- play_arrow セキュリティ ゾーン
- play_arrow アドレス帳とアドレスセット
- play_arrow セキュリティポリシーアプリケーションとアプリケーションセット
- play_arrow セキュリティ ポリシー
- play_arrow 明示的な Web プロキシ
- play_arrow VRF ベースのトラフィックのセキュリティ ポリシー
- play_arrow セキュリティポリシーの監視
セキュリティポリシーの概要
ビジネスを保護するには、組織はLANとリソースへのアクセスを制御する必要があります。この目的には、一般的にセキュリティポリシーが使用されます。LANを介した社内アクセスと、インターネットなどの外部ネットワークとのやり取りの両方で、セキュアなアクセスが必要です。Junos OSは、ステートフルファイアウォール、アプリケーションファイアウォール、ユーザーIDファイアウォールを通じて、強力なネットワークセキュリティ機能を提供します。これら3種類のファイアウォールの適用はすべて、セキュリティポリシーによって実装されます。ステートフルファイアウォールポリシーの構文は、アプリケーションファイアウォールとユーザー識別ファイアウォールの追加タプルを含むように拡張されています。
Junos OSステートフルファイアウォールでは、セキュリティポリシーによって、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過するトラフィックに対して実行する必要があるアクションの観点から、トランジットトラフィックのルールが適用されます。セキュリティ ポリシーの観点から見ると、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この from-zone と to-zone の組み合わせを コンテキストと呼びます。各コンテキストには、ポリシーの 順序付きリスト が含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。
ユーザー インターフェイスから設定可能なセキュリティ ポリシーは、スケジュールされた時刻に指定された IP ソースから指定された IP 宛先に許可されるトラフィックの種類を定義することで、1 つのゾーンから別のゾーンへのトラフィック フローを制御します。
ポリシーを使用すると、セキュリティ ゾーン間で交差しようとするトラフィックの拒否、許可、拒否(TCP RST または ICMP ポート到達不能メッセージを拒否して送信元ホストに送信)、暗号化と復号化、認証、優先度設定、スケジューリング、フィルタリング、監視を行うことができます。どのユーザーとどのデータが出入りできるか、いつ、どこに移動できるかを自分で決定できます。
SRXシリーズファイアウォールは、セキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することで、ネットワークを保護します。
ロギング機能は、セッション初期化(session-init
)またはセッション終了(session-close
)の段階で、セキュリティポリシーで有効にすることもできます。
拒否された接続のログを表示するには、ログオン
session-init
を有効にします。終了/ティアダウン後にセッションをログに記録するには、ログオン
session-close
を有効にします。
セッションログはフローコードでリアルタイムに有効になり、ユーザーのパフォーマンスに影響を与えます。 session-close
と session-init
の両方が有効になっている場合、 session-init
のみを有効にした場合と比較して、パフォーマンスはさらに低下します。
ポリシーを作成することで、スケジュールされた時間に指定された送信元から指定された宛先への通過を許可するトラフィックの種類を定義することで、ゾーンからゾーンへのトラフィックフローを制御できます。
最も広いレベルでは、1 つのゾーンの任意のソースから他のすべてのゾーンの任意の宛先へのあらゆる種類のトラフィックを、スケジュールの制限なしに許可できます。最も狭いレベルでは、スケジュールされた時間間隔中に、あるゾーン内の指定されたホストと別のゾーン内の別の指定されたホストとの間の 1 種類のトラフィックのみを許可するポリシーを作成できます。 図 1 を参照してください。

パケットがゾーンから別のゾーンへ、または同じゾーンにバインドされた 2 つのインターフェイス間でパケットが通過しようとするたびに、デバイスはそのようなトラフィックを許可するポリシーを確認します( セキュリティ ゾーンについて および 例:セキュリティポリシー アプリケーションとアプリケーション セットの設定を参照)。例えば、ゾーンAからゾーンBへのトラフィックの通過を許可するには、ゾーンAからゾーンBへのトラフィック送信を許可するポリシーを設定する必要があります。トラフィックを逆方向に流れるようにするには、ゾーンBからゾーンAへのトラフィックを許可する別のポリシーを設定する必要があります。
データ トラフィックがゾーン間を通過できるようにするには、ファイアウォールポリシーを構成する必要があります。
プラットフォーム固有のセキュリティポリシーの動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
プラットホーム | 差 |
---|---|
SRX シリーズ | SRX300、SRX320、SRX340、SRX345、SRX380、および工場出荷時のデフォルトのセキュリティポリシーをサポートするSRX550Mデバイス:
|
|