サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

フローセッションのTAPモード

date_range 24-Jun-24

TAPモードでは、SRXシリーズファイアウォールがスイッチのミラーポートに接続され、スイッチを通過するトラフィックのコピーを提供します。TAPモードのSRXシリーズファイアウォールは、TAPインターフェイスからの受信トラフィックを処理し、検出された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示するセキュリティログを生成します。

セキュリティフローセッションのTAPモードサポートについて

Junos OS リリース 18.3R1 以降、TAP モードはセキュリティ フロー セッションをサポートします。セキュリティー・フロー・セッション構成は、非 TAP モードと同じままです。デバイスが TAP モードで動作するように構成すると、デバイスはセキュリティ ログ情報を生成して、受信トラフィックに応じて、検出された脅威、アプリケーションの使用状況、およびユーザーの詳細に関する情報を表示します。TAP モードは、TAP インターフェイスが設定されている場合、フロー ステータスで有効になります。

VLANの有無にかかわらず、トラフィックはTAPインターフェイスで受信できます。デフォルトでは、すべてのデバイスで、 FLOW SYN-check および sequence-check オプションは [set security] 階層レベルで無効になっています。

Junos OS リリース 20.1R1 以降では、TAP モードを使用して、外部と内部の IP ヘッダーのカプセル化を解除してフロー セッションを作成することで、最大で 2 つのレベルの埋め込み IP-IP トンネルと 1 レベルの埋め込み GRE トンネルを検査できます。SRXシリーズファイアウォールには、最大8個のTAPインターフェイスを設定できます。

例:TAP モードでのセキュリティ フロー セッションの設定

この例では、SRXシリーズファイアウォールがTAPモードで設定されている場合に、セキュリティフローセッションを設定する方法を示しています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォール

  • Junos OS リリース 19.1R1

概要

この例では、SRXシリーズファイアウォールがTAPモードで設定されている場合に、セキュリティフローセッションを設定します。セッションは、TCP SYN パケットが受信され、セキュリティ ポリシーによって許可されると作成されます。

構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードからコミットを入力します。

content_copy zoom_out_map
set security flow tcp-session no-syn-check
set security flow tcp-session no-sequence-check

プロシージャ

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

TAP モードでセキュリティ フロー セッションを構成するには、次のようにします。

  1. セキュリティ フロー セッションを設定します。

    content_copy zoom_out_map
    user@host#set security flow tcp-session no-syn-check
    user@host# set security flow tcp-session no-sequence-check
    

業績

設定モードから、 show security flow コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

content_copy zoom_out_map
[edit]
user@host# show security flow
    tcp-session {
        no-syn-check;
        no-sequence-check;
    }

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

TAPモードでのセキュリティセッション設定の確認

目的

セキュリティ セッションに関する情報を検証します。

アクション

動作モードから、 show security flow session コマンドを入力します。

content_copy zoom_out_map
user@host> show security flow session
node0:
--------------------------------------------------------------------------

Flow Sessions on FPC4 PIC0:
Total sessions: 0

Flow Sessions on FPC4 PIC1:
Total sessions: 0
意味

TAP モードのデバイス上で現在アクティブなすべてのセキュリティ セッションに関する情報を表示します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
20.1R1
Junos OS リリース 20.1R1 以降では、TAP モードを使用して、外部と内部の IP ヘッダーのカプセル化を解除してフロー セッションを作成することで、最大で 2 つのレベルの埋め込み IP-IP トンネルと 1 レベルの埋め込み GRE トンネルを検査できます。
external-footer-nav