Juniper SRX セキュリティポリシーの設定

ネットワーク

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

セキュリティポリシーの設定

ポリシーの設定項目

主な項目は以下の通りです。

  • 送信元ゾーン
  • 宛先ゾーン
  • ポリシー名
  • 送信元 IP アドレス
  • 宛先 IP アドレス
  • アプリケーション
  • アクション

コンフィグ例:trust ゾーンから untrust ゾーンへのすべての通信を許可するポリシー

security {
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
}

set 形式で表示した場合:

set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

■各項目の設定コマンド

#送信元 IP
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" match source-address "source-address"

#宛先 IP
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" match destination-address "dest-address"

#アプリケーション
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" match application "appli-name"

#アクション
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" then "action"

アドレスブックの定義

送信元および宛先 IP アドレスの指定方法として、アドレスを入力する代わりにあらかじめ定義していたアドレス名を指定することができます。

アドレスブックには以下の設定項目があります。

  • アドレスブック名
    • アドレス名
      • アドレス
    • アドレスセット名
      • アドレスリスト
    • アドレスのゾーン

ポリシー設定でアドレスブックを使用する場合は、IP アドレスの設定箇所でアドレス名またはアドレスセット名を指定します。

■設定例

  • アドレスブック名:addbook
    • アドレス名:address01
      • アドレス:10.1.10.0/24
    • アドレス名:address02
      • アドレス:10.1.20.0/24
    • アドレスセット名:address_set01
      • アドレスリスト:address01、address02(※)
    • アドレスのゾーン:trust
set security address-book addbook address address01 10.1.10.0/24
set security address-book addbook address address02 10.1.20.0/24
set security address-book addbook address-set address_set01 address address01
set security address-book addbook address-set address_set01 address address02
set security address-book addbook attach zone trust
security {
    address-book {
        addbook {
            address address01 10.1.10.0/24;
            address address02 10.1.20.0/24;
            address-set address_set01 {
                address address01;
                address address02;
            }
            attach {
                zone trust;
            }
        }
    }
}

アドレスセットで指定するアドレスとしては、定義済みのアドレス名を指定する必要があります

アプリケーションの定義

アプリケーションの指定方法として、Junos OS であらかじめ定義されているアプリケーションを指定する代わりにあらかじめ定義していたアプリケーションを指定することができます。

アプリケーションの主な設定項目には以下があります。

  • アプリケーション名
    • プロトコル
    • 送信元ポート
    • 宛先ポート
    • 非アクティブタイプアウト時間(秒)

■設定例

  • アプリケーション名:tcp_19999
    • プロトコル:tcp
    • 送信元ポート:1024-65535
    • 宛先ポート:19999
    • 非アクティブタイプアウト時間(秒):3600
set applications application tcp_19999 protocol tcp
set applications application tcp_19999 source-port 1024-65535
set applications application tcp_19999 destination-port 19999
set applications application tcp_19999 inactivity-timeout 3600
applications {
    application tcp_19999 {
        protocol tcp;
        source-port 1024-65535;
        destination-port 19999;
        inactivity-timeout 3600;
    }
}

複数のアプリケーションをグループ化したアプリケーションセットを作成することもできます。

set applications application-set appset01 application tcp_19999
set applications application-set appset01 application tcp_29999
applications {
    application tcp_19999 {
        (略)
    }
    application tcp_29999 {
        (略)
    }
    application-set appset01 {
        application tcp_19999;
        application tcp_29999;
    }
}

アクション

■必須オプション(以下のいずれか1つを指定)

アクション意味備考
permit許可
deny破棄無応答、エラーコード返さず
reject拒否tcp-rst または
ICMP port unreachable message エラーコードを明示的に返す

■追加オプション

アクション意味備考
log session-closeログの取得セッション終了時のログを取得
log session-initログの取得セッション開始時のログを取得
countカウント該当ポリシーのパケット数、バイト数を取得

参考資料

Configuring Security Policies - TechLibrary - Juniper Networks
vSRX,SRX Series. Understanding Security Policy Elements, Understanding Security Policy Rules, Understanding Security Policies for Self Traffic, Security Policie...
Address Books and Address Sets - TechLibrary - Juniper Networks
vSRX,SRX Series. Understanding Address Books, Understanding Global Address Books, Understanding Address Sets, Limitations of Addresses and Address Sets in a Sec...
Security Policy Applications and Application Sets - TechLibrary - Juniper Networks
vSRX,SRX Series. Security Policy Applications Overview, Security Policy Application Sets Overview, Example: Configuring Security Policy Applications and Applica...
Predefined Policy Applications - TechLibrary - Juniper Networks
vSRX,SRX Series. Understanding Internet-Related Predefined Policy Applications, Understanding Microsoft Predefined Policy Applications, Understanding Dynamic Ro...

https://www.juniper.net/assets/jp/jp/local/pdf/others/firewall_configuration.pdf

―――――――――――――

タイトルとURLをコピーしました