論理システムのセキュリティ プロファイル
論理システムのセキュリティー プロファイルを使用すると、リソースを割り当てることができます。セキュリティー・プロファイルは、セキュリティー・プロファイルがバインドされている論理システムに割り振るリソースの数を指定します。すべてのシステム・リソースは 1 次論理システムに割り振られ、1 次管理者はセキュリティー・プロファイルを使用してユーザー論理システムに割り当てます。詳細については、以下のトピックを参照してください。
論理システム セキュリティ プロファイルについて(プライマリ管理者のみ)
論理システムを使用すると、サポート対象の SRX シリーズ ファイアウォールを複数のデバイスに事実上分割し、相互に分離し、侵入や攻撃から保護し、コンテキスト外の障害状態から保護することができます。論理システムを保護するために、セキュリティ リソースは、個別のデバイスに対して設定する方法と同様の方法で設定されます。ただし、一次管理者は、セキュリティー・リソースの種類と量を論理システムに割り当てる必要があります。論理システム管理者は、自分の論理システムにリソースを割り当てます。
論理システムを実行するSRXシリーズファイアウォールは、ユーザー論理システム、必要に応じて相互接続論理システム、デフォルトのプライマリ論理システムに分割できます。システムを初期化すると、ルート・レベルで 1 次論理システムが作成されます。すべてのシステム リソースが割り当てられ、デフォルトの 1 次論理システム セキュリティー プロファイルが効果的に作成されます。セキュリティー・リソースを論理システムに分散するために、1 次管理者は、セキュリティー・プロファイルにバインドされている論理システムに割り振られるリソースの種類と量を指定するセキュリティー・プロファイルを作成します。セキュリティー・プロファイルを構成し、それを論理システムにバインドできるのは、1 次管理者だけです。ユーザー論理システム管理者は、自分の論理システムに対してこれらのリソースを構成します。
論理システムは、主にセキュリティ コンポーネント、インターフェイス、ルーティング インスタンス、スタティック ルート、動的ルーティング プロトコルなど、割り当てられたリソースによって定義されます。プライマリ管理者がユーザー論理システムを設定すると、セキュリティプロファイルをそれにバインドします。ユーザー論理システムに紐付けされたセキュリティー プロファイルを持たないユーザー論理システムの設定をコミットしようとすると、失敗します。
このトピックには、以下のセクションが含まれています。
論理システム セキュリティ プロファイル
1 つのセキュリティー・プロファイルを構成して、リソースを特定の論理システムに割り当てたり、同じセキュリティー・プロファイルを複数の論理システムに使用したり、両方の方法を組み合わせて使用することができます。論理システムを実行する SRX シリーズ ファイアウォールでは、最大 32 個のセキュリティ プロファイルを設定できます。制限に達した場合、別のセキュリティ プロファイルを作成してコミットする前に、セキュリティ プロファイルを削除し、設定変更をコミットする必要があります。多くの場合、1 つのセキュリティー・プロファイルを複数の論理システムにバインドする場合があるため、必要なセキュリティー・プロファイルが少なくて済みます。
セキュリティ プロファイルを使用すると、次のことができるようになります。
ポリシー、ゾーン、アドレスとアドレス帳、フロー セッション、各種形式の NAT など、デバイスのリソースをすべての論理システムで適切に共有します。さまざまなリソースを論理システムに割り当て、無料リソースの使用を競い合うことができます。
セキュリティ プロファイルは、他の論理システムが同時に必要とするリソースを使い果たす論理システムから保護します。セキュリティ プロファイルは、重要なシステム リソースを保護し、デバイスのトラフィック フローが重いときにユーザー論理システム間でかなり高いレベルのパフォーマンスを維持します。リソースの使用が支配している1つのユーザー論理システムから防御し、他のユーザーの論理システムを奪います。
デバイスを拡張性に優れた方法で構成することで、ユーザー論理システムを今後追加して作成できるようにします。
論理システムを削除する前に、論理システムのセキュリティー プロファイルを削除する必要があります。
システムがリソース割り当てを評価し、論理システム全体で使用する方法
セキュリティー・リソースを使用して論理システムをプロビジョニングするには、1 次管理者として、各リソースに対して指定するセキュリティー・プロファイルを構成します。
指定されたリソース量が論理システムで常に使用可能であることを保証する予約済みクォータ。
割り当て可能な最大クォータ。論理システムが必要とするリソースが、予約済み量を超えるリソースを必要とする場合、利用可能であればグローバルな最大量(つまり、他の論理システムに割り当てられない場合)に設定されたリソースを利用できます。最大許容クォータは、論理システムが使用できる空きグローバル・リソースの部分を指定します。最大許容クォータによって、セキュリティー・プロファイル内のリソースに指定された量が使用可能であるとは限りません。論理システムはグローバルリソースで競い合う必要があります。
リソースに対して予約済みクォータが構成されていない場合、デフォルト値は 0 です。リソースに対して許可される最大クォータが構成されていない場合、デフォルト値はリソースのグローバル システム クォータになります(グローバル システム クォータはプラットフォームに依存します)。1 次管理者は、特定の論理システムのリソース使用率の最大化が、デバイスに構成されている他の論理システムに悪影響を及ぼさないように、セキュリティー・プロファイルに適切な最大許可クォータ値を構成する必要があります。1 次管理者は、特定の論理システムのリソース使用率の最大化が、デバイスに構成されている他の論理システムに悪影響を及ぼさないように、セキュリティー・プロファイルに適切な最大許可クォータ値を構成する必要があります。
システムは、論理システムが削除されたときに予約され、使用され、再び使用可能になる割り当てられたすべてのリソースのカウントを維持します。このカウントによって、リソースが新しい論理システムに使用できるかどうか、またはセキュリティー・プロファイルを介して既存の論理システムに割り振られるリソースの量を増やすために使用できるかどうかが決まります。
ユーザー論理システムが削除されると、他の論理システムが使用するために、その予約済みリソース割り当てが解放されます。
セキュリティ プロファイルで構成されるリソースは、静的モジュラー 型リソースまたは動的リソースとして特徴付けられます。静的リソースの場合、論理システムの拡張可能な構成を可能にするために、予約済みクォータとして指定された量に近いリソースに対して最大クォータを設定することをお勧めします。リソースの最大クォータが大きくなると、論理システムは、そのリソースの多くへのアクセスを通じて柔軟性が高まりますが、新しいユーザー論理システムに割り当てるための使用可能な量が制約されます。
動的リソースの予約済み量と許容最大量の違いは、動的リソースがエージングアウトされ、他の論理システムへの割り当てに使用可能なプールが枯渇しないため、重要ではありません。
セキュリティ プロファイルでは、以下のリソースを指定できます。
セキュリティ ポリシー(スケジューラを含む)
セキュリティ ゾーン
セキュリティ ポリシー用のアドレスとアドレスブック
アプリケーション ファイアウォール ルール セット
アプリケーション ファイアウォール ルール
ファイアウォール認証
フロー セッションとゲート
NATには以下が含まれます。
円錐形 NAT バインディング
NAT 宛先ルール
NAT 宛先プール
PAT(ポート アドレス変換)を使用しないソース プール内の NAT IP アドレス
メモ:PAT なしの IPv6 ソース プール内の IPv6 アドレスは、セキュリティ プロファイルには含まれません。
PAT を使用したソース プール内の NAT IP アドレス
NAT ポート 過負荷
NAT ソース プール
NAT ソース ルール
NAT 静的ルール
フロー セッションを除くすべてのリソースは静的です。
セキュリティー・プロファイルが他の論理システムに割り当てられている間、論理システム・セキュリティー・プロファイルを動的に変更することができます。ただし、システム リソースのクォータを超過しないように、システムは次のアクションを実行します。
静的クォータを変更した場合、セキュリティー・プロファイルで指定されたリソースの論理システム・カウントを維持するシステム・デーモンは、セキュリティー・プロファイルを再検証します。このチェックでは、すべての論理システムに割り当てられたリソースの数を識別して、割り当てられたリソース (増加したリソースを含む) が使用可能かどうかを判別します。
これらのクォータチェックは、新しいユーザー論理システムを追加してセキュリティプロファイルをそれにバインドする際にシステムが実行するクォータチェックと同じです。また、既存のユーザー論理システム(またはプライマリ論理システム)に割り当てられているセキュリティ プロファイルとは異なるセキュリティ プロファイルをバインドする場合にも実行されます。
動的クォータが変更された場合、チェックは実行されませんが、新しいクォータは将来のリソース使用に適用されます。
ケース: セキュリティ プロファイルによって割り当てられた予約済みリソースの評価
システムがセキュリティ プロファイルを使用して予約済みリソースの割り当てを評価する方法を理解するには、1 つのリソース、ゾーンの割り当てに対応する次の 3 つのケースを検討してください。この例をシンプルにするため、security-profile-1 には 10 のゾーンが割り当てられます。4 つの予約ゾーンと最大 6 つのゾーン。この例では、ユーザー論理システムで指定された最大 6 つのゾーンを使用すると仮定しています。ゾーンの最大数はシステムで 10 です。
これらのケースは、論理システム全体の設定に対応します。ゾーンの割り当てに基づいて、構成がコミットされたときに構成が成功するか失敗するかをテストします。
表 1 は、セキュリティ プロファイルとそのゾーン割り当てを示しています。
設定ケースで使用される 2 つのセキュリティ プロファイル |
---|
security-profile-1
メモ:
その後、プライマリ管理者は、このプロファイルで指定された予約ゾーン数を動的に増やします。 |
プライマリ-論理-システムプロファイル
|
表 2 は、 セキュリティー・プロファイル構成に基づいて、システムが論理システム全体のゾーンの予約リソースをどのように評価するかを示す 3 つのケースを示しています。
すべての論理システムにバインドされたセキュリティ プロファイルで構成されたゾーンの累積予約リソース クォータが 8 で、システムの最大リソース クォータより小さいため、最初のケースの構成は成功します。
すべての論理システムにバインドされたセキュリティ プロファイルで構成されたゾーンの累積予約リソース クォータが 12 で、システムの最大リソース クォータを超えるため、2 番目のケースの構成は失敗します。
すべての論理システムにバインドされたセキュリティ プロファイルで構成されたゾーンの累積予約リソース クォータが 12 で、システムの最大リソース クォータを超えるため、3 番目のケースの構成は失敗します。
論理システム間の予約済みリソース 割り当て割り当てチェック |
---|
例 1: 成功 この設定は制限内です:4+4+0=8、最大容量 =10。 使用されるセキュリティ プロファイル
|
例2:失敗 この設定は範囲外です:4+4+4=12、最大容量 =10。
セキュリティ プロファイル
|
例 3: 失敗 この設定は範囲外です:6+6=12、最大容量 =10。 一次管理者は、security-profile-1 で予約済みゾーンのクォータを変更し、カウントを 6 に増やします。
|
「」も参照
例:論理システムセキュリティプロファイルの設定(プライマリ管理者のみ)
この例では、1 次管理者が 3 つの論理システム・セキュリティー・プロファイルを構成してユーザー論理システムに割り当て、それらをセキュリティー・リソースでプロビジョニングする方法を示します。
要件
この例では、論理システムでJunos OSを実行するSRX5600デバイスを使用しています。
開始する前に、 SRX シリーズ論理システムプライマリ管理者構成タスクの概要 を参照して、このタスクが全体の構成プロセスにどのように適合するかを理解します。
概要
この例では、以下の論理システムのセキュリティ プロファイルを設定する方法を示します。
ルート論理システム論理システム。セキュリティプロファイルプライマリプロファイルは、プライマリまたはルートの論理システムに割り当てられます。
ls-product-design 論理システム。セキュリティ プロファイル ls-design-profile が論理システムに割り当てられます。
ls マーケティング部門の論理システム。セキュリティ プロファイル ls-accnt-mrkt-profile が論理システムに割り当てられます。
ls-accounting-dept 論理システム。セキュリティ プロファイル ls-accnt-mrkt-profile が論理システムに割り当てられます。
相互接続論理システム(1 つを使用する場合)セキュリティ プロファイルには、ダミーまたは null を割り当てる必要があります。
トポロジ
この設定は、「 例: ユーザー論理システム、管理者、ユーザー、相互接続論理システムの作成」に示す導入環境に依存します。
構成
論理システム セキュリティ プロファイルの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
3 つのセキュリティ プロファイルを作成します。
最初のセキュリティ プロファイルを作成します。
手順
最大ポリシーと予約済みポリシーの数を指定します。
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
最大ゾーンと予約ゾーンの数を指定します。
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
最大セッション数と予約済みセッション数を指定します。
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
最大および予約済みの ICAP リダイレクト プロファイルの数を指定します。
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
最大および予約済みのソースNATのノー PAT アドレスと静的NATルールの数を指定します。
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
侵入検出および防止(IDP)を有効にします。IDP は、プライマリ(ルート)論理システムに対してのみ有効にできます。
[edit system security-profile] user@host# set idp
セキュリティ プロファイルを論理システムにバインドします。
[edit system security-profile] user@host# set master-profile root-logical-system
2 つ目のセキュリティ プロファイルを作成します。
手順
最大ポリシーと予約済みポリシーの数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
最大ゾーンと予約ゾーンの数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
最大セッション数と予約済みセッション数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
最大および予約済みの ICAP リダイレクト プロファイルの数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
最大および予約済みのソースNAT no-PATアドレスの数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
静的 NAT ルールの最大数と予約数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
セキュリティ プロファイルを 2 つの論理システムにバインドします。
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
3 つ目のセキュリティ プロファイルを作成します。
手順
最大ポリシーと予約済みポリシーの数を指定します。
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
最大ゾーンと予約ゾーンの数を指定します。
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
最大セッション数と予約済みセッション数を指定します。
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
最大および予約済みの ICAP リダイレクト プロファイルの数を指定します。
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
最大および予約済みのソースNAT no-PATアドレスの数を指定します。
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
セキュリティ プロファイルを論理システムにバインドします。
user@host# set system security-profile ls-design-profile logical-system ls-product-design
null セキュリティ プロファイルを相互接続論理システムにバインドします。
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
結果
設定モードから、 コマンドを show system security-profile
入力して設定を確認し、設定されたすべてのセキュリティプロファイルを表示します。
個々のセキュリティ プロファイルを表示するには、 、 show system security-profile ls-accnt-mrkt-profile
および コマンドをshow system security-profile ls-design-profile
入力show system security-profile master-profile
します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show system security-profile interconnect-profile { logical-system interconnect-logical-system; } ls-accnt-mrkt-profile { policy { maximum 65; reserved 60; } zone { maximum 22; reserved 17; } flow-session { maximum 2500; reserved 2000; } icap-redirect-profile { maximum 64; reserved 30; } nat-nopat-address { maximum 125; reserved 100; } nat-static-rule { maximum 125; reserved 100; } logical-system [ ls-marketing-dept ls-accounting-dept ]; } ls-design-profile { policy { maximum 50; reserved 40; } zone { maximum 10; reserved 5; } flow-session { maximum 2500; reserved 2000; } icap-redirect-profile { maximum 64; reserved 30; } nat-nopat-address { maximum 120; reserved 100; } nat-static-rule { maximum 125; reserved 100; } logical-system ls-product-design; } master-profile { policy { maximum 65; reserved 60; } zone { maximum 22; reserved 17; } flow-session { maximum 3000; reserved 2100; } icap-redirect-profile { maximum 64; reserved 30; } nat-nopat-address { maximum 115; reserved 100; } nat-static-rule { maximum 125; reserved 100; } root-logical-system; }
user@host# show system security-profile master-profile policy { maximum 65; reserved 60; } zone { maximum 22; reserved 17; } flow-session { maximum 3000; reserved 2100; } icap-redirect-profile { maximum 64; reserved 30; } nat-nopat-address { maximum 115; reserved 100; } nat-static-rule { maximum 125; reserved 100; } root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile policy { maximum 65; reserved 60; } zone { maximum 22; reserved 17; } flow-session { maximum 2500; reserved 2000; } icap-redirect-profile { maximum 64; reserved 30; } nat-nopat-address { maximum 125; reserved 100; } nat-static-rule { maximum 125; reserved 100; } logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile policy { maximum 50; reserved 40; } zone { maximum 10; reserved 5; } flow-session { maximum 2500; reserved 2000; } icap-redirect-profile { maximum 64; reserved 30; } nat-nopat-address { maximum 120; reserved 100; } nat-static-rule { maximum 125; reserved 100; } logical-system ls-product-design;
デバイスの設定が完了したら、設定モードからコミットを入力します。
検証
論理システムに割り当てたセキュリティー・リソースが割り当てられていることを確認するには、各論理システムとそのすべてのリソースについて、この手順に従います。
セキュリティ プロファイル リソースが論理システムに効果的に割り当てられていることの検証
目的
各論理システムのセキュリティ リソースを検証します。設定されたすべての論理システムに対して、このプロセスに従います。
アクション
-
SSHを使用して、各ユーザー論理システムにユーザー論理システム管理者としてログインします。
SRXシリーズファイアウォールのIPアドレスを指定してSSHを実行します。
作成したユーザー論理システムのログイン ID とパスワードを入力します。
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
以下のステートメントを入力して、プロファイルに設定されたリソースを識別します。
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
結果のプロンプトで次のコマンドを入力します。プロファイルに設定されている各機能に対して、この操作を行います。
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
例:ユーザー論理システムセキュリティプロファイルの設定
この例では、ユーザー論理システムセキュリティプロファイルを設定します。セキュリティ プロファイル内の論理システムに割り当てられたリソースに関する情報を提供します。
SRX4100およびSRX4200デバイスは、透過モードとルート モードの両方で論理システムをサポートします。
SRX4600デバイスは、ルート モードでのみ論理システムをサポートします。
レイヤー 2 クロス論理システム トラフィックはサポートされていません。
要件
この例では、論理システムを備えたJunos OSを実行するSRX4100およびSRX4200デバイスを使用しています。
開始する前に、以下を行います。
論理システムの設定プロセスを理解する。このタスクが設定プロセス全体にどのように適合するかを理解するには、 ユーザー論理システム 構成の概要を参照してください。
概要
プライマリ管理者は、論理システムを使用して、SRXシリーズファイアウォールをユーザー論理システムと呼ばれる個別のコンテキストにパーティションできます。ユーザー論理システムは自己完結型のプライベートコンテキストであり、相互およびプライマリ論理システムの両方から分離されています。ユーザー論理システムには、独自のセキュリティ、ネットワーク、論理インターフェイス、ルーティング設定、および 1 つ以上のユーザー論理システム管理者があります。
この例では、 表 3 で説明したユーザー論理システムのセキュリティ機能を設定します。この構成は、ユーザー論理システム管理者がユーザー論理システムのリソース情報を表示するために使用します。
フィールド名 |
フィールドの説明 |
---|---|
MAC フラグ |
各インターフェイスの MAC アドレス学習プロパティのステータス:
|
イーサネット スイッチング テーブル |
学習されたエントリーの場合、エントリーがイーサネット スイッチング テーブルに追加された時間。 |
論理システム |
論理システムの名前 |
ルーティング インスタンス |
ルーティング インスタンスの名前 |
VLAN 名 |
VLAN の名前 |
MAC アドレス |
論理インターフェイスで学習された MAC アドレス |
年齢 |
このフィールドはサポートされていません |
論理インターフェイス |
論理インターフェイスの名前 |
RTR ID |
ルーティング デバイスの ID |
NH インデックス |
特定のプレフィックスのトラフィックをルーティングするために使用されるネクスト ホップのソフトウェア インデックス。 |
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムセキュリティプロファイルを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
セキュリティプロファイルを設定し、論理システムに割り当てます。
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
インターフェイスを適切なインターフェイスモードに設定し、タグなしデータパケットを受信する論理インターフェイスがネイティブVLANのメンバーであることを指定します。
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
IRB インターフェイスを作成し、サブネット内のアドレスを割り当てます。
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
trustゾーンから untrustゾーンへのトラフィックを許可するセキュリティポリシーを作成し、各ゾーンにインターフェイスを割り当てます。
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
IRB インターフェイスを VLAN に関連付けます。
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
結果
設定モードから、 コマンドを入力して設定を show ethernet-switching table
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
admin@host# show ethernet-switching table ethernet-switching table { filter; inner-vlan; inter-switch-link; interface-mode; policer; recovery-timeout; storm-control; vlan; vlan-auto-sense; vlan-rewrite; }
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ユーザー論理システムのセキュリティ プロファイル設定の検証
目的
セキュリティ ポリシー情報を検証します。
アクション
動作モードから、 コマンドを show ethernet-switching table
入力します。
admin@host> show ethernet-switching table MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC) Ethernet switching table : 1 entries, 1 learned Logical system : LD2 Routing instance : default Vlan MAC MAC Age Logical NH RTR name address flags interface Index ID VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
例:論理システムのセキュリティログストリームの設定
この例では、論理システムにセキュリティ プロファイルを設定する方法を示します。
要件
この例では、論理システムでJunos OSを実行するSRXシリーズファイアウォールを使用しています。
開始する前に、以下を行います。
SRX シリーズ論理システムプライマリ管理者設定タスクの概要を参照して、このタスクが構成プロセス全体にどのように適合するかを理解します。
概要
プライマリ管理者は、単一のセキュリティプロファイルを設定して、リソースを特定の論理システムに割り当てることができます。複数の論理システムに同じセキュリティー プロファイルを使用することも、両方の方法を組み合わせて使用することもできます。コマンドが set logical-system LSYS1 security log
導入され、SRXシリーズファイアウォールのロギングサポートがサポートされます。
構成
論理システム セキュリティー プロファイル論理システムの構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
セキュリティ プロファイルを設定し、最大ポリシーと予約済みポリシー数を指定します。.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
設定されたセキュリティプロファイルをLSYS1に割り当てます。
user@host# set security-profile p1 logical-system LSYS1
結果
設定モードから、 コマンドを show system security-profile
入力して設定を確認し、設定されたすべてのセキュリティプロファイルを表示します。
[edit] user@host# show system security-profile p1 { security-log-stream-number { maximum 2; reserved 1; } logical-system LSYS1; }
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
- 論理システムのセキュリティ プロファイル リソースの検証
- 論理システムのセキュリティログストリーム番号の検証
- 論理システムのセキュリティログストリーム番号の概要の検証
- 論理システムのセキュリティログストリーム番号の詳細の検証
論理システムのセキュリティ プロファイル リソースの検証
目的
各論理システムのセキュリティ リソースを検証します。
アクション
動作モードから、 、 、 show system security-profile security-log-stream-number logical-system all
、show system security-profile security-log-stream-number summary
または show system security-profile security-log-stream-number detail logical-system all
コマンドをshow system security-profile all-resource
入力して、出力を確認します。
show system security-profile all-resource
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
意味
サンプル出力には、セキュリティー・プロファイル内の論理システムに割り振られているリソースに関する情報が表示されます。指定された各リソースに対して、論理システムで使用される数と、設定された最大値と予約済みの値が表示されます。
論理システムのセキュリティログストリーム番号の検証
目的
各論理システムのセキュリティログストリーム番号を確認します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number logical-system all
入力して出力を確認します。
show system security-profile security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
意味
サンプル出力には、セキュリティー・プロファイル名を持つセキュリティー・プロファイル内の論理システムに割り当てられたリソースに関する情報が表示されます。指定された各リソースに対して、論理システムで使用される数と、設定された最大値と予約済みの値が表示されます。
論理システムのセキュリティログストリーム番号の概要の検証
目的
セキュリティログストリーム番号の概要を確認します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number summary
入力して出力を確認します。
show system security-profile security-log-stream-number summary
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
意味
サンプル出力には、すべての論理システムのリソースに関する要約情報が表示されます。
論理システムのセキュリティログストリーム番号の詳細の検証
目的
セキュリティログストリーム番号の詳細を確認します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number detail logical-system all
入力して出力を確認します。
show system security-profile security-log-stream-number detail logical-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
意味
サンプル出力には、すべての論理システムの出力の詳細レベルが表示されます。