サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

header-navigation
keyboard_arrow_up
close
keyboard_arrow_left
list Table of Contents
keyboard_arrow_right

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

セキュリティポリシーの概要

date_range 27-Mar-25

ビジネスを保護するには、組織はLANとリソースへのアクセスを制御する必要があります。この目的には、一般的にセキュリティポリシーが使用されます。LANを介した社内アクセスと、インターネットなどの外部ネットワークとのやり取りの両方で、セキュアなアクセスが必要です。Junos OSは、ステートフルファイアウォール、アプリケーションファイアウォール、ユーザーIDファイアウォールを通じて、強力なネットワークセキュリティ機能を提供します。これら3種類のファイアウォールの適用はすべて、セキュリティポリシーによって実装されます。ステートフルファイアウォールポリシーの構文は、アプリケーションファイアウォールとユーザー識別ファイアウォールの追加タプルを含むように拡張されています。

Junos OSステートフルファイアウォールでは、セキュリティポリシーによって、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションの観点から、トランジットトラフィックのルールが適用されます。セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この from-zone to-zone の組み合わせを コンテキストと呼びます。各コンテキストには、ポリシーの 順序付きリスト が含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。

ユーザー インターフェイスから設定可能なセキュリティ ポリシーは、スケジュールされた時刻に指定された IP ソースから指定された IP 宛先に許可されるトラフィックの種類を定義することで、1 つのゾーンから別のゾーンへのトラフィック フローを制御します。

ポリシーを使用すると、セキュリティ ゾーン間で交差しようとするトラフィックの拒否、許可、拒否(TCP RST または ICMP ポート到達不能メッセージを拒否して送信元ホストに送信)、暗号化と復号化、認証、優先度設定、スケジューリング、フィルタリング、監視を行うことができます。どのユーザーとどのデータが出入りできるか、いつ、どこに移動できるかを自分で決定できます。

SRXシリーズファイアウォールは、セキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することで、ネットワークを保護します。

ロギング機能は、セッション初期化(session-init)またはセッション終了(session-close)の段階で、セキュリティポリシーで有効にすることもできます。

  • 拒否された接続のログを表示するには、ログオン session-initを有効にします。

  • 終了/ティアダウン後にセッションをログに記録するには、ログオン session-closeを有効にします。

手記:

セッションログはフローコードでリアルタイムに有効になり、ユーザーのパフォーマンスに影響を与えます。 session-closesession-init の両方が有効になっている場合、 session-init のみを有効にした場合と比較して、パフォーマンスはさらに低下します。

ポリシーを作成することで、スケジュールされた時間に指定された送信元から指定された宛先への通過を許可するトラフィックの種類を定義することで、ゾーンからゾーンへのトラフィックフローを制御できます。

最も広いレベルでは、1 つのゾーンの任意のソースから他のすべてのゾーンの任意の宛先へのあらゆる種類のトラフィックを、スケジュールの制限なしに許可できます。最も狭いレベルでは、スケジュールされた時間間隔中に、あるゾーン内の指定されたホストと別のゾーン内の別の指定されたホストとの間の 1 種類のトラフィックのみを許可するポリシーを作成できます。 図 1 を参照してください。

図1:セキュリティポリシー Security Policy

パケットがゾーンから別のゾーンへ、または同じゾーンにバインドされた 2 つのインターフェイス間でパケットが通過しようとするたびに、デバイスはそのようなトラフィックを許可するポリシーを確認します( セキュリティ ゾーンについて および 例:セキュリティポリシー アプリケーションとアプリケーション セットの設定を参照)。例えば、ゾーンAからゾーンBへのトラフィックの通過を許可するには、ゾーンAからゾーンBへのトラフィック送信を許可するポリシーを設定する必要があります。トラフィックを逆方向に流れるようにするには、ゾーンBからゾーンAへのトラフィックを許可する別のポリシーを設定する必要があります。

データ トラフィックがゾーン間を通過できるようにするには、ファイアウォールポリシーを構成する必要があります。

プラットフォーム固有のセキュリティポリシーの動作

Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。

次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。

プラットホーム

SRX シリーズ

SRX300、SRX320、SRX340、SRX345、SRX380、および工場出荷時のデフォルトのセキュリティポリシーをサポートするSRX550Mデバイス:

  • trustゾーンからuntrustゾーンへのすべてのトラフィックを許可します。

  • 信頼ゾーン間のすべてのトラフィック、つまり、trustゾーンからゾーン内のtrustゾーンへのトラフィックを許可します。

  • untrustゾーンからtrustゾーンへのすべてのトラフィックを拒否します。

  • 仮想システムをサポートするSRXシリーズデバイスでは、ルートシステムで設定されたポリシーが仮想システムで設定されたポリシーに影響を与えることはありません。

footer-navigation