セキュリティポリシーの概要

ビジネスを保護するには、組織はLANとリソースへのアクセスを制御する必要があります。この目的には、一般的にセキュリティポリシーが使用されます。LANを介した社内アクセスと、インターネットなどの外部ネットワークとのやり取りの両方で、セキュアなアクセスが必要です。Junos OSは、ステートフルファイアウォール、アプリケーションファイアウォール、ユーザーIDファイアウォールを通じて、強力なネットワークセキュリティ機能を提供します。これら3種類のファイアウォールの適用はすべて、セキュリティポリシーによって実装されます。ステートフルファイアウォールポリシーの構文は、アプリケーションファイアウォールとユーザー識別ファイアウォールの追加タプルを含むように拡張されています。

Junos OSステートフルファイアウォールでは、セキュリティポリシーによって、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションの観点から、トランジットトラフィックのルールが適用されます。セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この from-zone と to-zone の組み合わせを コンテキストと呼びます。各コンテキストには、ポリシーの 順序付きリスト が含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。

ユーザー インターフェイスから設定可能なセキュリティ ポリシーは、スケジュールされた時刻に指定された IP ソースから指定された IP 宛先に許可されるトラフィックの種類を定義することで、1 つのゾーンから別のゾーンへのトラフィック フローを制御します。

ポリシーを使用すると、セキュリティ ゾーン間で交差しようとするトラフィックの拒否、許可、拒否(TCP RST または ICMP ポート到達不能メッセージを拒否して送信元ホストに送信)、暗号化と復号化、認証、優先度設定、スケジューリング、フィルタリング、監視を行うことができます。どのユーザーとどのデータが出入りできるか、いつ、どこに移動できるかを自分で決定できます。

SRXシリーズファイアウォールは、セキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することで、ネットワークを保護します。

ロギング機能は、セッション初期化(session-init)またはセッション終了(session-close)の段階で、セキュリティポリシーで有効にすることもできます。

• 拒否された接続のログを表示するには、ログオン session-initを有効にします。

• 終了/ティアダウン後にセッションをログに記録するには、ログオン session-closeを有効にします。

ポリシーを作成することで、スケジュールされた時間に指定された送信元から指定された宛先への通過を許可するトラフィックの種類を定義することで、ゾーンからゾーンへのトラフィックフローを制御できます。

最も広いレベルでは、1 つのゾーンの任意のソースから他のすべてのゾーンの任意の宛先へのあらゆる種類のトラフィックを、スケジュールの制限なしに許可できます。最も狭いレベルでは、スケジュールされた時間間隔中に、あるゾーン内の指定されたホストと別のゾーン内の別の指定されたホストとの間の 1 種類のトラフィックのみを許可するポリシーを作成できます。 図 1 を参照してください。

図1:セキュリティポリシー

パケットがゾーンから別のゾーンへ、または同じゾーンにバインドされた 2 つのインターフェイス間でパケットが通過しようとするたびに、デバイスはそのようなトラフィックを許可するポリシーを確認します( セキュリティ ゾーンについて および 例:セキュリティポリシー アプリケーションとアプリケーション セットの設定を参照)。例えば、ゾーンAからゾーンBへのトラフィックの通過を許可するには、ゾーンAからゾーンBへのトラフィック送信を許可するポリシーを設定する必要があります。トラフィックを逆方向に流れるようにするには、ゾーンBからゾーンAへのトラフィックを許可する別のポリシーを設定する必要があります。

データ トラフィックがゾーン間を通過できるようにするには、ファイアウォールポリシーを構成する必要があります。