Juniper SRX セキュリティゾーンの設定まとめ

ネットワーク

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

ゾーンの作成

  • set security zones security-zone <ゾーン名>

例:ゾーン trust2 を作成する場合

set security zones security-zone trust2

ゾーンへのインターフェースの追加

  • set security zones security-zone <ゾーン名> interfaces <インターフェース名>

例:ゾーン trust2 にインターフェース fe-0/0/2.0 を追加する場合

set security zones security-zone trust2 interfaces fe-0/0/2.0

インバウンドトラフィックの制御

  • トラフィックタイプに基づいたインバウンドトラフィックを制御する設定です
  • ゾーンに所属するインターフェイスに直接接続されているシステムから SRX 自身に到達できるトラフィックのタイプを指定します
  • ゾーンレベルとインターフェースレベルで設定が可能で、インターフェースレベルの設定が優先されます

■設定コマンド

  • set security zones security-zone <ゾーン名> host-inbound-traffic system-services <サービス名>
  • set security zones security-zone <ゾーン名> interfaces <IF名> host-inbound-traffic system-services <サービス名>

例:ゾーン trust2 で ssh 通信を許可する場合

set security zones security-zone trust2 host-inbound-traffic system-services ssh

例:ゾーン trust2 のインターフェース fe-0/0/2.0 で ssh 通信を許可する場合

set security zones security-zone trust2 interfaces fe-0/0/2.0 host-inbound-traffic system-services ssh

スクリーン設定

IDS オプションであるスクリーン機能をゾーンに対して適用する設定です。

  • set security zones security-zone <ゾーン名> screen <スクリーン名>

例:ゾーン untrust に対してスクリーン untrust-screen を適用する場合

set security zones security-zone untrust screen untrust-screen

参考:デフォルトのスクリーン設定

set security screen ids-option untrust-screen icmp ping-death
set security screen ids-option untrust-screen ip source-route-option
set security screen ids-option untrust-screen ip tear-drop
set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024
set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200
set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024
set security screen ids-option untrust-screen tcp syn-flood destination-threshold 2048
set security screen ids-option untrust-screen tcp syn-flood timeout 20
set security screen ids-option untrust-screen tcp land
set security zones security-zone untrust screen untrust-screen

アドレスブックの設定

■アドレスの作成

  • set security zones security-zone <ゾーン名> address-book address <アドレス名> <アドレス>

■アドレスセットの作成

  • set security zones security-zone <ゾーン名> address-book address-set <アドレスセット名> address <アドレス名>

例:

set security zones security-zone trust2 address-book address adr 10.1.10.0/24
set security zones security-zone trust2 address-book address adr2 10.1.20.0/24

set security zones security-zone trust2 address-book address-set adr-set address adr
set security zones security-zone trust2 address-book address-set adr-set address adr2

グローバルレベル(security address-book)でアドレスブックが定義されている場合は、ゾーンレベルでアドレスブックを定義することはできず、commit 時にエラーとなります。

参考資料

Security Zones - TechLibrary - Juniper Networks
vSRX,SRX Series. Security Zones Overview, Example: Creating Security Zones, Supported System Services for Host Inbound Traffic, Understanding How to Control Inb...

―――――――――――――

タイトルとURLをコピーしました