統合ユーザーファイアウォールの設定

CLIクイック構成

この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。

Windows Active Directory ドメインの確立、キャプティブ ポータルの設定、および別のセキュリティ ポリシーの設定を行うには、このセクションのステップを実行します。

設定が完了すると、トラフィックが到着すると、SRXシリーズファイアウォールがユーザーファイアウォールプロセスに相談し、ユーザーファイアウォールプロセスがActive Directory認証ソースに問い合わせて、ソースが認証テーブルにあるかどうかを判断します。ユーザーファイアウォールが認証エントリにヒットした場合、SRXシリーズファイアウォールはステップ4で設定されたポリシーをチェックして、さらなるアクションを実行します。ユーザファイアウォールが認証エントリにヒットしない場合、SRXシリーズファイアウォールはステップ3で設定されたポリシーをチェックして、ユーザにキャプティブポータルの実行を強制します。

1. LDAP ベース識別名を構成します。

2. ドメイン名、ドメインのユーザー名とパスワード、およびドメイン内のドメイン コントローラーの名前と IP アドレスを構成します。

3. アクセスプロファイルを設定し、認証順序とLDAPオプションを設定します。

   no-tls-certificate-checkオプションが設定されている場合、SRXシリーズファイアウォールはサーバーの証明書の検証を無視し、チェックせずに証明書を受け入れます。

4. ソースアイデンティティ「unauthenticated-user」と「unknown-user」のポリシーを設定し、ファイアウォール認証キャプティブポータルを有効にします。認証ソースが設定されていない場合、ソース ID を構成する必要があり、切断されます。

5. 特定のユーザーを有効にする 2 つ目のポリシーを構成します。

   ポリシーステートメントでソースアイデンティティを指定する場合は、ドメイン名とバックスラッシュをグループ名またはユーザー名の先頭に追加します。組み合わせを引用符で囲みます。

6. Active Directory 認証テーブルを統合ユーザー ファイアウォール情報取得の認証ソースとして設定し、ユーザー情報テーブルをチェックする順序を指定します。

   Active Directory 認証テーブルを統合ユーザ ファイアウォール情報取得の認証ソースとして設定し、 コマンドを使用して set security user-identification authentication-source active-directory-authentication-table priority valueユーザ情報テーブルをチェックする順序を指定する必要があります。

   このオプションのデフォルト値は 125 です。すべての認証ソースのデフォルトの優先度は次のとおりです。

   • ローカル認証: 100

   • 統合ユーザー ファイアウォール: 125

   • ユーザーロールファイアウォール:150

   • 統合アクセス コントロール(UAC):200

   このフィールド priority は、アクティブディレクトリ認証テーブルのソースを指定します。値セットは、ユーザーロールを取得するために、サポートされているさまざまな認証テーブルの中から検索するためのシーケンスを決定します。これらは現在サポートされている唯一の値であることに注意してください。0 から 65,535 までの任意の値を入力できます。アクティブディレクトリ認証テーブルのデフォルトの優先度は125です。つまり、優先度の値を指定しなくても、Active Directory 認証テーブルは値 125 (統合ユーザー ファイアウォール) のシーケンスから検索されます。

   各認証テーブルには、固有の優先度値が割り当てられます。値が小さいほど、優先度が高くなります。たとえば、優先度 120 のテーブルは、優先度 200 のテーブルよりも先に検索されます。テーブルの優先度値を 0 に設定すると、テーブルが無効になり、検索シーケンスから優先度の値が削除されます。

   詳細については、 アクティブディレクトリ認証テーブルについて を参照してください。

手順

必要に応じて、ドメイン以外のユーザーについては、公開キー基盤 (PKI) を構成して、トラフィックの整合性、機密性、および信頼性を検証できます。PKI には、認証局 (CA) によって発行されたデジタル証明書、証明書の有効期間と有効期限、証明書の所有者と発行者に関する詳細、およびセキュリティ ポリシーが含まれます。

非ドメインユーザーまたは非ドメインマシン上のドメインユーザーの場合、管理者はキャプティブポータルを指定して、ユーザーにファイアウォール認証を強制します(SRXシリーズファイアウォールがトラフィックタイプのキャプティブポータルをサポートしている場合)。ユーザーが名前とパスワードを入力してファイアウォール認証に合格すると、SRXシリーズファイアウォールはファイアウォール認証ユーザー/グループ情報を取得し、それに応じてユーザーを制御するためのユーザーファイアウォールポリシーを適用できます。キャプティブポータルに加えて、IPアドレスまたはユーザー情報がイベントログから利用できない場合、ユーザーはWindows PCに再度ログインしてイベントログエントリを生成できます。その後、システムはそれに応じてユーザーの認証エントリを生成します。

SRXシリーズファイアウォールがHTTP経由でユーザーを認証できるようにするには、SSL転送プロキシを設定し、有効にする必要があります。ローカル証明書を生成し、SSL ターミネーションプロファイルを追加し、SSL プロキシープロファイルを追加し、セキュリティーポリシーで SSL プロキシープロファイルを参照する必要があります。SSLフォワードプロキシが有効になっていない場合、SRXシリーズファイアウォールはHTTPSを使用しているユーザーを認証できませんが、HTTP、FPT、およびTelnetを使用しているユーザーに対しては、期待どおりに認証を実行できます。

PKI を生成して SSL 転送プロキシを有効にするには、次の手順を実行します。

1. ローカル・デジタル証明書の PKI 公開鍵と秘密鍵のペアを生成します。

2. 指定された識別名の自己署名証明書を手動で生成します。

3. SSL 終端サービスに使用するアクセス プロファイルを定義します。このオプションは、SRX5400、SRX5600、および SRX5800 デバイスでのみ使用できます。

4. 読み込まれた証明書を SSL プロキシ プロファイルで root-ca として構成します。このオプションは、SRX5400、SRX5600、および SRX5800 デバイスでのみ使用できます。

5. ignore-server-auth-failure CA リスト全体をインポートせず、セッションをドロップしたくない場合は、 オプションを指定します。このオプションは、SRX5400、SRX5600、および SRX5800 デバイスでのみ使用できます。

6. セキュリティポリシーにSSLターミネーションプロファイルを追加します。このオプションは、SRX5400、SRX5600、および SRX5800 デバイスでのみ使用できます。

目的

少なくとも 1 つのドメイン コントローラーが構成され、接続されていることを確認します。

アクション

動作モードから コマンド show services user-identification active-directory-access domain-controller status を入力します。

意味

ドメイン コントローラーが接続または切断されていることが表示されます。

目的

LDAP サーバーがユーザーからグループへのマッピング情報を提供していることを確認します。

アクション

動作モードから コマンド show services user-identification active-directory-access user-group-mapping status を入力します。

意味

LDAP サーバーのアドレス、ポート番号、および状況が表示されます。

目的

ユーザーが属するグループと、ドメイン内のユーザー、グループ、および IP アドレスが表示されます。

アクション

動作モードから コマンド show services user-identification active-directory-access active-directory-authentication-table all を入力します。

意味

ドメインごとに、IP アドレス、ユーザー名、およびグループが表示されます。

目的

イベント ログがスキャンされていることを確認します。

アクション

動作モードから コマンド show services user-identification active-directory-access statistics ip-user-mapping を入力します。

意味

クエリと失敗したクエリの数が表示されます。

目的

IP プローブが発生していることを確認します。

アクション

動作モードから コマンド show services user-identification active-directory-access statistics ip-user-probe を入力します。

意味

IP プローブと失敗した IP プローブの数が表示されます。

目的

ユーザーからグループへのマッピングが照会されていることを確認します。

アクション

動作モードから コマンド show services user-identification active-directory-access statistics user-group-mapping を入力します。

意味

クエリと失敗したクエリの数が表示されます。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

HTTP ベースのリソースへのアクセスを要求する認証されていないユーザーに対して Web リダイレクトを使用するように統合ユーザーファイアウォールを構成するには:

1. HTTP トラフィックの Web 管理サポートを有効にします。

2. インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/1インターフェイスでWeb認証を有効にします。

3. 認証されていないユーザーまたは不明なユーザーをソース ID として指定するセキュリティ ポリシーを構成します。

   Junos OS 17.4R1以降では、送信元アドレスを設定する際に、IPv4アドレスに加えてIPv6アドレスを割り当てることができます。IPv6送信元アドレスを設定するには、[セキュリティポリシーの編集元ゾーンの信頼からゾーンの信頼解除ポリシーポリシー名一致ソースアドレス]階層レベルで を発行 any または any-IPv6 コマンドします。

4. アクション として を使用してユーザー ファイアウォールのファイアウォール web-redirect 認証を許可するセキュリティ ポリシーを構成し、ユーザーに対して事前に構成されたアクセス プロファイルを指定します。

5. ドメイン名を指定するセキュリティポリシーを設定します。

結果

設定モードから、 コマンドを入力して show system services 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show interfaces 、統合されたユーザファイアウォールの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show security policies 、統合されたユーザファイアウォールの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show security policies ポリシー設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit 。

目的

構成が正しいことを確認します。

アクション

動作モードから コマンド show security policies を入力します。

意味

アクションとしてWebリダイレクトを使用したユーザーファイアウォールのファイアウォール認証を許可するセキュリティポリシーを表示します。

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから を入力します commit 。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

HTTPS ベースのリソースへのアクセスを要求する認証されていないユーザーまたは不明なユーザーに対して web-redirect-to-https を設定するには、次のステートメントを入力します。

1. HTTPS トラフィックの Web 管理サポートを有効にします。

   この例は HTTPS ユーザー トラフィックに適用されますが、トラフィックが HTTP URL サイトへの認証済みユーザーに対しても web-redirect-to-https 認証をサポートしていることに注意してください (その特定のシナリオはここでは示されていません)。その場合、SSL ターミネーション プロファイルは必要ありません。

2. インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/1インターフェイスでWeb認証を有効にします。

3. source-identity タプル値として unauthenticate-user と unknown-user を指定するセキュリティ ポリシーを設定します。

   Junos OS 17.4R1以降では、送信元アドレスを設定する際に、IPv4アドレスに加えてIPv6アドレスを割り当てることができます。IPv6送信元アドレスを設定するには、[セキュリティポリシーの編集元ゾーンの信頼からゾーンの信頼解除ポリシーポリシー名一致送信元アドレス]階層レベルで または any コマンドを発行します any-IPv6 。

4. アクション として を使用したユーザー ファイアウォールのファイアウォール web-redirect-to-https 認証を許可するセキュリティ ポリシーを構成し、ユーザーに対して事前に構成されたアクセス プロファイルを指定します。

5. セキュリティポリシーのドメイン名を設定します。

6. 使用する SSL ターミネーションプロファイルを参照するようにセキュリティポリシーを設定します。

   実装に必要なサービスを提供する適切な SSL 終了プロファイルが既存にある場合は、それを使用できます。それ以外の場合は、手順 7 に従って作成します。

7. SSL終端サービスに使用するプロファイルを指定します。

8. TLS タイプを定義して、StartTLS 経由で LDAP を構成します。

9. 認証するピア ホスト名を設定します。

10. TLS ハンドシェークのタイムアウト値を指定します。3 秒から 90 秒まで入力できます。

11. 接続で有効になっている最小プロトコル バージョンとして TLS バージョン (v1.1 と v1.2 がサポートされています) を指定します。

結果

設定モードから、 コマンドを入力して show system services 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show services ssl 、統合されたユーザファイアウォールの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show interfaces 、統合されたユーザファイアウォールの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show security policies 、統合されたユーザファイアウォールの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

設定モードから、 コマンドを入力して show access profile profile1 アクセスプロファイルの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit 。