このページの目次
セキュリティ ポリシーの設定
ネットワークを保護するには、ネットワーク管理者は、そのビジネス内のすべてのネットワーク リソースと、それらのリソースに必要なセキュリティ レベルの概要を示すセキュリティ ポリシーを作成する必要があります。Junos OSでは、セキュリティポリシーを設定できます。セキュリティ ポリシーは、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過する際にトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックにルールを適用します。
セキュリティ ポリシー要素について
セキュリティ ポリシーは、指定されたサービスを使用して、指定された送信元から指定された宛先へのトラフィックを制御する一連のステートメントです。ポリシーは、指定されたタイプのトラフィックを 2 点間で一方向に許可、拒否、またはトンネリングします。
各ポリシーは、次のもので構成されます。
ポリシーの一意の名前。
A
from-zoneと Ato-zoneの例: user@host#set security policies from-zone untrust to-zone untrustポリシー ルールを適用するために満たす必要がある条件を定義する一致条件のセット。一致条件は、送信元 IP アドレス、宛先 IP アドレス、およびアプリケーションに基づいています。ユーザーIDファイアウォールは、ポリシーステートメントの一部として追加のタプルsource-identityを含めることで、より粒度の高いものを提供します。
一致した場合に実行される一連のアクション(許可、拒否、または拒否)。
会計および監査要素—カウント、ロギング、または構造化システム ロギング。
SRXシリーズは、これらの仕様に一致するパケットを受信すると、ポリシーで指定されたアクションを実行します。
セキュリティ ポリシーは、トランジット トラフィックに一連のルールを適用し、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過する際にトラフィックに対して実行されるアクションを識別します。指定された基準に一致するトラフィックに対するアクションには、許可、拒否、拒否、ログ、またはカウントがあります。
SRX300、SRX320、SRX340、SRX345、SRX380およびSRX550Mデバイスには、工場出荷時のデフォルトのセキュリティポリシーが用意されています。
-
trustゾーンからuntrustゾーンへのすべてのトラフィックを許可します。
-
信頼ゾーン間、つまりtrustゾーンからイントラゾーンのtrustゾーンへのすべてのトラフィックを許可します。
untrust ゾーンから trust ゾーンへのすべてのトラフィックを拒否します。
セキュリティ ポリシー ルールについて
セキュリティ ポリシーは、コンテキスト(from-zone から to-zone)内のトランジット トラフィックにセキュリティ ルールを適用します。各ポリシーは、その名前によって一意に識別されます。トラフィックは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションを、データプレーン内のポリシーデータベースと照合することによって分類されます。
各ポリシーには、次の特性が関連付けられています。
ソースゾーン
宛先ゾーン
1 つまたは複数の送信元アドレス名またはアドレス セット名
1 つまたは複数の宛先アドレス名またはアドレス セット名
1つまたは複数のアプリケーション名またはアプリケーション・セット名
これらの特性は、 一致基準と呼ばれます。各ポリシーには、許可、拒否、拒否、カウント、ログ、VPNトンネルなどのアクションも関連付けられています。一致条件の引数は、ポリシー、送信元アドレス、宛先アドレス、およびアプリケーション名を設定するときに指定する必要があります。
ワイルドカード エントリ anyを使用して、IPv4 または IPv6 アドレスを持つポリシーを設定するように指定できます。IPv6 トラフィックに対してフロー サポートが有効になっていない場合、 any IPv4 アドレスに一致します。IPv6 トラフィックに対してフロー サポートが有効になっている場合、 any IPv4 アドレスと IPv6 アドレスの両方を照合します。IPv6トラフィックのフローベース転送を有効にするには、 コマンドを使用します set security forwarding-options family inet6 mode flow-based 。送信元アドレスと宛先アドレスの一致条件にワイルドカード any-ipv4 または any-ipv6 を指定して、IPv4 のみ、または IPv6 アドレスのみを含めることもできます。
IPv6 トラフィックのフロー サポートが有効になっている場合、セキュリティ ポリシーで設定できる IPv4 または IPv6 アドレスの最大数は、次の一致基準に基づきます。
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
一致条件の理由は、IPv6 アドレスが IPv4 アドレスが使用するメモリ領域の 4 倍を使用しているためです。
IPv6 トラフィックのフロー サポートがデバイスで有効になっている場合にのみ、IPv6 アドレスでセキュリティ ポリシーを設定できます。
特定のアプリケーションを指定しない場合は、既定のアプリケーションとして入力します any 。デフォルトのアプリケーションを検索するには、コンフィギュレーション モードから を入力します show groups junos-defaults | find applications (predefined applications)。たとえば、アプリケーション名を指定しない場合、ポリシーはワイルドカード (既定) としてアプリケーションと共にインストールされます。したがって、特定のポリシーの残りのパラメータに一致するデータトラフィックは、データトラフィックのアプリケーションタイプに関係なく、ポリシーに一致します。
ポリシーが複数のアプリケーションで設定されており、複数のアプリケーションがトラフィックに一致する場合、一致条件に最適なアプリケーションが選択されます。
トラフィックが最初に一致したポリシーのアクションがパケットに適用されます。一致するポリシーがない場合、パケットはドロップされます。ポリシーは上から下に検索されるため、より具体的なポリシーをリストの一番上に配置することをお勧めします。また、IPsec VPNトンネルポリシーも上部近くに配置する必要があります。特定のユーザーにすべてのインターネット アプリケーションへのアクセスを許可するポリシーなど、より一般的なポリシーを一覧の一番下に配置します。たとえば、すべての特定のポリシーが以前に解析され、正当なトラフィックが許可/カウント/ログに記録された後、すべて拒否またはすべて拒否するポリシーを一番下に配置します。
IPv6 アドレスのサポートは、Junos OS リリース 10.2 で追加されました。Junos OSリリース10.4では、(アクティブ/パッシブシャーシクラスター設定の既存のサポートに加えて)アクティブ/アクティブシャーシクラスター設定でのIPv6アドレスのサポートが追加されました。
ポリシーは、ファイアウォール フィルターとスクリーンが処理され、SPU(サービス処理ユニット)によってルート ルックアップが完了した後に、フロー処理中に検索されます(SRX5400、SRX5600、および SRX5800 デバイスの場合)。ポリシールックアップは、宛先ゾーン、宛先アドレス、およびegressインターフェイスを決定します。
ポリシーを作成するときは、次のポリシー ルールが適用されます。
セキュリティ ポリシーは to
from-zoneto-zone方向に設定されます。特定のゾーンの方向では、各セキュリティ ポリシーには、名前、一致条件、アクション、およびその他のオプションが含まれます。ポリシー名、一致条件、およびアクションは必須です。
ポリシー名はキーワードです。
一致条件における送信元アドレスは、.
from-zone一致条件の宛先アドレスは、 内の
to-zone1 つ以上のアドレス名またはアドレス セット名で構成されます。一致条件のアプリケーション名は、1つ以上のアプリケーションまたはアプリケーション・セットの名前で構成されます。
許可、拒否、または拒否のいずれかのアクションが必要です。
アカウンティングと監査の要素 (カウントとログ) を指定できます。
ロギングは、 コマンドを使用したセッションの終了時、または コマンドを使用した
session-closesession-initセッションの開始時に有効にできます。カウントアラームがオンの場合、アラームのしきい値をバイト/秒またはキロバイト/分で指定します。
以下の条件では、
from-zoneまたはto-zone以外 のいずれも指定globalできません。as a グローバル ゾーンで
to-zone構成されたポリシーには、静的 NAT または受信 NAT のいずれかがポリシーで構成されていることを示す宛先アドレスが 1 つ必要です。SRXシリーズファイアウォールでは、NATでのポリシー許可オプションが簡素化されています。各ポリシーは、オプションで、NAT変換を許可するか、NAT変換を許可しないか、または許可しないかを示します。
アドレス名を次の予約済みプレフィックスで始めることはできません。これらは、アドレス NAT 構成にのみ使用されます。
static_nat_incoming_nat_junos_
アプリケーション名を予約済みプレフィックスで
junos_始めることはできません。
ワイルドカード アドレスについて
送信元アドレスと宛先アドレスは、セキュリティ ポリシーで設定する必要がある 5 つの一致条件のうちの 2 つです。セキュリティポリシーの送信元アドレスと宛先アドレスの一致条件にワイルドカードアドレスを設定できるようになりました。ワイルドカード アドレスは、A.B.C.D/ワイルドカード マスクとして表されます。ワイルドカード マスクは、IP アドレス A.B.C.D のどのビットをセキュリティ ポリシー一致条件によって無視するかを決定します。例えば、セキュリティ ポリシー内の送信元 IP アドレス 192.168.0.11/255.255.0.255 は、セキュリティ ポリシー一致条件が IP アドレスの 3 番目のオクテット(192.168.*.11 として記号的に表される)を破棄できることを意味します。したがって、送信元 IP アドレスが 192.168.1.11 や 192.168.22.11 などのパケットは一致条件に準拠します。ただし、送信元IPアドレスが192.168.0.1や192.168.1.21などのパケットは一致条件を満たしません。
ワイルドカード アドレスの使用は、フル オクテットだけに制限されません。任意のワイルドカード アドレスを設定できます。たとえば、ワイルドカード アドレスは 192.168 です。7.1/255.255.7.255 は、ポリシーを一致させる際に、ワイルドカード アドレスの 3 番目のオクテットの最初の 5 ビットのみを無視する必要があることを意味します。ワイルドカード アドレスの使用がフル オクテットのみに制限されている場合は、4 つのオクテットのそれぞれに 0 または 255 のみを持つワイルドカード マスクが許可されます。
ワイルドカード マスクの最初のオクテットは 128 より大きくする必要があります。たとえば、0.255.0.255 または 1.255.0.255 として表されるワイルドカード マスクは無効です。
ワイルドカードセキュリティポリシーは、あるセキュリティゾーンから別のセキュリティゾーンを通過しようとするトラフィックを許可、拒否、拒否できるシンプルなファイアウォールポリシーです。コンテンツセキュリティなどのサービスには、ワイルドカードアドレスを使用してセキュリティポリシールールを設定しないでください。
IPv6セッションの侵入と防御(IDP)のみが、すべてのSRX5400、SRX5600、およびSRX5800デバイスでサポートされています。IPv6 セッションのコンテンツ セキュリティはサポートされていません。現在のセキュリティポリシーでIPアドレスワイルドカードanyのルールが使用されており、コンテンツセキュリティ機能が有効になっている場合、コンテンツセキュリティ機能はまだIPv6アドレスをサポートしていないため、設定コミットエラーが発生します。エラーを解決するには、any-ipv4 ワイルドカードが使用されるように、エラーを返すルールを変更します。また、コンテンツセキュリティ機能を含まないIPv6トラフィック用の個別のルールを作成します。
デバイスにワイルドカードセキュリティポリシーを設定すると、from-zoneとto-zoneのコンテキストごとに設定されたワイルドカードポリシーの数に基づき、パフォーマンスとメモリ使用量に影響します。したがって、特定のfrom-zoneおよびto-zoneコンテキストに対して設定できるワイルドカードポリシーは最大480個のみです。
関連項目
自己トラフィックのセキュリティポリシーについて
セキュリティポリシーは、デバイスを通過するトラフィックにサービスを適用するために、デバイスに設定されます。たとえば、UAC ポリシーとコンテンツ セキュリティ ポリシーは、一時的なトラフィックにサービスを適用するように構成されています。
セルフトラフィックまたはホストトラフィックは、ホストインバウンドトラフィックです。つまり、デバイスで終端するトラフィック、またはデバイスから発信されたトラフィックであるホストアウトバウンドトラフィックです。自己トラフィックにサービスを適用するポリシーを設定できるようになりました。リモートデバイスからの SSL 接続を終了し、そのトラフィックで何らかの処理を実行する必要がある SSL スタックサービス、ホストインバウンドトラフィックの IDP サービス、ホストアウトバウンドトラフィックの IPsec 暗号化などのサービスは、セルフトラフィックに設定されたセキュリティポリシーを通じて適用する必要があります。
セルフトラフィックのセキュリティポリシーを設定すると、デバイスを通過するトラフィックがまずポリシーと照合され、次にゾーンにバインドされたインターフェイスに設定されたオプションに対して host-inbound-traffic 照合されます。
セルフトラフィックのセキュリティポリシーを設定して、サービスをセルフトラフィックに適用できます。host-outbound ポリシーは、ホスト デバイスから発信されたパケットがフローを通過し、このパケットの着信インターフェイスがローカルに設定されている場合にのみ機能します。
セルフトラフィックを使用する利点は次のとおりです。
トランジットトラフィックに使用される既存のポリシーまたはフローインフラストラクチャのほとんどを活用できます。
サービスを有効にするために別の IP アドレスは必要ありません。
デバイス上の任意のインターフェイスの宛先IPアドレスを使用して、サービスまたはポリシーを任意のホストインバウンドトラフィックに適用できます。
SRXシリーズファイアウォールでは、デフォルトのセキュリティポリシールールはセルフトラフィックに影響しません。
セキュリティポリシーは、関連するサービスとのセルフトラフィックに対してのみ設定できます。例えば、ホストアウトバウンドトラフィックに fwauth サービスを設定することは関係ありませんし、gprs-gtp サービスはセルフトラフィックのセキュリティポリシーには関係ありません。
自己トラフィックのセキュリティポリシーは、 ゾーンと呼ばれる junos-host 新しいデフォルトセキュリティゾーンの下で設定されます。junosホストゾーンはjunos-defaults設定の一部となるため、ユーザーは削除できません。インターフェイス、screen、tcp-rst、host-inbound-trafficオプションなどの既存のゾーン設定は、junos-hostゾーンにとって意味がありません。そのため、junosホストゾーン専用の設定はありません。
host-inbound-traffic を使用して、デバイスへの着信接続を制御できます。ただし、デバイスから送信されるトラフィックは制限されません。一方、junos-host-zoneでは、任意のアプリケーションを選択し、発信トラフィックを制限することもできます。たとえば、NAT、IDP、コンテンツセキュリティなどのサービスは、junos-host-zoneを使用してSRXシリーズファイアウォールに出入りするトラフィックに対して有効にできるようになりました。
セキュリティ ポリシーの構成の概要
セキュリティー・ポリシーを作成するには、以下のタスクを完了する必要があります。
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
ポリシーのアドレスを含むアドレス帳を構成します。 例:アドレス帳とアドレス セットの設定を参照してください。
そのタイプのトラフィックにポリシーが適用されることを示すアプリケーション(またはアプリケーション セット)を作成します。 「例:セキュリティポリシーアプリケーションとアプリケーションセットの設定」を参照してください。
ポリシーを作成します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定、 例:選択したトラフィックを許可または拒否するセキュリティポリシーの設定、および 例:ワイルドカードアドレストラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
スケジューラをポリシーに使用する予定がある場合は、作成します。 例:1 日を除く日次スケジュールのスケジューラーの設定を参照してください。
ファイアウォールポリシーウィザードでは、基本的なセキュリティポリシー設定を実行できます。より高度な設定を行うには、J-Web インターフェースまたは CLI を使用してください。
関連項目
SRXシリーズデバイス上のポリシー定義のベストプラクティス
セキュアなネットワークは、ビジネスに欠かせません。ネットワークを保護するには、ネットワーク管理者は、そのビジネス内のすべてのネットワーク リソースと、それらのリソースに必要なセキュリティ レベルの概要を示すセキュリティ ポリシーを作成する必要があります。セキュリティ ポリシーは、コンテキスト(from-zone からto-zone)内のトランジット トラフィックにセキュリティ ルールを適用し、各ポリシーはその名前によって一意に識別されます。トラフィックは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびトラフィックがプロトコルヘッダーで伝送するアプリケーションをデータプレーン内のポリシーデータベースと照合することによって分類されます。
表 1 に、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX650、SRX550M、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800デバイスのポリシー制限を示します。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。
Junos OSリリース12.3X48-D15およびJunos OSリリース17.3R1以降、SRX5400、SRX5600、およびSRX5800デバイスのポリシーあたりのアドレスオブジェクトの最大数は1024から4096に増加し、コンテキストごとのポリシーの最大数は10240から80,000に増加します。
Junos OS Release 17.3R1から、SRX5400、SRX5600、およびSRX5800デバイスのセキュリティポリシーの数とコンテキストごとのポリシーの最大数が、80,000から100,000に増加しました。
Junos OSリリース15.1X49-D120以降、SRX5400、SRX5600、およびSRX5800のポリシーあたりのアドレスオブジェクト数が4096から16,000に増加しました。
SRXシリーズ デバイス |
アドレス オブジェクト |
アプリケーションオブジェクト |
セキュリティ ポリシー |
ポリシーコンテキスト(ゾーンペア) |
コンテキストごとのポリシー数 |
カウントが有効なポリシー |
|---|---|---|---|---|---|---|
SRX300、SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
SRX345: |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1500 |
4096 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX4100 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5400 SRX5600 SRX5800 |
16384 |
3072 |
100000 |
8192 |
100000 |
1024 |
したがって、各ルールのアドレスとアプリケーションの数を増やすと、ポリシー定義で使用されるメモリの量が増加し、ポリシーが 80,000 未満のシステムでメモリが不足することがあります。
パケット転送エンジン(PFE)とルーティング エンジン(RE)上のポリシーの実際のメモリ使用率を取得するには、メモリ ツリーのさまざまなコンポーネントを考慮する必要があります。メモリ ツリーには、次の 2 つのコンポーネントが含まれています。
ポリシーコンテキスト - このコンテキスト内のすべてのポリシーを整理するために使用されます。ポリシーコンテキストには、送信元ゾーンや宛先ゾーンなどの変数が含まれます。
ポリシーエンティティ - ポリシーデータを保持するために使用されます。ポリシーエンティティは、ポリシー名、IPアドレス、アドレス数、アプリケーション、ファイアウォール認証、WebAuth、IPsec、カウント、アプリケーションサービス、Junos Services Framework(JSF)などのパラメータを使用してメモリを計算します。
さらに、ポリシー、ルールセット、およびその他のコンポーネントの格納に使用されるデータ構造は、パケット転送エンジンとルーティングエンジンで異なるメモリを使用します。例えば、ポリシー内の各アドレスのアドレス名はルーティングエンジンに保存されますが、パケット転送エンジンレベルではメモリは割り当てられません。同様に、ポート範囲はプレフィックスとマスクのペアに拡張され、パケット転送エンジンに保存されますが、そのようなメモリはルーティングエンジンに割り当てられません。
したがって、ポリシーの設定によっては、ルーティング エンジンへのポリシー コントリビューターとパケット転送エンジンへのポリシー コントリビューターが異なり、メモリが動的に割り当てられます。
メモリは、"遅延削除" 状態によっても消費されます。遅延削除状態では、SRXシリーズファイアウォールがポリシーの変更を適用すると、一時的なピーク使用が発生し、古いポリシーと新しいポリシーの両方が存在することになります。そのため、しばらくの間、パケット転送エンジンには古いポリシーと新しいポリシーの両方が存在し、メモリ要件の2倍を占有します。
したがって、メモリ要件はポリシーの特定の設定に依存し、メモリは動的に割り当てられるため、特定の時点でいずれかのコンポーネント(パケット転送エンジンまたはルーティングエンジン)によって使用されたメモリ量を明確に推測する方法はありません。
ポリシー実装に関する次のベスト プラクティスにより、システム メモリをより有効に活用し、ポリシー構成を最適化できます。
送信元アドレスと宛先アドレスに 1 つのプレフィックスを使用します。たとえば、/32 アドレスを使用して各アドレスを個別に追加する代わりに、必要な IP アドレスのほとんどをカバーする大規模なサブネットを使用します。
可能な限り、アプリケーション "any" を使用します。ポリシーで個々のアプリケーションを定義するたびに、追加の 52 バイトを使用できます。
IPv6 アドレスはより多くのメモリを消費するため、使用する IPv6 アドレスの数を減らします。
ポリシー構成で使用するゾーン ペアの数を減らします。各移行元ゾーンまたは移行先ゾーンは、約 16,048 バイトのメモリを使用します。
次のパラメーターは、指定されたバイトによるメモリの消費方法を変更できます。
ファイアウォール認証 - 約 16 バイト以上(固定なし)
ウェブ認証 - 約16バイト以上(固定なし)
IPsec–12 バイト
アプリケーション サービス - 28 バイト
カウント - 64 バイト
ポリシーをコンパイルする前後のメモリ使用率を確認します。
メモ:各デバイスのメモリ要件は異なります。一部のデバイスはデフォルトで 512,000 セッションをサポートし、ブートアップ メモリは通常 72 〜 73 % です。他のデバイスは最大 100 万セッションを持つことができ、ブートアップ メモリは最大 83 から 84 パーセントになります。最悪のシナリオでは、SPU で約 80,000 のポリシーをサポートするために、SPU はカーネル メモリ消費量が最大 82 % のフローで、少なくとも 170 MB のメモリが使用可能な状態で起動する必要があります。
関連項目
ファイアウォールウィザードを使用したポリシーの設定
ファイアウォールポリシーウィザードを使用すると、SRX300、SRX320、SRX340、SRX345、SRX380、およびSRX550Mデバイス上で基本的なセキュリティポリシーの設定を実行できます。より高度な設定を行うには、J-Web インターフェースまたは CLI を使用してください。
ファイアウォールポリシーウィザードを使用してポリシーを設定するには:
- J-Webインターフェース で を選択します
Configure>Tasks>Configure FW Policy。 - [ファイアウォールポリシーウィザードを起動]をクリックして、ウィザードを起動します。
- ウィザードの指示に従います。
ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアには、フィールドに対応するヘルプが表示されます。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。
例:すべてのトラフィックを許可または拒否するセキュリティ ポリシーの設定
この例では、すべてのトラフィックを許可または拒否するセキュリティ ポリシーを設定する方法を示しています。
要件
始める前に:
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
アドレス帳を構成し、ポリシーで使用するアドレスを作成します。 例:アドレス帳とアドレス セットの設定を参照してください。
そのタイプのトラフィックにポリシーが適用されることを示すアプリケーション(またはアプリケーション セット)を作成します。 「例:セキュリティポリシーアプリケーションとアプリケーションセットの設定」を参照してください。
概要
Junos OSでは、セキュリティポリシーによって、デバイスを通過できるトラフィックと、デバイスを通過する際にトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックにルールが適用されます。セキュリティ ポリシーの観点からは、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この例では、信頼インターフェイスと信頼解除インターフェイス、ge-0/0/2 と ge-0/0/1 を設定します。 図1を参照してください。
を許可する
この設定例では、次の方法を示します。
trustゾーンからuntrustゾーンへのすべてのトラフィックを許可または拒否しますが、untrustゾーンからtrustゾーンへのすべてのトラフィックはブロックします。
特定の時間に、trust ゾーン内のホストから untrust ゾーン内のサーバーへの選択されたトラフィックを許可または拒否します。
トポロジ
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
すべてのトラフィックを許可または拒否するセキュリティポリシーを設定するには:
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
untrust ゾーンから trust ゾーンへのトラフィックを拒否するセキュリティ ポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
結果
設定モードから、 および show security zones コマンドを入力してshow security policies設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
この設定例は、trust ゾーンから untrust ゾーンへのデフォルトの permit-all です。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
例:選択したトラフィックを許可または拒否するセキュリティ ポリシーの設定
この例では、選択したトラフィックを許可または拒否するセキュリティ ポリシーを設定する方法を示しています。
要件
始める前に:
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
アドレス帳を構成し、ポリシーで使用するアドレスを作成します。 例:アドレス帳とアドレス セットの設定を参照してください。
そのタイプのトラフィックにポリシーが適用されることを示すアプリケーション(またはアプリケーション セット)を作成します。 「例:セキュリティポリシーアプリケーションとアプリケーションセットの設定」を参照してください。
trustゾーンとuntrustゾーンとの間のトラフィックを許可します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
概要
Junos OSでは、セキュリティポリシーによって、デバイスを通過できるトラフィックと、デバイスを通過する際にトラフィックで実行する必要があるアクションに関して、トランジットトラフィックにルールが適用されます。セキュリティ ポリシーの観点からは、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この例では、特定のセキュリティ ポリシーを構成して、trust ゾーンのホストから untrust ゾーンのサーバーへの電子メール トラフィックのみを許可します。他のトラフィックは許可されません。 図2を参照してください。
の許可
構成
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
選択したトラフィックを許可するセキュリティポリシーを設定するには:
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
クライアントとサーバーの両方のアドレス帳エントリを作成します。また、アドレス帳にセキュリティ ゾーンをアタッチします。
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
メールトラフィックを許可するポリシーを定義します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
結果
設定モードから、 および show security zones コマンドを入力してshow security policies設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
例:ワイルドカード アドレス トラフィックを許可または拒否するセキュリティ ポリシーの設定
この例では、ワイルドカード アドレス トラフィックを許可または拒否するセキュリティ ポリシーを設定する方法を示します。
要件
始める前に:
ワイルドカード アドレスを理解する。 セキュリティポリシールールについてを参照してください。
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
アドレス帳を構成し、ポリシーで使用するアドレスを作成します。 例:アドレス帳とアドレス セットの設定を参照してください。
そのタイプのトラフィックにポリシーが適用されることを示すアプリケーション(またはアプリケーション セット)を作成します。 「例:セキュリティポリシーアプリケーションとアプリケーションセットの設定」を参照してください。
trustゾーンとuntrustゾーンとの間のトラフィックを許可します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。
信頼ゾーンと信頼解除ゾーンとの間の電子メール トラフィックを許可します。 例:選択したトラフィックを許可または拒否するセキュリティポリシーの設定
概要
Junosオペレーティングシステム(Junos OS)では、セキュリティポリシーによって、デバイスを通過できるトラフィックと、デバイスを通過する際にトラフィックで実行する必要があるアクションに関して、トランジットトラフィックにルールが適用されます。セキュリティ ポリシーの観点からは、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。この例では、trustゾーン内のホストからuntrustゾーンへのワイルドカードアドレストラフィックのみを許可するように特定のセキュリティを設定します。他のトラフィックは許可されません。
構成
手順
CLIクイック構成
この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを 階層レベルのCLI [edit] にコピー、貼り付けしてから、設定モードで を入力します commit 。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
選択したトラフィックを許可するセキュリティポリシーを設定するには:
インターフェイスとセキュリティ ゾーンを設定します。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
ホストのアドレス帳エントリを作成し、アドレス帳をゾーンにアタッチします。
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
ワイルドカードアドレスのトラフィックを許可するポリシーを定義します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
結果
設定モードから、 および show security zones コマンドを入力してshow security policies設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
デバイスの設定が完了したら、設定モードから を入力します commit 。
例:トラフィックログを外部システムログサーバーにリダイレクトするセキュリティポリシーの設定
この例では、デバイス上で生成されたトラフィックログを外部システムのログサーバーに送信するセキュリティポリシーを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
インターフェイス ge-4/0/5 の SRX5600 デバイスに接続されたクライアント
インターフェイス ge-4/0/1 でSRX5600デバイスに接続されたサーバー
SRX5600デバイスで生成されたログは、Linux ベースのシステム ログ サーバーに保存されます。
インターフェイス ge-4/0/4 の Linux ベースのサーバーに接続されたSRX5600デバイス
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、SRX5600デバイスにセキュリティポリシーを設定して、データ送信中にデバイスによって生成されたトラフィックログをLinuxベースのサーバーに送信します。トラフィックログには、各セッションの詳細が記録されます。ログは、SRX5600デバイスに接続された送信元デバイスと宛先デバイス間のセッションの確立および終了時に生成されます。
構成
手順
CLIクイック構成
この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを 階層レベルのCLI [edit] にコピー、貼り付けしてから、設定モードで を入力します commit 。
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用 を参照してください。
外部システムログサーバーにトラフィックログを送信するセキュリティポリシーを設定するには:
セキュリティログを設定して、SRX5600デバイスで生成されたトラフィックログを、IPアドレス203.0.113.2の外部システムログサーバーに転送します。IP アドレス 127.0.0.1 は、SRX5600デバイスのループバック アドレスです。
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
セキュリティ ゾーンを構成し、SRX5600 デバイスのインターフェイス ge-4/0/5.0 で許可されるトラフィックとプロトコルのタイプを指定します。
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
別のセキュリティ ゾーンを設定し、SRX5600 デバイスのインターフェイス ge-4/0/4.0 および ge-4/0/1.0 で許可されるトラフィックのタイプを指定します。
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
ポリシーを作成し、そのポリシーの一致条件を指定します。一致条件は、デバイスが任意の送信元から任意の宛先へ、および任意のアプリケーション上のトラフィックを許可できることを指定します。
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
ポリシーを有効にして、セッションの開始時と終了時にトラフィックの詳細をログに記録します。
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
結果
設定モードから、 コマンドを入力して show security log 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
セキュリティゾーンとポリシーのTAPモード
セキュリティ ゾーンとポリシーのターミナル アクセス ポイント(TAP)モードでは、スイッチ、SPAN、またはミラー ポートを介してネットワーク上のトラフィック フローを受動的に監視できます。
セキュリティゾーンとポリシーに対するTAPモードのサポートについて
ターミナルアクセスポイント(TAP)モードは、スイッチを介してミラーリングされたトラフィックをチェックするスタンバイデバイスです。セキュリティゾーンとポリシーが設定されている場合、TAPモードは、TAPインターフェイスを設定し、検知された脅威の数とユーザーの使用状況を表示するセキュリティログレポートを生成することで、着信トラフィックと発信トラフィックを検査します。タップ インターフェイスで一部のパケットが失われると、セキュリティ ゾーンとポリシーによって接続が終了し、その結果、この接続に関するレポートは生成されません。セキュリティ ゾーンとポリシー設定は、非 TAP モードと同じままです。
SRXシリーズファイアウォールがTAPモードで動作するように設定すると、デバイスはセキュリティログ情報を生成し、検知された脅威、アプリケーションの使用状況、およびユーザーの詳細に関する情報を表示します。デバイスがTAPモードで動作するように設定されている場合、SRXシリーズファイアウォールは設定されたTAPインターフェイスからのみパケットを受信します。設定されたTAPインタフェースを除き、他のインタフェースは、管理インタフェースとして使用される、または外部サーバに接続された通常のインタフェースに設定される。SRXシリーズファイアウォールは、受信トラフィックに応じてセキュリティレポートまたはログを生成します。
セキュリティ ゾーンと既定のセキュリティ ポリシーは、TAP インターフェイスの構成後に構成されます。必要に応じて、他のゾーンまたはポリシーを設定できます。1 つのインターフェイスを使用してサーバーに接続する場合は、IP アドレス、ルーティング インターフェイス、およびセキュリティ構成も構成する必要があります。
デバイスを TAP モードで操作する場合、設定できる TAP インターフェイスは 1 つだけです。
例:TAPモードでのセキュリティゾーンとポリシーの設定
この例では、SRXシリーズファイアウォールがTAP(ターミナルアクセスポイント)モードで設定されている場合のセキュリティゾーンとポリシーを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズのファイアウォール
Junos OSリリース19.1R1
始める前に:
この手順がセキュリティゾーンとポリシーの全体的なサポートにおける方法と場所を理解するには、 セキュリティゾーンとポリシーのTAPモードサポート についてお読みください。
概要
この例では、SRXシリーズファイアウォールがTAPモードで動作するように設定します。SRXシリーズファイアウォールがTAPモードで動作するように設定すると、デバイスはセキュリティログ情報を生成し、検知された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示します。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードからコミットを入力します。
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
TAPモードでゾーンを構成するには:
セキュリティ ゾーンのタップゾーン インターフェイスを構成します。
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
セキュリティ ゾーンの tap-zone アプリケーション追跡を構成します。
user@host# set security zones security-zone tap-zone application-tracking
ゾーンタップゾーンからゾーンタップゾーンポリシータップへのトラフィックを許可するセキュリティポリシーを設定し、一致条件を設定します。
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
結果
設定モードから、 および show security policies コマンドを入力してshow security zones設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
TAPモードでのポリシー設定の確認
目的
セキュリティポリシーに関する情報を検証します。
アクション
動作モードから コマンド show security policies detail を入力します。
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
意味
TAP モードのデバイスで構成されているすべてのセキュリティ ポリシーの概要が表示されます。
セキュリティポリシーの動的アドレスグループ
ポリシーにアドレス エントリを手動で追加すると、時間がかかる場合があります。特定の目的 (ブロックリストなど) を持つ IP アドレスや、共通の属性 (脅威をもたらす可能性のある特定の場所や動作など) を持つ IP アドレスの一覧を提供する外部ソースがあります。外部ソースを使用して、IP アドレスで脅威ソースを識別し、それらのアドレスを動的アドレス エントリにグループ化して、セキュリティ ポリシーでそのエントリを参照できます。これにより、これらのアドレスとの間のトラフィックを制御できます。このような各 IP アドレス グループは、動的アドレス エントリと呼ばれます。
次のタイプの IP アドレスがサポートされています。
-
単一の IP。例:192.0.2.0
-
IP 範囲。例:192.0.2.0- 192.0.2.10
-
Cidr。例:192.0.2.0/24
各エントリは 1 行を占めます。Junos OS Release 19.3R1以降、IPアドレス範囲は昇順でソートする必要がなく、IPエントリーの値は同じフィードファイル内で重複していてもかまいません。19.3R1より前のJunos OSリリースでは、IPアドレス範囲は昇順でソートする必要があり、IPエントリーの値が同じフィードファイル内で重複することはできません。
動的アドレス エントリーは、単一の IP プレフィックスではなく、IP アドレスのグループです。動的アドレス エントリは、アドレス帳のセキュリティ アドレスの概念やアドレス エントリ アドレスとは異なります。
セキュリティ ポリシーに動的アドレス エントリを展開する利点を次に示します。
-
ネットワーク管理者は、IP アドレスのグループとの間のトラフィックをより詳細に制御できます。
-
外部サーバーは、更新されたIPアドレスフィードをSRXシリーズファイアウォールに提供します。
-
管理者の労力が大幅に削減されます。たとえば、従来のセキュリティ ポリシーの設定では、ポリシーが参照するために 1,000 個のアドレス エントリを追加すると、約 2,000 行の設定が必要になります。動的アドレスエントリを定義し、セキュリティポリシーで参照することで、設定作業を追加することなく、最大で数百万のエントリーをSRXシリーズファイアウォールに流すことができます。
-
新しいアドレスを追加するのにコミットプロセスは必要ありません。従来の方法で数千のアドレスをコンフィギュレーションに追加すると、コミットに長い時間がかかります。また、動的アドレス エントリーの IP アドレスは外部フィードから取得されるため、エントリーのアドレスが変更されてもコミット プロセスは必要ありません。
図 3 は、セキュリティ ポリシーの動的アドレス入力の機能の概要を示しています。
の動的アドレス エントリの機能コンポーネント
セキュリティ ポリシーは、送信元アドレスまたは宛先アドレス フィールドの動的アドレス エントリを参照します(セキュリティ ポリシーが従来のアドレス エントリを参照する方法とほぼ同じです)。
図 4 は、宛先アドレス フィールドの動的アドレス エントリを使用するポリシーを示しています。
の動的アドレス エントリ
図 4 では、ポリシー 1 は宛先アドレス 10.10.1.1 を使用していますが、これは従来のセキュリティ アドレス エントリです。ポリシー 2 では、ネットワーク管理者が指定した動的アドレス エントリである宛先アドレス ベンダー ブロックリストを使用します。その内容は、外部フィード ファイルから取得した IP アドレスのリストです。5 つの基準(untrust という名前の送信元ゾーン、エンジニアという名前の宛先ゾーン、任意の送信元アドレス、ベンダー ブロックリストの動的アドレス エントリに属する宛先 IP アドレス、およびメール アプリケーション)すべてに一致するパケットは、パケットを拒否してログに記録するポリシー アクションに従って処理されます。
動的アドレス エントリ名は、従来のセキュリティ アドレス エントリと同じ名前空間を共有するため、複数のエントリに同じ名前を使用しないでください。Junos OS のコミット プロセスでは、競合を避けるために、名前が重複していないかをチェックします。
動的アドレスグループは、次のデータフィードをサポートします。
-
カスタムリスト(許可リストとブロックリスト)
-
Geoip
フィード サーバー
-
フィード サーバーは、フィード ファイル内の動的アドレス エントリを含みます。ローカルまたはリモートのカスタムフィードを作成できます。カスタムフィードの作成については、「カスタムフィードの作成」を参照してください。
-
フィードを使用するためにSRXシリーズファイアウォールを設定します。SRXシリーズファイアウォールを設定するには、 フィードサーバー を参照してください。
バンドルフィード
動的アドレス エントリに含まれる IP アドレス、IP プレフィックス、または IP 範囲は、外部フィードをダウンロードして定期的に更新できます。SRXシリーズファイアウォールは定期的にフィードサーバーへの接続を開始し、更新された動的アドレスを含むIPリストをダウンロードして更新します。
Junos OS リリース 19.3R1 以降、サーバーから 1 つの tgz ファイルをダウンロードし、複数の子フィード ファイルに抽出できるようになりました。個々のファイルは 1 つのフィードに対応します。個々の動的アドレスがバンドルファイル内のフィードを参照するようにします。バンドル ファイルは、複数の子フィードが 1 つの .tgz ファイルに圧縮されるフィードが多すぎる場合に、CPU オーバーヘッドを削減します
次のバンドルフィードモードがサポートされています。
アーカイブモード
アーカイブモードでは、SRXシリーズファイアウォールのすべてのフィードファイルを1つのtgzファイルに圧縮する必要があります。SRXシリーズファイアウォールはこのファイルをダウンロードし、抽出後にすべてのフィードを抽出します。このプロセスについて以下に説明します。
-
フィードサーバーのURLが、フォルダーの元のURLではなく、接尾辞 が.tgz の付いたファイルのURLである場合、このサーバーは、SRXシリーズの動的アドレス展開のすべてのフィードを1つのファイルを使用して伝送することを意味します。この場合、このサーバーの下のフィードは、サーバーから更新間隔または保留間隔を継承します。このフィードの更新間隔または保留間隔のユーザー設定は無視されます。
-
この変更後、以下の手順に従って、以下の例のようにサーバーフィードを維持します。
次の例は、サーバーフィードを維持するために必要な手順を示しています。
-
SRXシリーズファイアウォールのすべてのフィードファイルをfeeds-4-srxフォルダーの下に配置します
-
すべてのフィードファイルfd1 fd2 fd3を生成します。フォルダ内のfdN feeds-4-srx
-
フィードの IP 範囲を追加または削除する
-
ファイルにアクセスするには、次のコマンドを実行します。
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
ステップ4以降、フィード-4-srx.tgzファイルは、feeds-4-srx.tgzファイルを含む同じフォルダを含むSRXシリーズファイアウォールにダウンロードできる状態になります。ダウンロード後、抽出されたファイルはfeeds-4-srx.tgzと同じフォルダに配置されます。以下の例は、SRXシリーズファイアウォールでのSamleの設定を示しています。
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
path パラメーターには、バンドルアーカイブ内のフィードの相対パスが必要です。
-
tar -zxf feeds-4-srx.tgz ファイルがフォルダー feeds-4-srx を生成し、このフォルダーにフィード ファイル fd1 が格納されている場合は、次のコマンドを使用してフィードを構成します。
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
tar -zxf feeds-4-srx.tgz ファイルがファイル fd1 を直接抽出する場合は、次のコマンドを使用してフィードを構成します。
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
フラット ファイル モード
フラット ファイル モードは、既存のフィード ファイル形式に 1 つの構文変更を導入することで、ユーザーに究極のシンプルさを提供します。すべてのフィード ファイルの内容は、サフィックスとして .bundle を使用して 1 つのファイルにコンパイルされます。これにより、1 つのファイルを管理できます。SRXシリーズファイアウォールは、このバンドルファイルのIP範囲を多数のフィードファイルに分類します。送信用の帯域幅をいくらか節約できる場合は 、このファイルを.bundle.gz としてgzip圧縮できます。前に定義したファイル形式に加えて、大文字のタグ FEED: とそれに続くフィード名が導入されています。このタグの下の行は、フィードに属する IP 範囲と見なされます。ファイル形式の外観の例を以下に示します。
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
SRXシリーズのファイアウォールの構成はアーカイブモードと似ており、以下のような内容になっています。
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
フラット モードとアーカイブ モードの違いは、ファイルのサフィックスとファイル内のレイアウトです。あなたはあなたにとって最も便利なモードを選ぶことができます。
フィードファイルはプレーンテキスト形式であるため、gzipを使用するとファイルサイズを小さくできます。サーバーとSRXシリーズファイアウォールの間にWANリンクがある場合、ネットワーク上で送信されるファイル(この場合はバンドルファイルをgzip圧縮)し、以下のコマンドを設定します:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
SRXシリーズファイアウォールのフィードサーバーのサポート
| プラットフォーム |
フィード サーバーの最大数 |
フィードの最大数 |
動的アドレス エントリの最大数 |
| SRX300、SRX320、SRX340、SRX345、SRX550、SRX550MSRX650 |
10 |
500 |
500 |
| vSRX仮想ファイアウォールSRX5800SRX5400SRX5600 SRX4100 SRX4200SRX4600vSRX仮想ファイアウォール3.0 |
100 |
5000 |
5000 |
| SRX1500 |
40 |
2000 |
2000 |
関連項目
VXLANのセキュリティポリシーを設定する
概要 この例では、EVPN(イーサネットVPN)仮想拡張LAN(VXLAN)トンネルインスペクションのセキュリティポリシーを設定します。
要件
SRXシリーズファイアウォールでVXLANをサポートすることで、キャンパス、データセンター、支社/拠点、パブリッククラウド環境のエンドポイントに接続できるエンタープライズグレードのファイアウォールを柔軟に導入できると同時に、組み込みセキュリティも実現します。
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX4600デバイス
Junos OSリリース20.4R1
始める前に:
EVPNとVXLANの仕組みを理解しておいてください。
概要
EVPNソリューションは、キャンパスネットワークとデータセンターネットワークを管理するための共通フレームワークを大企業に提供します。EVPN-VxLANアーキテクチャは、拡張性、シンプルさ、俊敏性を備えた効率的なレイヤー2およびレイヤー3ネットワーク接続をサポートします。 図 5 に、簡略化された VXLAN トラフィック フローのトポロジーを示します。
トポロジ
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
VXLAN を設定するには、次の手順に従います。
セキュリティ ゾーンを定義します。
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
トンネルインスペクションプロファイルを定義します。
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
外部セッションポリシーを定義します。
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
ポリシーセットを定義します。
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
結果
設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show security policies
from-zone dc to-zone cloud-1 {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
from-zone cloud-1 to-zone dc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
デバイスの機能の設定が完了したら、設定モードから を入力します commit 。
検証
トンネル検査プロファイルとVNIの確認
目的
トンネル検出プロファイルとVNIが混同されていることを確認します。
アクション
動作モードから、 および show security tunnel-inspection vnis コマンドを入力しますshow security tunnel-inspection profiles ins-pf1。
user@host> show security tunnel-inspection profiles ins-pf1
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ins-pf1
Type: VXLAN
Vxlan count: 1
Vxlan name: vx1
VNI count: 4
VNI:r1, r2, r3, r4
Policy set: pset1
Inspection level: 1
user@host> show security tunnel-inspection vnis
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 5
VNI name: r1
VNI id count: 1
[160 - 200]
VNI name: r2
VNI id count: 1
[155 - 155]
VNI name: r3
VNI id count: 1
[300 - 399]
VNI name: r4
VNI id count: 1
[100 - 120]
VNI name: v1
VNI id count: 1
[1 - 100]
意味
出力には、VXLAN 機能が有効であり、セーフサーチリダイレクトとセーフサーチ書き換えがないことが表示されます。
セーフサーチ機能の検証
目的
コンテンツ セキュリティ Web フィルタリング ソリューションに対してセーフサーチ機能が有効になっていることを確認します。
アクション
運用モードから、 コマンドを入力して Show security flow tunnel-inspection statistic トンネルインスペクションの統計情報を表示します。
user@host> show security flow tunnel-inspection statistics
node0:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 349717
input bytes: 363418345
output packets: 348701
output bytes: 363226339
bypass packets: 501
bypass bytes: 50890
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 194151
input bytes: 200171306
output packets: 193221
output bytes: 199987258
bypass packets: 617
bypass bytes: 92902
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 216486
input bytes: 222875066
output packets: 213827
output bytes: 222460378
bypass packets: 2038
bypass bytes: 270480
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 760354
input bytes: 786464717
output packets: 755749
output bytes: 785673975
bypass packets: 3156
bypass bytes: 414272
node1:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
意味
出力には、VXLAN 機能が有効であり、セーフサーチリダイレクトとセーフサーチ書き換えがないことが表示されます。
ジュネーブパケットフロートンネルインスペクションのセキュリティポリシーを有効にする
概要 この設定を使用して、Geneve パケット フロー トンネル検査用の vSRX 仮想ファイアウォール 3.0 のセキュリティ ポリシーを有効にします。
vSRX仮想ファイアウォール3.0インスタンスでのGeneveサポートにより、vSRX3.0を使用して以下のことが可能になります。
-
キャンパス、データセンター、パブリッククラウド環境のエンドポイントとそのバンシェを接続します。
-
埋め込みのセキュリティでこれらの環境を保護します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
vSRX仮想ファイアウォール3.0
-
Junos OSリリース23.1R1
始める前に:
-
ジュネーブプロトコルがどのように機能するかを理解していることを確認してください。
概要
この設定を使用すると、次のことができます。
-
セキュリティ ポリシーを有効にして、Geneve トンネルでカプセル化された L3 パケットを処理できるようにします。
-
VNI およびベンダー TLV 属性に基づいて Geneve トラフィックに個別のプロファイルを作成する - インスペクション プロファイルに付加されたポリシーによって、処理される Geneve トラフィックのタイプと内部トラフィックに適用されるポリシーが決まります。
-
vSRX仮想ファイアウォール3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用します。
設定(トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0)
- AWS GWLBとvSRX仮想ファイアウォール3.0をトンネルエンドポイントとした、簡素化されたジュネーブトラフィックフロートポロジー
- CLIクイック構成
- 手順
- 結果
- トンネル検査プロファイルとVNIの確認
- トンネル検査プロファイルとVNIの確認
AWS GWLBとvSRX仮想ファイアウォール3.0をトンネルエンドポイントとした、簡素化されたジュネーブトラフィックフロートポロジー
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
信頼ゾーンと信頼解除ゾーンを定義して、すべてのホストトラフィックを許可します。
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendorset security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendorset security tunnel-inspection vni vni-vendor vni-id 0set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneveset security policies from-zone vtepc to-zone junos-host policy self match source-address anyset security policies from-zone vtepc to-zone junos-host policy self match destination-address anyset security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set ps-vendor policy self match source-address anyset security policies policy-set ps-vendor policy self match destination-address anyset security policies policy-set ps-vendor policy self match application anyset security policies policy-set ps-vendor policy self then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
vSRX仮想ファイアウォール3.0のトンネルインスペクションにGeneveフローサポートを設定するには、次の手順に従います。
-
信頼ゾーンとuntrustゾーンを定義して、階層下にある [edit security zones] すべてのホストトラフィックを許可します。
-
tunnel-inspectionプロファイルを定義します。[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
外部セッションポリシーを外部パケットに定義し、参照先のトンネルインスペクションプロファイルをアタッチします
メモ:ポリシー設定では、トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0の場合の外部ポリシーの は、
to-zoneトラフィックを処理するための組み込み(予約済み識別子)ゾーンである である必要がありますjunos-host。[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
カプセル化解除されたパケットを処理するために、 の下に
policy-set内部ポリシーを定義します。[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
VTEPC(仮想トンネルエンドポイントクライアント)の に関連付けられた
from-zoneインターフェイスを設定して、ジュネーブカプセル化パケットとヘルスチェックパケットを受信します。[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
結果
設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
from-zone vtepc to-zone junos-host {
policy self {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set ps-vendor {
policy self {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
vni v1 {
vni-id 0;
}
vni vni-vendor {
vni-id 0;
}
デバイスで機能の設定が完了したら、設定モードから を入力します commit 。
トンネル検査プロファイルとVNIの確認
目的
プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します tunnel-inspection 。
アクション
動作モードから、 および show security tunnel-inspection vnis コマンドを入力しますshow security tunnel-inspection profiles ti-vendor。
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
意味
出力には、Geneve トンネルインスペクションプロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが表示されます。
トンネル検査プロファイルとVNIの確認
目的
プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します tunnel-inspection 。
アクション
動作モードから、 および show security tunnel-inspection vnis コマンドを入力しますshow security tunnel-inspection profiles ti-vendor。
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
意味
出力には、Geneve トンネルインスペクションプロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが表示されます。
設定(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)
簡素化されたジュネーブのトラフィックフロートポロジー トランジットルーターとしてのvSRX仮想ファイアウォール3.0
この導入モードでは、仮想トンネルエンドポイントクライアント(vtepc)(Geneve トンネルエンドポイント)は、クライアントとサーバーの両方宛てのパケットが、仮想トンネルエンドポイントサーバー(vteps)(vSRX仮想ファイアウォール3.0)を通過するようにする必要があります。送信元ポートは、仮想トンネルエンドポイント(vtep)によって選択されます。
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set security tunnel-inspection vni r1 vni-range 1 to 100set security tunnel-inspection vni r1 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1set security tunnel-inspection vni r2 vni-range 200 to 400set security tunnel-inspection vni r2 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneveset security policies from-zone vtepc to-zone vteps policy p1 match source-address anyset security policies from-zone vtepc to-zone vteps policy p1 match destination-address anyset security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendorset security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneveset security policies from-zone vteps to-zone vtepc policy p1 match source-address anyset security policies from-zone vteps to-zone vtepc policy p1 match destination-address anyset security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set pset1 policy pset_p1 match source-address anyset security policies policy-set pset1 policy pset_p1 match destination-address anyset security policies policy-set pset1 policy pset_p1 match application anyset security policies policy-set pset1 policy pset_p1 then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
vSRX仮想ファイアウォール3.0(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)でトンネルインスペクション用のGeneveフローサポートを設定するには:
-
信頼ゾーンとuntrustゾーンを定義して、階層下にある [edit security zones] すべてのホストトラフィックを許可します。
-
tunnel-inspectionプロファイルを定義します。[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
外部セッションポリシーを定義します。
メモ:トランジットルーターとしてのvSRX仮想ファイアウォール3.0の場合、各方向に2つのポリシーが必要です。と
to-zoneはfrom-zone、インターフェイスの下で定義する必要があるそれぞれのゾーンです。[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
カプセル化解除されたパケットを処理するために、 の下に
policy-set内部ポリシーを定義します。[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
VTEPC(仮想トンネルエンドポイントクライアント)の に関連付けられた
from-zoneインターフェイスを設定して、ジュネーブカプセル化パケットとヘルスチェックパケットを受信します。メモ:トランジットモードの場合、vSRX仮想ファイアウォール3.0は、イングレスとエグレス用に2つのL3インターフェイスで設定する必要があります。
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
結果
設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
}
from-zone vtepc to-zone vteps {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
from-zone vteps to-zone vtepc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
inspection-profile pro1;
vni r1 {
vni-id 500;
}
vni r2 {
vni-id 500;
}
}
デバイスで機能の設定が完了したら、設定モードから を入力します commit 。
関連項目
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。