|
◆ SRX - セキュリティポリシーの設定
セキュリティポリシーは、セキュリティゾーンをベースとしてSRXを通過するトラフィックを制御するルール。
セキュリティポリシーで使用される条件は以下3つであり、ポリシーで適用されるアクションは以下の5つです。
| ポリシー |
条件 |
説明 |
| ポリシーで使用される条件 |
@ Source Address |
address-bookで作成した送信元アドレス |
| A Destination Address |
address-bookで作成した宛先アドレス |
| B Application |
applicationsで作成した送信元/宛先ポート番号 |
| ポリシー |
アクション |
説明 |
| ポリシーで適用されるアクション |
@ Permit |
パケットの許可 |
| A Deny |
パケットのドロップ |
| B Reject |
パケットの破棄、及び送信元への通知 |
| C Log |
トラフィックログを取るための追加オプション |
| D Count |
ポリシーヒットのカウントを取る追加オプション |
先ずポリシーを設定するために、送信元アドレスや宛先アドレスを指定するためのアドレスブックを定義。
※ 全てのアドレスを対象とする場合、デフォルトで存在する「any」キーワードを指定するだけでOKです。
次に作成したアドレスブックをゾーンに割り当てます。この点はScreenOSとは設定方式が少し異なります。
1. アドレスブックの作成
set security address-book book-name address address-name/prefix
◆ 設定例 : アドレスブック「TRUST-NW」に対して「192.168.1.0/24」ネットワークを示す「NW1」のアドレス名を作成
| # set security address-book TRUST-NW address NW1 192.168.10.0/24 |
2. ゾーンへの割り当て
set security address-book book-name attach zone name
◆ 設定例 : アドレスブック「TRUST-NW」をゾーン「TRUST」に対してアタッチする設定
| # set security address-book TRUST-NW attach zone TRUST |
ポリシーに対して作成したアドレスブックを使用します。ポリシーの設定は非常に長い構文であることから
以下のコマンドに示す通り、editコマンドにより階層を下りた上でポリシーを作成する方が便利となります。
3. ポリシーへの割り当て
edit security policies from-zone TRUST to-zone UNTRUST
set policy policy-name match source-address the address in address book | any
set policy policy-name match destination-address the address in address book | any
set policy policy-name match application default application | any
set policy policy-name then permit | deny | reject | log | count
◆ 設定例 :
# edit security policies from-zone TRUST to-zone UNTRUST
# set policy TRUST-TO-UNTRUST match source-address NW1
# set policy TRUST-TO-UNTRUST match destination-address any
# set policy TRUST-TO-UNTRUST match application any
# set policy TRUST-TO-UNTRUST then permit
# set policy TRUST-TO-UNTRUST then count
|
※ 例えば、show | display set | no-more | match policy と入力すればpolicyを含む設定行のみ表示できます。
ポート番号の定義はWell-Knownであれば、既に定義済みのアプリケーションポート番号を指定することで
設定できるが、Well-Known以外のポート番号で新たにポート番号を指定したい場合は以下の設定をします。
◆ 新たなアプリケーションポート番号の指定
set applications application name protocol tcp source-port number destination-port number
◆ 設定例 : アプリケーション名"C-TELNET"に対して送信元ポート番号 (1〜65535)、あて先ポート番号 (23000)
と定義。
# edit applications application C-TELNET
# set protocol tcp source-port 1-65535 destination-port 23000
|
複数の個別のアプリケ名を作成したり、個別にポリシー定義するのではなく、アプリケーションセットを
使用することでこれらをまとめて1つのセットにできます。ポリシーではそれを一つ定義するだけでOK。
◆ 新たなアプリケーションポート番号の指定
set applications application-set name application application-name
◆ 設定例 : 管理アクセス用としてSSH、Telnet、HTTPを指定したアプリケーションセット名「MANAGE-SET」を作成
# set applications application-set MANAGE-SET application junos-ssh
# set applications application-set MANAGE-SET application junos-telnet
# set applications application-set MANAGE-SET application junos-http
|
◆ SRX - ALG機能
ALG(アプリケーションレイヤーゲートウェイ)は、FTPやSIPなどの特定のプロトコルの管理を目的とした
ソフトウェアコンポーネント。ALGモジュールはアプリケーション層に対応したパケット処理を担当します。
ALG機能はセキュリティポリシーで設定された「サービス」または「アプリ」がトリガーとなり発動します。
| ALGのトリガ |
説明 |
| サービス |
アプリケーションサービス(FTP、SMTP、HTTP等)のためのL4情報(標準的なTCP/UDPポート番号)
を使用してアプリケーションプロトコルを識別するオブジェクトのこと。
|
| アプリケーション |
L4サービスにマッピングするL7アプリケーション。 |
「定義済みサービス」はすでにL7アプリケーションにマッピングされています。従って、ALGを使用するため
の有効化設定は特に必要ありません。以下のとおり、ほぼ全てのALG機能がEnabledであることが分かります。
あて先がウェルノウンポートであるパケットのALGはサービスタイプによりトリガされます。ALGは指定
されたトラフィックを代行受信して分析してリソースを割り当てます。また、トラフィックがデバイスを
安全に通過することを許可する動的ポリシーが定義されます。なお、特定のALG機能を無効化したい場合
次の通り、set security alg protocol disableコマンドを使用します。
◆ 設定例 : FTPのALG機能を無効化する設定
| # set security alg ftp disable |
以上の通り、デフォルトでは定義済みサービスではALGが有効化されており、例えばFTPのALGについては
junos-ftp に対して有効化されています。しかし、カスタムサービスについてはALGを適用したいポリシー
を明示的にリンクさせる必要があります。
|