Juniper SRX セキュリティポリシーの設定

作業環境
セキュリティポリシーの設定
参考資料

作業環境

型番：SRX100H2
バージョン：12.1X44-D45

セキュリティポリシーの設定

ポリシーの設定項目

主な項目は以下の通りです。

送信元ゾーン
宛先ゾーン
ポリシー名
送信元 IP アドレス
宛先 IP アドレス
アプリケーション
アクション

コンフィグ例：trust ゾーンから untrust ゾーンへのすべての通信を許可するポリシー

security {
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
}

set 形式で表示した場合：

set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit

■各項目の設定コマンド

#送信元 IP
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" match source-address "source-address"

#宛先 IP
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" match destination-address "dest-address"

#アプリケーション
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" match application "appli-name"

#アクション
set security policies from-zone "zone1" to-zone "zone2" policy "policy-name" then "action"

アドレスブックの定義

送信元および宛先 IP アドレスの指定方法として、アドレスを入力する代わりにあらかじめ定義していたアドレス名を指定することができます。

アドレスブックには以下の設定項目があります。

アドレスブック名
- アドレス名
  - アドレス
- アドレスセット名
  - アドレスリスト
- アドレスのゾーン

ポリシー設定でアドレスブックを使用する場合は、IP アドレスの設定箇所でアドレス名またはアドレスセット名を指定します。

■設定例：

アドレスブック名：addbook
- アドレス名：address01
  - アドレス：10.1.10.0/24
- アドレス名：address02
  - アドレス：10.1.20.0/24
- アドレスセット名：address_set01
  - アドレスリスト：address01、address02（※）
- アドレスのゾーン：trust

set security address-book addbook address address01 10.1.10.0/24
set security address-book addbook address address02 10.1.20.0/24
set security address-book addbook address-set address_set01 address address01
set security address-book addbook address-set address_set01 address address02
set security address-book addbook attach zone trust

security {
    address-book {
        addbook {
            address address01 10.1.10.0/24;
            address address02 10.1.20.0/24;
            address-set address_set01 {
                address address01;
                address address02;
            }
            attach {
                zone trust;
            }
        }
    }
}

※アドレスセットで指定するアドレスとしては、定義済みのアドレス名を指定する必要があります

アプリケーションの定義

アプリケーションの指定方法として、Junos OS であらかじめ定義されているアプリケーションを指定する代わりにあらかじめ定義していたアプリケーションを指定することができます。

アプリケーションの主な設定項目には以下があります。

アプリケーション名
- プロトコル
- 送信元ポート
- 宛先ポート
- 非アクティブタイプアウト時間（秒）

■設定例：

アプリケーション名：tcp_19999
- プロトコル：tcp
- 送信元ポート：1024-65535
- 宛先ポート：19999
- 非アクティブタイプアウト時間（秒）：3600

set applications application tcp_19999 protocol tcp
set applications application tcp_19999 source-port 1024-65535
set applications application tcp_19999 destination-port 19999
set applications application tcp_19999 inactivity-timeout 3600

applications {
    application tcp_19999 {
        protocol tcp;
        source-port 1024-65535;
        destination-port 19999;
        inactivity-timeout 3600;
    }
}

複数のアプリケーションをグループ化したアプリケーションセットを作成することもできます。

set applications application-set appset01 application tcp_19999
set applications application-set appset01 application tcp_29999

applications {
    application tcp_19999 {
        (略)
    }
    application tcp_29999 {
        (略)
    }
    application-set appset01 {
        application tcp_19999;
        application tcp_29999;
    }
}

アクション

■必須オプション（以下のいずれか1つを指定）

アクション	意味	備考
`permit`	許可
`deny`	破棄	無応答、エラーコード返さず
`reject`	拒否	tcp-rst または ICMP port unreachable message エラーコードを明示的に返す

■追加オプション

アクション	意味	備考
`log session-close`	ログの取得	セッション終了時のログを取得
`log session-init`	ログの取得	セッション開始時のログを取得
`count`	カウント	該当ポリシーのパケット数、バイト数を取得