Juniper SRX 管理アクセス元 IP を Firewall フィルタで制限する設定

ファイアウォール(UTM)

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

管理アクセスの送信元 IP を制限する

設定手順は以下の通りです。

  1. 管理アクセス元の IP アドレスをプレフィックスリストで定義する
  2. 1. で定義した IP 以外からの管理アクセスを拒否する Firewall フィルタを定義する
  3. 2. で定義した Firewall フィルタをループバックインターフェースへ適用する

プレフィックスリストの定義

まず管理アクセス元の IP アドレスをプレフィックスリストで定義します。

例:

  • プレフィックスリスト名:manager-ip
  • IP セグメント:
    • 10.1.10.0/24
    • 192.168.1.0/24
set policy-options prefix-list manager-ip 10.1.10.0/24
set policy-options prefix-list manager-ip 192.168.1.0/24

Firewall フィルタの定義

以下の内容の Firewall フィルタを定義します。

  • フィルタ名:FILTER1
  • term:
    1. block_non_manager
      1. 対象送信元として 0.0.0.0/0(すべての IP)を指定
      2. 対象送信元から manager-ip を除外
      3. 対象送信元プロトコル TCP を指定
      4. 宛先ポート SSH を指定
      5. 宛先ポート HTTPS を指定
      6. 宛先ポート TELNET を指定
      7. 宛先ポート HTTP を指定
      8. アクションとして discard(拒否)を指定
    2. accept_everything_else
      1. その他のすべての通信を accept(許可)
set firewall filter FILTER1 term block_non_manager from source-address 0.0.0.0/0
set firewall filter FILTER1 term block_non_manager from source-prefix-list manager-ip except
set firewall filter FILTER1 term block_non_manager from protocol tcp
set firewall filter FILTER1 term block_non_manager from destination-port ssh
set firewall filter FILTER1 term block_non_manager from destination-port https
set firewall filter FILTER1 term block_non_manager from destination-port telnet
set firewall filter FILTER1 term block_non_manager from destination-port http
set firewall filter FILTER1 term block_non_manager then discard

set firewall filter FILTER1 term accept_everything_else then accept

Firewall フィルタをループバックインターフェースへ適用

前項で定義した Firewall フィルタ FILTER1 をループバックインターフェース lo0 に適用します。

set interfaces lo0 unit 0 family inet filter input FILTER1

動作確認

設定後、想定通りに管理アクセスが拒否/許可されることを動作確認してください。

参考資料

例:ジュニパーネットワークス デバイスの管理アクセスの制御 | Junos OS | Juniper Networks
当社のコンテンツテストチームは、この例を検証し、更新しました。

―――――――――――――

タイトルとURLをコピーしました