Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

SRXファイアウォールユーザーの認証方法を設定する

パススルー認証とキャプティブポータル認証の設定方法をご確認ください。

例:パススルー認証の設定

この例では、ファイアウォールユーザーを認証するためのパススルー認証を設定する方法を示しています。ファイアウォールユーザーとは、ファイアウォールを越えた接続を開始する際にユーザー名とパスワードを入力しなければならないネットワークユーザーを指します。

パススルー認証により、SRXシリーズ管理者は、FTP、Telnet、HTTP、またはHTTPSを使用して別のゾーンのリソースにアクセスしようとするユーザーを制限できます。アクションがパススルー認証であるセキュリティ ポリシーにトラフィックが一致する場合、ユーザーはログイン情報を提供する必要があります。

HTTPS の場合、セキュリティを確保するために、HTTPS のデフォルトの証明書キー サイズは 2048 ビットです。証明書のサイズを指定しない場合は、既定のサイズが想定されます。

必要条件

開始する前に、ファイアウォール ユーザーを定義します。「ファイアウォールユーザー認証の概要」を参照してください。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォール

  • ファイアウォールユーザーのシステム

  • パケット宛先システム

概要

パススルー認証プロセスは、ファイアウォール ユーザーと呼ばれるクライアントが、別のゾーンのリソースにアクセスするために FTP、Telnet、または HTTP セッションを開始しようとしたときにトリガーされます。SRXシリーズファイアウォールは、FTP、Telnet、HTTP、またはHTTPSサーバーのプロキシとして機能し、ファイアウォールユーザーを認証してから、ファイアウォールの背後にある実際のFTP、Telnet、またはHTTPサーバーへのアクセスをユーザーに許可することができます。

ファイアウォール ユーザーが送信した接続要求から生成されたトラフィックがセキュリティ ポリシー ルールと双方向に一致し、そのルールで then 句のアクションとしてパススルー ファイアウォール認証が指定されている場合、SRXシリーズ ファイアウォールはファイアウォール ユーザーにJunos OSプロキシ サーバーへの認証を要求します。

認証に成功した場合、同じ送信元IPアドレスからの後続のトラフィックは、セキュリティポリシータプルに一致すれば、自動的にSRXシリーズファイアウォールの通過が許可されます。

図 1 は、この例で使用されているトポロジーを示しています。

図 1: パススルー ファイアウォール認証 の設定 Configuring Pass-Through Firewall Authentication
手記:

このトポロジーは外部サーバーの使用を示していますが、構成ではカバーされていません。この例の範囲外です。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

パススルー認証を設定するには:

  1. 2つのインターフェイスを設定し、IPアドレスを割り当てます。

    手記:

    この例では、インターフェイスに 2 つのアドレスを割り当てることは任意です。

  2. FWClient1 ユーザーの FWAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、Telnet セッションの成功バナーを定義します。

  3. セキュリティ ゾーンを設定します。

    手記:

    この例では、セキュリティ ゾーンに 2 つ目のインターフェイスを設定することは任意です。

  4. セキュリティポリシーP1をセキュリティゾーンに割り当てます。

  5. Telnet を使用して、FWClient1 ファイアウォール ユーザーを host2 に対して認証します。

業績

設定モードから、次のコマンドを入力して設定を確認します。

  • show interfaces

  • show access

  • show security zones

  • show security policies

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、出力にはこの例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから コミットを入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ファイアウォールユーザー認証の検証と認証テーブル内のユーザーとIPアドレスの監視

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーの数とログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、以下の show コマンドを入力します。

例:パススルー認証をトリガーするHTTPSトラフィックの設定

この例では、パススルー認証をトリガーするようにHTTPSトラフィックを設定する方法を示しています。HTTPSはHTTPよりも安全であるため、人気が高まり、より広く使用されています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォール

  • Linux と Open SSL を実行する 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。この 2 台の PC は、キー ファイルの作成とトラフィックの送信に使用されます。

  • SRX5400、SRX5600、SRX5800 デバイスの場合は 12.1X44-D10 以降Junos OS リリースJunos OS リリース、vSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500 サービス ゲートウェイの場合は 15.1X49-D40 以降。

手記:

Junos OS リリース 12.1X44-D10およびJunos OS リリース 17.3R1以降、SRX5400、SRX5600、およびSRX5800デバイスにHTTPSベースの認証が導入されています。

Junos OS リリース 15.1X49-D40およびJunos OS リリース 17.3R1以降、vSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500サービスゲートウェイでHTTPSベースの認証が導入されています。

開始する前に、以下を実行します。

SRXシリーズファイアウォールは、HTTPSトラフィックをデコードしてパススルー認証をトリガーする必要があります。次に、SSL ターミネーション プロキシは、秘密鍵ファイルと証明書ファイルを作成してインストールします。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。

手記:

公式の .crt ファイルと .key ファイルをお持ちの場合は、SRXシリーズファイアウォールにファイルを直接アップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされた PC で実行する必要があります。ステップ 3 とステップ 4 で指定された手順は、動作モードで実行する必要があります。

秘密キー・ファイルおよび証明書ファイルを作成してインストールするには、次の手順に従います。

  1. PC で .key ファイルを作成します。

  2. PC で .crt ファイルを作成します。

  3. .key ファイルと .crt ファイルを SRXシリーズ ファイアウォールにアップロードし、動作モードから次のコマンドを使用してデバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間でセキュアな接続が確立されます。ネットワーク ユーザーは、ファイアウォールを越えて接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証は、パススルー認証のためにHTTPSトラフィックをサポートしています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続しているデバイス間でデータが送信されるプロトコルです。ユーザーと接続デバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなど、機密性の高いオンライン取引を保護するためによく使用されます。

この例では、HTTPS トラフィックは HTTP よりも安全であるため、パススルー認証をトリガーするために使用されます。HTTPS トラフィックがパススルー認証をトリガーするには、まず SSL 終端プロファイルを構成する必要があります。

図 2 は、HTTPS トラフィックを使用したパススルー認証の例を示しています。この例では、untrust ゾーンのホストまたはユーザーが、trust ゾーンのリソースにアクセスしようとします。SRXシリーズファイアウォールは、HTTPSを使用してユーザー名とパスワードの情報を収集します。ホストまたはユーザーからの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。

図 2: HTTPS トラフィック Pass-Through Authentication Using HTTPS Trafficを使用したパススルー認証

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

プロシージャ

手順

パススルー認証をトリガーするようにHTTPSトラフィックを構成するには:

  1. インターフェイスを設定し、IPアドレスを割り当てます。

  2. セキュリティポリシーを設定して、ゾーンの信頼から信頼されていないゾーンへのファイアウォール認証トラフィックを許可します。

  3. パケットが条件に一致したときに実行するポリシーアクションを指定します。

  4. セキュリティ ゾーンを設定し、インターフェイスを割り当てます。

  5. ゾーンのアプリケーションサービスを設定します。

  6. アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

  7. ファイアウォールの種類と、認証設定が定義されているデフォルトのプロファイル名を構成します。

  8. SSL 終端プロファイルを設定し、ローカル証明書識別子名を入力します。

業績

設定モードから、 show interfacesshow security policiesshow security zonesshow accessshow services ssl termination コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定の確認

目的

設定が正しいことを確認します。

アクション

動作モードから、識別子 1 の show security firewall-authentication users コマンドを入力します。

意味

show security firewall-authentication users コマンドは、指定した識別子のファイアウォール認証ユーザー情報を表示します。出力の [認証方法] フィールドに [HTTPS を使用したパススルー] が表示され、[認証状態] フィールドに [成功] が表示されている場合、設定は正しいです。

例:キャプティブ ポータル認証の設定

この例では、キャプティブ ポータル認証を有効にし、キャプティブ ポータル認証が有効になっているポリシーにトラフィックが遭遇した場合に、ユーザーへのアクセスを許可するポリシーを設定する方法を示しています。

必要条件

開始する前に、以下を実行します。

  • ファイアウォールユーザーを定義します。 「ファイアウォールユーザー認証の概要」を参照してください。

  • インターフェイスのアドレス階層の下に Web 認証 HTTP フラグを追加して、Web 認証を有効にします。

概要

Web 認証を有効にするには、HTTP セッションをホストしているデバイスの IP アドレスを指定する必要があります。これらの設定は、保護されたリソースにアクセスするファイアウォール ユーザーが、Web サーバーに直接アクセスするか、Web 認証によって認証される場合に使用されます。次の手順は、トラフィックが Web 認証が有効になっているポリシー(Policy-W)に遭遇したときに、FWClient1 ユーザーへのアクセスを許可するポリシーを設定する方法を示しています。( 図 3 を参照)。この例では、FWClient1 は Web 認証ログイン ページで既に認証されています。

FWClient1 ファイアウォール ユーザーは、次の操作を行って認証を取得します。

  1. ブラウザを Web 認証 IP(198.51.100.63/24)にポイントして、最初に認証を取得します

  2. policy-W ポリシーで指定されたリソースにアクセスするためのトラフィックを開始します

図 3:Web 認証の例 Web Authentication Example

これらの手順で説明されているようにデバイスを設定し、ユーザーが正常に認証されると、 図 4 に示す画面が表示されます。

図 4:Web 認証成功バナー Web Authentication Success Banner

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

Web 認証を構成するには:

  1. 2つのインターフェイスを設定し、IPアドレスを割り当てます。

    手記:

    この例では、インターフェイスに 2 つのアドレスを割り当てることは任意です。

  2. FWClient1 ユーザーの WEBAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、成功バナーを定義します。

  3. セキュリティ ゾーンを設定します。

    手記:

    この例では、セキュリティ ゾーンに 2 つ目のインターフェイスを設定することは任意です。

  4. セキュリティポリシーP1をセキュリティゾーンに割り当てます。

  5. デバイスでHTTPプロセス(デーモン)をアクティブにします。

業績

設定モードから、次のコマンドを入力して設定を確認します。

  • show interfaces

  • show access

  • show security zones

  • show security policies

  • show system services

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show 出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ファイアウォールユーザー認証の検証と認証テーブル内のユーザーとIPアドレスの監視

目的

ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーとログインに失敗したファイアウォールユーザーの数を確認します。

アクション

動作モードから、以下の show コマンドを入力します。

参照

例:キャプティブ ポータル認証をトリガーする HTTPS トラフィックの設定

この例では、キャプティブポータル認証をトリガーするようにHTTPSトラフィックを設定する方法を示しています。HTTPSはHTTPよりも安全であるため、キャプティブポータル認証に広く使用されています。

必要条件

開始する前に、以下を実行します。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォール

  • Linux と Open SSL がインストールされた 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。この 2 台の PC は、キー ファイルの作成とトラフィックの送信に使用されます。

  • SRX5400、SRX5600、SRX5800 デバイスの場合は 12.1X44-D10 以降Junos OS リリースJunos OS リリース、vSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500 サービス ゲートウェイの場合は 15.1X49-D40 以降。

SRXシリーズファイアウォールは、Web認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。

手記:

公式の .crt ファイルと .key ファイルをお持ちの場合は、SRXシリーズファイアウォールにファイルを直接アップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 とステップ 4 で指定された手順は、動作モードで実行する必要があります。

  1. PCから、 .key ファイルを作成します。

  2. PCから、 .crt ファイルを作成します。

  3. SRXシリーズファイアウォールから、次のコマンドを使用して、 .key ファイルと .crt ファイルをアップロードし、デバイスにファイルをインストールします。

概要

ファイアウォール認証により、2つのデバイス間でセキュアな接続が確立されます。ネットワーク ユーザーは、ファイアウォールを越えて接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証は、パススルー認証のためにHTTPSトラフィックをサポートしています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。

HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続しているデバイス間でデータが送信されるプロトコルです。ユーザーと接続デバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなど、機密性の高いオンライン取引を保護するためによく使用されます。

この例では、HTTPS トラフィックは HTTP よりも安全であるため、HTTPS トラフィックを使用して Web 認証がトリガーされます。

ユーザーは、HTTPSを使用して、Web認証が有効になっているデバイス上のIPアドレスにアクセスします。このシナリオでは、ユーザーは保護されたリソースの IP アドレスにアクセスするために HTTPS を使用しません。ユーザはユーザ名とパスワードの入力を求められます。これはデバイスによって検証されます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、このWeb認証の結果に基づいて許可または拒否されます。

図5 は、HTTPSトラフィックを使用したWeb認証の例を示しています。

図 5:HTTPS トラフィック Web Authentication Using HTTPS Trafficを使用した Web 認証

構成

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

プロシージャ

手順

Web認証をトリガーするHTTPSトラフィックを設定するには:

  1. HTTPS トラフィックに対する Web 管理サポートを有効にします。

  2. インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/0インターフェイスでWeb認証を有効にします。

  3. セキュリティポリシーを設定して、ゾーンの信頼から信頼されていないゾーンへのファイアウォール認証トラフィックを許可します。

  4. アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。

  5. ファイアウォール認証設定の種類を構成します。

  6. パケットが条件に一致したときに実行するポリシーアクションを指定します。

業績

設定モードから、 show system servicesshow interfacesshow security policiesshow access コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定の確認

目的

設定が正しいことを確認します。

アクション

動作モードから、 show security firewall-authentication users identifier identifier コマンドを入力します。

サンプル出力
意味

show security firewall-authentication users identifier identifierコマンドは、ユーザーの識別子IDを使用して、ファイアウォール認証ユーザー情報を表示します。出力で、認証方法パラメータに「Web認証」と表示され、認証状態パラメータに「成功」と表示されている場合、設定は正しいです。

認証されていないブラウザ用のキャプティブポータルの設定

認証されていないブラウザ用にキャプティブポータルを設定する方法をご確認ください。

auth-only-browser と auth-user-agent のファイアウォール認証機能を使用するためのセキュリティ ポリシーの設定方法の例を次に示します。

For Pass-Through Authentication

auth-only-browser パラメーターを使用するパススルー認証のセキュリティー・ポリシーを構成します。

auth-only-browser を使用せずに auth-user-agent パラメーターを使用するパススルー認証のセキュリティ ポリシーを設定します。

auth-user-agent パラメーターで auth-only-browser を使用するパススルー認証のセキュリティポリシーを設定します。

For User Firewall Authentication

auth-only-browser パラメーターを使用するユーザー ファイアウォール認証のセキュリティ ポリシーを構成します。

auth-only-browser を使用せずに auth-user-agent パラメーターを使用するユーザー ファイアウォール認証のセキュリティ ポリシーを構成します。

auth-user-agent パラメーターで auth-only-browser を使用するユーザー ファイアウォール認証のセキュリティ ポリシーを構成します。

参照

例:統合ポリシーの設定

この例では、統一ポリシーでパススルー認証とキャプティブポータル認証を設定して、ユーザーのネットワークリソースへのアクセスを制限または許可する方法を理解できます。

概要

ファイアウォールユーザー認証を使用すると、ユーザーがファイアウォールの背後にあるネットワークリソースにアクセスする前に、ユーザーを認証できます。ファイアウォール ユーザー認証を有効にしている場合、ユーザーはファイアウォールを越えて接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。

Junos OS リリース 21.2R1 以降、統一ポリシーによるファイアウォールユーザー認証がサポートされています。パススルー認証とキャプティブポータル認証の両方でサポートされています。

位相幾何学

図 6 は、この例で使用されるトポロジーを示しています。
図 6: トポロジー:統合ポリシーTopology: Configuring Firewall User Authentication with Unified Policyによるファイアウォールユーザー認証の設定

トポロジーに示されているように、untrust ゾーンのファイアウォール ユーザーは、trust ゾーンの外部サーバー(IP アドレス 10.1.2.1)にアクセスする必要があります。ユーザーは、サーバーにアクセスする前にセキュリティ デバイスで認証します。デバイスは、ローカルデータベースをクエリーして、認証結果を決定します。認証に成功すると、セキュリティ デバイスは、ユーザーのセッションがタイムアウトして閉じるまで、同じ送信元 IP アドレスからの後続のトラフィックを許可します。

この例では、SRXシリーズファイアウォールで次の機能を設定します。

  1. アクセスプロファイルで、セキュリティデバイスに対してローカルなユーザーデータベースを設定します。プロファイル内に、エンドユーザーを表す 1 つ以上のクライアントを追加します。client-name はユーザー名を表します。各ユーザーのパスワードをプレーンテキスト形式で入力します。

  2. アクセスプロファイルをパススルーまたはWebファイアウォールの認証方法に関連付けます。エンドユーザーに表示するカスタマイズしたバナーを設定します。
  3. トラフィックを許可または制限するセキュリティポリシーを設定し、許可されたトラフィックにファイアウォールユーザー認証を適用します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
  • Junos OS リリース 21.2R1

開始する前に、以下を実行します。

従来のポリシーと統一ポリシーを使用したSRXファイアウォールユーザーの設定

この例では、従来のセキュリティ ポリシーと統合ポリシーの両方でパススルー認証を構成します。この構成には、以下の表に示すように、セキュリティ ゾーンとインターフェイスの設定、アクセス プロファイルの作成、セキュリティ ポリシーの定義が含まれます。
を開始するときの ワークフロー
表1:セキュリティポリシーの詳細
ユーザーがセッション 結果シナリオ ポリシー
従来のセキュリティポリシーと不明なユーザーによる認証 ポリシーP1
  • 一致条件: source-identity -unknown/unauthenticated users
  1. デバイスは、ユーザー識別テーブル(UIT)でユーザーソースIDを検索します。
  2. ポリシーでは、ソース ID が使用できない場合、そのユーザーは認証されていないユーザーと見なされます。
  3. ポリシーは、ユーザーからのHTTPまたはHTTPSトラフィックをインターセプトし、ファイアウォール認証プロンプトをトリガーします。
  4. 認証が成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。
  5. デバイスは、IPアドレスとユーザー名を含めて、ユーザー識別テーブルに認証エントリを作成します。
 ファイアウォールユーザー認証が成功した後に、認証されていないユーザーを許可します。
統一ポリシーと認証済みユーザーによる認証 ポリシーP2
  • 一致条件: source-identity - authenticated-users
  • 動的アプリケーション - junos:GOOGLE
  1. デバイスは、ユーザー識別テーブル(UIT)からユーザーとロールの情報を取得します(使用可能な場合)。
  2. セキュリティ ポリシーにより、ユーザーは認証済みユーザーとして分類されます。
  3. 認証が成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。
ファイアウォールユーザー認証なしで認証されたユーザーを許可します。
統一ポリシーによる認証 ポリシー P3
  • dynamic-application -junos:YAHOO
  1. デバイスは、認証プロファイル PROFILE-1 を検索して、認証結果を決定します。
  2. 認証が成功すると、ポリシーは設定されたポリシールールに基づいてトラフィックを許可または拒否します。
ファイアウォール ユーザー認証によるトラフィックを許可します。

認証のために、認証されていないユーザーからUACキャプティブポータルにトラフィックをリダイレクトするには、 例:SRXシリーズデバイスでユーザーロールファイアウォールを設定するを参照してください。

CLIクイック構成

SRXシリーズファイアウォールでこの例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

  1. インターフェイスを設定します。

  2. セキュリティ ゾーンを作成し、インターフェイスを割り当てます。

  3. アクセスプロファイルを設定し、ユーザーの詳細を追加します。

    パスワードを持つ2人のユーザーCLIENT-1とCLIENT-2を追加し、これらのユーザーをclient-group GROUP-1に割り当てました。

  4. 認証方法を設定し、アクセスプロファイルを割り当てます。

  5. SSL 終端プロファイルを設定します。

  6. セキュリティポリシーを設定して、認証されていないユーザーにファイアウォールユーザー認証を許可します。

  7. ファイアウォールユーザー認証なしで認証されたユーザーを許可するセキュリティポリシーを設定します。

  8. ファイアウォールユーザー認証でトラフィックを許可するセキュリティポリシーを設定します。

  9. ローカル認証テーブルにエントリを追加します。各エントリにはIPアドレスを含める必要があることに注意してください。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit ] [edit] [edit]

[edit]

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

ファイアウォールユーザー認証が機能していることを確認する

ファイアウォールのユーザー認証が機能していることを確認するには、クライアントマシンでWebブラウザを開きます。サーバーの IP アドレス 10.1.2.1 を入力してサーバーにアクセスします。システムは、 図 7 に示すように、ログインとパスワードの詳細の入力を求めます。

図 7: パススルー認証プロンプト Pass-Through Authentication Prompt

資格情報を正常に入力すると、サーバーにアクセスできます。

統一ポリシーによるパススルー認証の設定

この例では、統合ポリシーを使用してパススルー認証を構成します。この構成には、セキュリティ ゾーンとインターフェイスの設定、アクセス プロファイルの作成、統合ポリシーの定義が含まれます。統合ポリシーでは、一致条件の動的適用を anyとして定義します。

CLIクイック構成

SRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

手順

  1. インターフェイスを設定します。

  2. セキュリティ ゾーンを定義し、インターフェイスを割り当てます。

  3. アクセスプロファイルを設定し、ユーザーの詳細を追加します。

    パスワードを使用して CLIENT-1 と CLIENT-2 の 2 人のユーザーを追加し、ユーザーをクライアントグループ GROUP-1 に割り当てました。

  4. 認証方法を設定し、アクセスプロファイルを割り当てます。

  5. SSL 終端プロファイルを設定します。

  6. 動的アプリケーションを anyとしてセキュリティポリシーを設定します。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

[edit]

[edit]

[edit]

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

パススルー認証が機能していることを確認する

ファイアウォールユーザー認証が機能していることを確認するには、クライアントマシンでWebブラウザを開きます。サーバーの IP アドレス 10.1.2.1 を入力してサーバーにアクセスします。 システムは、図 8 に示すように、ログインとパスワードの詳細の入力を求めます。

図 8: パススルー認証プロンプト Pass-Through Authentication Prompt

資格情報を正常に入力すると、サーバーにアクセスできます。

統合ポリシーによるキャプティブポータル認証の設定

この例では、統合ポリシーでキャプティブポータル認証を設定します。この構成には、セキュリティ ゾーンとインターフェイスの設定、アクセス プロファイルの作成、統合ポリシーの定義が含まれます。キャプティブポータル認証では、HTTPセッションの成功バナーを定義します。

CLIクイック構成

SRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

手順

  1. インターフェイスを作成します。

    Web 認証にセカンダリ IP アドレスを使用します。この例では、Web 認証に 10.1.1.253/24 を使用しています。セカンダリ IP アドレスは、プライマリ IP アドレスと同じサブネットを使用する必要があることに注意してください。

  2. セキュリティ ゾーンを作成し、インターフェイスを割り当てます。

  3. Web 認証のインターフェイスを有効にします。

  4. アクセスプロファイルを設定し、ユーザーの詳細を追加します。

    パスワードを使用して CLIENT-1 と CLIENT-2 の 2 人のユーザーを追加し、ユーザーをクライアントグループ GROUP-1 に割り当てました。

  5. Web 認証プロパティの構成

  6. dynamic-application でセキュリティ ポリシーを作成します。

業績

設定モードから、コマンドを入力して設定を show security 確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

[edit]

[edit]

[edit]

[edit]

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

Web認証が機能していることを確認する

Web 認証が機能していることを確認するには、クライアント マシンで Web ブラウザーを開きます。まず、Webブラウザを使用してセキュリティデバイスにアクセスします。Web 認証用に構成した IP アドレス 10.1.1.253 を使用します。 デバイスは、図 9 に示すように、ユーザ名とパスワードの入力を求めます。

図 9: Web 認証プロンプト Web Authentication Prompt

認証が成功すると、 図 10 に示すように設定されたバナーが表示され、サーバにアクセスできるようになります。

図 10:Web 認証バナー Web Authentication Banner

検証

ファイアウォールユーザーの監視

目的

ファイアウォール認証ユーザー履歴を表示して、ファイアウォールユーザーの詳細を確認します。

アクション

動作モードから、以下の表示コマンドを入力します。

意味

コマンド出力には、ログインしているユーザー、使用された認証方法、適用されたプロファイル、ログイン試行などの詳細が提供されます。

セキュリティポリシーの使用状況の詳細の確認

目的

受信したヒット数に応じたセキュリティポリシーの利用率を表示します。

アクション

動作モードから、以下の表示コマンドを入力します。

意味

コマンド出力は、トラフィックに適用されているセキュリティポリシーの詳細を提供します。

例:外部認証サーバーの設定

この例では、外部認証用のデバイスを設定する方法を示しています。

必要条件

開始する前に、認証ユーザーグループを作成します。

概要

複数のユーザー・アカウントをまとめてユーザー・グループを形成し、ローカル・データベース、RADIUS、LDAP、またはSecurIDサーバーに保存できます。ポリシーで認証ユーザ グループと外部認証サーバを参照すると、ポリシーに一致するトラフィックによって認証チェックが開始されます。

次に、アクセスプロファイルプロファイル-1を外部認証用に設定する例を示します。アクセスプロファイルには、2つのRADIUSサーバーと1つのLDAP サーバーが設定されています。ただし、認証の順序はRADIUSサーバーのみを指定するため、RADIUSサーバー認証が失敗すると、ファイアウォールユーザーの認証は失敗します。ローカル データベースにはアクセスされません。

手記:

ファイアウォールクライアントがRADIUSサーバーによって認証されている場合、RADIUSサーバーから返されるグループメンバーシップVSAは、RADIUSサーバー設定またはアクセスプロファイルProfile-1に、alpha、beta、またはgammaクライアントグループを含んでいる必要があります。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存するか、そうした情報が保存されている外部認証サーバーを指し示します。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

外部認証用のデバイスを設定するには:

  1. 外部認証の順番にRADIUSサーバーを指定します。

  2. クライアント 1 から 4 のファイアウォール ユーザーを設定し、クライアント 1 のファイアウォール ユーザーとクライアント 2 のファイアウォール ユーザーをクライアント グループに割り当てます。

  3. セッションオプションでクライアントグループを設定します。

  4. LDAP サーバーとサーバーオプションの IP アドレスを構成します。

  5. 2台のRADIUSサーバーのIPアドレスを設定します。

業績

設定モードから、 show access profile Profile-1 コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

例:クライアントグループを設定する

この例では、プロファイル内のクライアントグループに対してローカルユーザーを設定する方法を示しています。

必要条件

開始する前に、アクセスプロファイルを作成します。

概要

クライアントグループとは、そのクライアントが属するグループのリストです。クライアントアイドルタイムアウトと同様に、外部認証サーバが応答で値を返さない(例えば、LDAPサーバがそのような情報を返さない)場合にのみ、クライアントグループが使用されます。

この例では、Managers というプロファイルのクライアントグループ G1、G2、および G3 に対して Client-1 と呼ばれるローカルユーザーを設定する方法を示しています。この例では、クライアントに対してクライアントグループが設定されています。クライアントにクライアント・グループが定義されていない場合は、 access profile session-options 階層下のクライアント・グループが使用されます。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

プロファイル内のクライアント・グループのローカル・ユーザーを構成するには、次のようにします。

  1. ファイアウォール ユーザー プロファイル マネージャーを構成し、クライアント グループを割り当てます。

  2. セッションオプションでクライアントグループを設定します。

業績

設定モードから show access profile Managers コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ログを使用したトラブルシューティング

目的

これらのログを使用して、問題を特定します。

アクション

動作モードから、 show log messages コマンドと show log dcd コマンドを入力します。

例: バナーのカスタマイズ

この例では、ブラウザに表示されるバナーテキストをカスタマイズする方法を示しています。

必要条件

開始する前に、アクセスプロファイルを作成します。

概要

バナーは、ログインの種類に応じてモニターのさまざまな場所に表示されるメッセージです。この例では、ブラウザに表示されるバナーを変更して、Web 認証によるログインに成功した後にユーザが正常に認証されたことを示す方法を示します。新しいメッセージは「Web認証が成功しました」です。認証に失敗すると、新しいメッセージには「認証に失敗しました」と表示されます。

構成

プロシージャ

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから commit を入力してください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

ブラウザに表示されるバナーテキストをカスタマイズするには:

  1. FTP 経由のパススルー認証に失敗した場合のバナー テキストを指定します。

  2. Web認証を成功させるためのバナーテキストを指定します。

業績

設定モードから、 show access firewall-authentication コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

例:相互TLS(mTLS)認証の設定

相互TLS(mTLS)認証の設定方法をご確認ください。

この例では、ファイアウォールで相互トランスポート層セキュリティ(mTLS)認証を設定および検証します。この例では、 ジュ ニパーネットワーク®スSRXシリーズファイアウォールまたはジュニパーネットワーク®スvSRX仮想ファイアウォール(vSRX3.0)を指すためにファイアウォールを使用します。この構成では、ユーザーはパスワードなしで認証できます。ユーザー認証は、公開鍵と秘密鍵のペアを使用して、クライアント/サーバー証明書を検証することによって行われます。

この例に示すように mTLS を設定するには、管理者が次の証明書を生成する必要があります。

  • CA 証明書 - ファイアウォールとクライアント ブラウザーで CA 証明書を実行します。

  • サーバー証明書 - domain1.com mTLS サーバーを使用して、ファイアウォールでサーバー証明書を生成します。ファイアウォールに設定された CA 証明書を使用して、サーバー証明書に署名します。

  • クライアント証明書—クライアントブラウザでクライアント証明書を生成し、ファイアウォールで設定されたCA証明書を使用してクライアント証明書に署名します。

先端:
表 2: 推定タイマー

読書の時間

1時間もかかりません。

設定時間

1時間もかかりません。

前提条件の例

表 3: 要件

ハードウェア要件

ジュニパーネットワーク®スSRXシリーズファイアウォールまたはジュニパーネットワーク®スvSRX仮想ファイアウォール(vSRX3.0)

ソフトウェア要件

Junos OS リリース 23.4R1 以降

始める前に

表4:始めましょう

利点

mTLS認証では、以下が可能です。

  • ユーザーとサーバー間の安全な接続のために、パスワードレスログインを確保します。

  • 組織のネットワークやアプリケーションにログインするユーザーに、さらなるセキュリティ層を提供します。

  • ファイアウォールと、ログインプロセスに従わないユーザーデバイス間の接続を確認します。

  • APIリクエストが正当なユーザーからのものであることを確認し、悪意のあるAPIリクエストをブロックします。

もっと知る

 アイデンティティ認識型ファイアウォール

詳細情報

 ファイアウォールユーザー認証

機能の概要

このセクションでは、この例の構成コンポーネントの概要を説明します。

表 5:設定と検証の詳細

使用技術

mTLS認証を確立するには、以下を設定する必要があります。

  • セキュリティゾーン—トラフィックを分離するために2つのセキュリティゾーンを設定します。

    • untrust

    • trust

  • セキュリティポリシー—セキュリティポリシー p1p2 を設定して、認証されていないユーザーと認証されたユーザーをそれぞれ許可します。これらのポリシーを使用して、データトラフィックを選択し、 untrust ゾーンから trust ゾーンに移動します。

  • アクセスプロファイル—アクセスプロファイル profile1 を設定し、ユーザー1の詳細を追加します。ユーザーをクライアントグループ group1 および group2に割り当てます。

  • mTLSプロファイル—クライアントとサーバーを認証するためのmTLSプロファイル ma2 を設定します。

主な検証タスク

mTLS認証を検証します。

トポロジーの概要

この例では、クライアントはファイアウォールを介してサーバーに接続します。mTLS認証では、クライアントとサーバーが暗号化されたTLS接続を介して情報を交換することで、互いの証明書を検証します。

ファイアウォールは、認証されていないクライアントをサーバーへの接続時に domain1.com にリダイレクトします。このプロセスでは、domain1.com の CA 証明書とサーバー証明書がファイアウォールにプリインストールされているため、証明書エラーが回避されます。CA 証明書は、クライアントのブラウザーにプリインストールされています。

mTLS認証を使用して、キャプティブポータル認証のためのユーザー資格情報の手動入力をバイパスします。Lightweight Directory Access Protocol (LDAP) プロファイルに対して有効なユーザーが構成されていることを確認して、Active Directory からユーザー情報と承認を取得します。ポリシーでファイアウォール認証が適用される場合は、JIMSの設定が必要です。

表 6: この設定で使用されるデバイス、役割、および機能

ホスト名

役割

機能

クライアント

サービスリクエスター

SRXシリーズファイアウォールを介してサーバーとのセッションを開始します。

SRXシリーズファイアウォール

ファイアウォール

クライアントのパケットを暗号化および復号化します。

サーバー

サーバー

クライアントの要求に応答します。

Active Directory

アイデンティティ ソース

アイデンティティソースとしてのActive Directory は、SRXシリーズファイアウォール、vSRX仮想ファイアウォール、ジュニパーネットワーク®スcSRXコンテナファイアウォール、またはジュニパーネットワーク®スNFXシリーズネットワークサービスプラットフォームとMicrosoft Windows Active Directoryとの統合を定義します。詳細については、 アイデンティティ ソースとしての Active Directoryを参照してください。

JIMS(ジムス)

Windows サービス アプリケーション

Juniper® Identity Management Service(JIMS)は、Active Directoryドメインからユーザー、デバイス、グループの情報を収集して管理するために設計されたWindowsサービスアプリケーションです。詳細については、 SRXシリーズファイアウォールを使用したJIMSを参照してください。

トポロジー図

図11:相互TLS(mTLS)認証 Mutual-TLS (mTLS) Authentication

被試験デバイス(DUT)の設定手順

手記:

DUTの構成例については、以下を参照してください。

  1. 必要なインターフェイスを設定します。

  2. セキュリティ ゾーンを設定し、ゾーンにインターフェイスを割り当てます。

  3. アクセス プロファイルを設定します。

  4. セキュリティポリシーを設定して、認証されていないユーザーにファイアウォールユーザー認証を許可します。

  5. ファイアウォールユーザー認証なしで認証されたユーザーを許可するセキュリティポリシーを設定します。

  6. ca プロファイルを設定します。

  7. mTLS プロファイルを構成します。

  8. domain1.com サーバー証明書を実行するファイアウォールで mTLS を開始するように web-management を構成します。

  9. (オプション)証明書検証用の証明書失効リスト(CRL)を設定します。mTLSは、受信証明書のCRL検証をサポートしています。 「証明書の失効」を参照してください。

付録1:すべてのデバイスでの set コマンド

クライアントとサーバーの鍵証明書の生成

検証

このセクションでは、この例の機能を検証するために使用できる show コマンドの一覧を示します。

mTLS認証の検証

目的

mTLS認証を確認します。

アクション

動作モードから、 show services user-identification debug-counters | match MTLS コマンドを入力してmTLS認証のステータスを表示します。

意味

サンプル出力では、次のことが確認されます。

  • mTLS認証が正常に設定されました。

  • ユーザー ファイアウォールが mTLS 認証を正常に処理しました。