セキュリティポリシーの並べ替え
セキュリティポリシーを並べ替えると、作成後にポリシーを移動できます。Junos OS には、ポリシーリスト内のポリシーの順序を検証し、必要に応じて順序を変更するための CLI ステートメントとコマンドが用意されています。
セキュリティポリシーの順序の表示および変更
セキュリティ ポリシーは、構成ファイルに出現する順に実行されるため、次の点に注意する必要があります。
- ポリシーの順序は重要です。
- 新しいポリシーは、ポリシーリストの末尾に移動します。
- 最後のポリシーはデフォルトポリシーで、すべてのトラフィックを拒否するデフォルトアクションがあります。
セキュリティ ポリシーの数を設定した場合、1 つのポリシーが別のポリシーを覆い隠す( シャドウする)可能性があります。この場合、次のようになります。
- ポリシーリスト内のシャドウポリシーのリストを表示するには、
show security shadow-policiesコマンドを使用します。 - ステートメントを
insertおよびbefore使用することで、ポリシーの順序を変更し、より具体的なポリシーを他のポリシーの前に配置できます。
次の例を考えてみましょう。
例1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
例2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
例1および2では、ゾーンtrustからゾーンuntrustへのポリシーpermit-all後にポリシーpermit-mailが設定されています。ゾーンuntrustからのすべてのトラフィックは、最初のポリシーpermit-allと一致し、デフォルトで許可されています。ポリシーpermit-mailに一致するトラフィックはありません。
Junos OSはリストの先頭からポリシー検索を実行するため、受信したトラフィックに一致するものを見つけても、ポリシーリストの下位は検索されません。前の例を修正するには、ポリシーの順序を逆にして、より具体的なポリシーを最初に配置します。
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
ポリシーが数十または数百ある場合、1 つのポリシーが別のポリシーによって削除されることを検出するのは、それほど簡単ではない可能性があります。ポリシーがシャドウされているかどうかを確認するには、次のいずれかのコマンドを入力します。
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
このコマンドは、シャドウポリシーとシャドウポリシーを報告します。その後、状況を修正するのは管理者の責任です。
ポリシー シャドウイング の概念は、ポリシー リストの上位にあるポリシーが、常に後続のポリシーよりも先に有効になる状況を指します。ポリシー検索では、送信元と宛先ゾーン、送信元アドレスと宛先アドレス、およびアプリケーションタイプの 5 つの部分からなるタプルに一致する最初のポリシーが常に使用されるため、別のポリシーが同じタプル(またはタプルのサブセット)に適用される場合、ポリシー検索はリスト内の最初のポリシーを使用し、2 番目のポリシーに到達することはありません。