コンソール ポート アクセスのセキュリティ保護に関する設定ガイドライン

デバイスのコンソール ポートを使用して、RJ-45 シリアル ケーブルでデバイスに接続できます。コンソール ポートから、CLI を使用してデバイスを設定できます。デフォルトでは、コンソール ポートは有効になっています。コンソール ポートを保護するために、デバイスは次のアクションを実行するように設定できます。

• コンソール ポートに接続されているシリアル ケーブルを抜いたら、コンソール セッションからログアウトします。

• コンソールへの root ログイン接続を無効にします。このアクションにより、非 root ユーザーがコンソールを使用してパスワード・リカバリー操作を実行できなくなります。

• コンソール ポートを無効にします。デバイスへの不正アクセスを防ぐために、コンソール ポートを無効にすることを推奨します。デバイスが顧客宅内機器(CPE)として使用され、機密性の高いトラフィックを転送する場合、不正アクセスの防止は特に重要です。

  注:

  ソフトウェア アップグレードなどの操作中はコンソール アクセスが重要になるため、コンソール ポートを常に無効にできるとは限りません。

  警告:

  SRX300、SRX320、SRX340、SRX345デバイスでは、 set system ports console insecure オプションと set chassis routing-engine bios uninterrupt オプションの両方を設定した場合、Junos OSが起動しない場合に利用できる代替のリカバリ方法はありません。

コンソール ポートを保護するには、次の手順に従います。

SRX320、SRX320、SRX340、SRX345 デバイスには、ミニ USB タイプ B ポートがあります。CLI 管理用に、管理デバイスを Mini-USB Type-B コンソール ポートに接続できます。

SRXシリーズファイアウォールでミニUSBポートを無効にして、ユーザーがUSB大容量ストレージデバイスをサービスゲートウェイに接続できないようにすることができます。デバイスのミニ USB ポートを無効にすると、USB デバイスで進行中のトランザクションはすべて終了します。

次のコマンドを使用して、ミニ USB ポートを無効にします。