arrow 設定ステートメントと運用コマンド
フローセッションのTAPモード
TAPモードでは、SRXシリーズファイアウォールがスイッチのミラーポートに接続され、スイッチを通過するトラフィックのコピーを提供します。TAPモードのSRXシリーズファイアウォールは、TAPインターフェイスからの受信トラフィックを処理し、検出された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示するセキュリティログを生成します。
セキュリティフローセッションのTAPモードサポートについて
Junos OS リリース 18.3R1 以降、TAP モードはセキュリティ フロー セッションをサポートします。セキュリティー・フロー・セッション構成は、非 TAP モードと同じままです。デバイスが TAP モードで動作するように構成すると、デバイスはセキュリティ ログ情報を生成して、受信トラフィックに応じて、検出された脅威、アプリケーションの使用状況、およびユーザーの詳細に関する情報を表示します。TAP モードは、TAP インターフェイスが設定されている場合、フロー ステータスで有効になります。
VLANの有無にかかわらず、トラフィックはTAPインターフェイスで受信できます。デフォルトでは、すべてのデバイスで、 FLOW SYN-check
および sequence-check
オプションは [set security]
階層レベルで無効になっています。
Junos OS リリース 20.1R1 以降では、TAP モードを使用して、外部と内部の IP ヘッダーのカプセル化を解除してフロー セッションを作成することで、最大で 2 つのレベルの埋め込み IP-IP トンネルと 1 レベルの埋め込み GRE トンネルを検査できます。SRXシリーズファイアウォールには、最大8個のTAPインターフェイスを設定できます。
例:TAP モードでのセキュリティ フロー セッションの設定
この例では、SRXシリーズファイアウォールがTAPモードで設定されている場合に、セキュリティフローセッションを設定する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール
Junos OS リリース 19.1R1
概要
この例では、SRXシリーズファイアウォールがTAPモードで設定されている場合に、セキュリティフローセッションを設定します。セッションは、TCP SYN パケットが受信され、セキュリティ ポリシーによって許可されると作成されます。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードからコミットを入力します。
set security flow tcp-session no-syn-check set security flow tcp-session no-sequence-check
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
TAP モードでセキュリティ フロー セッションを構成するには、次のようにします。
セキュリティ フロー セッションを設定します。
content_copy zoom_out_mapuser@host#set security flow tcp-session no-syn-check user@host# set security flow tcp-session no-sequence-check
業績
設定モードから、 show security flow
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security flow tcp-session { no-syn-check; no-sequence-check; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
TAPモードでのセキュリティセッション設定の確認
目的
セキュリティ セッションに関する情報を検証します。
アクション
動作モードから、 show security flow session
コマンドを入力します。
user@host> show security flow session node0: -------------------------------------------------------------------------- Flow Sessions on FPC4 PIC0: Total sessions: 0 Flow Sessions on FPC4 PIC1: Total sessions: 0
意味
TAP モードのデバイス上で現在アクティブなすべてのセキュリティ セッションに関する情報を表示します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。