Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

[ポリシー同期設定(Policy Sync Settings)] ページについて

このページにアクセスするには、[ 管理 ] > [ポリシー同期設定] をクリックします。

Junos Space Security Directorリリース19.2R1以降では、[ポリシー同期設定]ページを使用して、デバイスからSecurity Directorに帯域外ファイアウォールポリシーの変更を自動的に同期できます。デバイスは Security Director によって検出される必要があります。アウトオブバンド設定変更とは、Security Directorから設定変更を展開する以外の方法でデバイス設定に加えた変更のことです。デフォルトでは、自動同期は無効になっています。

このページはグローバルドメインでのみ表示され、デバイス固有のファイアウォールポリシーにのみ適用されます。アウトオブバンドファイアウォールポリシーの変更は、標準ファイアウォールと統合型ファイアウォールポリシーの両方に適用されます。

Junos Space Security Directorリリース19.4R1以降、デバイスからSecurity DirectorへのIPSポリシーの帯域外変更を手動または自動でインポートまたは拒否できます。Junos OS リリース 18.2 以降を実行しているデバイスの場合、標準または統合型ファイアウォールポリシー ページから変更を同期できます。Junos OS リリース 18.1 以前のデバイスでは、[IPS ポリシー] ページから IPS ポリシーの変更を同期できます。

Junos Space Security Directorリリース20.1R1以降、デバイスからNAT ポリシーの帯域外変更を手動または自動でSecurity Directorにインポートまたは拒否できます。

Security Directorでデバイスが検出されると、[セキュリティデバイス(Security Devices)] ページに[管理ステータス(Managed Status)] が [管理(Managed)] と表示されます。アウトオブバンド ポリシー変更の自動同期の場合、デバイスの管理ステータスは [SD 変更(SD Changed)]、[デバイス変更(Device Changed)]、または [同期中(In Sync)] である必要があります。Security Directorから少なくとも一度はデバイスを更新する必要があります。論理システム(LSYS)またはテナントシステム(TSYS)の場合、ルートデバイスにポリシーが割り当てられていると、ルートデバイスのステータスが [Device Changed] と表示されることがあります。ルートデバイスを更新して、ステータスが [In Sync] になるようにします。

手記:

  • 1つのデバイスに複数のポリシーが割り当てられている場合、またはすべてのデバイスポリシーの事前/事後ポリシーでルールが設定されている場合、アウトオブバンドの変更はサポートされません。

  • アウトオブバンドの変更では、NAT ポリシー内の重複するルールセットの同期はサポートされていません。

実行可能なタスク

このページから次のタスクを実行できます。

  • デバイス内の帯域外ファイアウォール、IPS、NAT ポリシー変更の自動同期を有効にします。

  • オプションを選択して、帯域外ファイアウォール、IPS、NAT ポリシーの変更を自動的に受け入れるか拒否するかを選択します。

フィールドの説明

表 1 に、[Policy Sync Settings] ページのフィールドの使用に関するガイドラインを示します。

表 1: [Policy Sync Settings] ページのフィールド

形容

自動同期ポリシーの変更

デフォルトでは、帯域外ファイアウォール、IPS、NAT ポリシー変更の自動同期は無効になっています。このオプションを有効にすると、デバイスから Security Director への帯域外ファイアウォール、IPS、NAT ポリシーの変更が自動的に同期されます。

アウトオブバンドポリシー変更の自動同期が無効になっている場合、デバイスからアウトオブバンド変更を手動でインポートできます。

ポリシーの変更を同期すると、ポリシーを再発行する必要があることがポリシーに示されます。管理ステータスを In sync に設定するには、ダミーの公開と更新を実行する必要があります。

ポリシー内のカスタムルールグループはサポートされていません。ポリシーにカスタムルールグループがある場合、カスタムルールグループはポリシーの同期後に削除され、すべてのルールはデバイス固有または事前定義されたルールグループ内にグループ化されます。

ポリシーの信頼できる情報源

ポリシーの「信頼できる情報源」は、デバイスがSecurity Directorに同期される場所です。同期していないデバイス側の変更はすべて、Security Director と一致するように拒否されます。

  • デバイスからSecurity Directorへのすべての帯域外ファイアウォール、IPS、NAT ポリシーの変更を自動的に拒否するには、[ Security Director ]を選択します。

  • [ デバイス(Device )] を選択すると、すべてのアウトオブバンド ファイアウォール、IPS、および NAT ポリシーの変更がデバイスから Security Director に自動的に同期されます。ファイアウォールポリシー、IPSポリシー、またはNAT ポリシーを選択します。

    これにより、[ジョブ管理(Job Management)] ページで [自動ポリシー同期(Auto Policy Sync)] ジョブがトリガーされます。ジョブが成功すると、アウトオブバンドの変更がデバイスからSecurity Directorに同期されます。

    アウトオブバンドの変更を自動的に同期する前に、Security Directorはポリシーのスナップショットを自動的に取得して、ポリシーの古いバージョンに戻したりロールバックしたりできます。ポリシーバージョンをロールバックするには、「 ポリシーバージョンの作成とポリシーのバージョンの管理」を参照してください。

デバイスからSecurity Directorに自動的に同期するポリシー(ファイアウォール/NAT/IPS)を1つ以上選択します。

ポリシーのデフォルトアクション

オプションを選択します。デバイスから Security Director へのアウトオブバンド ファイアウォール、IPS、および NAT ポリシーの変更の自動同期中に、オブジェクトの名前を変更するか、既存の値を保持するか、インポートした値で上書きするかを選択できます。デフォルトでは、「オブジェクト名の変更」が選択されています。

[オブジェクト名の変更] - 競合するオブジェクトに新しい名前を指定します。「_1」はデフォルトで名前に追加されます。「デバイスプレビュー」または「更新」を選択すると、元のオブジェクトが削除され、新しい名前のオブジェクトが追加されます。

「インポートした値で上書き」(Overwrite with Imported Value) - 既存のオブジェクトを新しいオブジェクトで上書きします。オブジェクトは、Security Directorで新しいオブジェクトに置き換えられます。インポートされたデバイスのプレビューに変更は見られません。変更は、このオブジェクトを使用する他のすべてのデバイスの次のプレビュー/更新に表示されます。

「既存のオブジェクトを保持」(Keep Existing Object) - 既存のオブジェクトを保持し、新しいオブジェクトを無視します。デバイス オブジェクトの代わりに、Security Director のオブジェクトが使用されます。

関連資料