ステートレスファイアウォール機能確認の準備¶
動作確認バージョン: | vSRX Version22.4R1 |
---|
ファイアウォール(vSRX) では、ステートレスファイアウォール設定が可能です。ステートレスファイアウォールは、パケットの送信元IPアドレスや宛先IPアドレスを条件にしてインターフェイスで設定するパケットフィルタ機能になります。
注釈
ステートレスファイアウォール機能を動作確認する際のこのドキュメントの前提条件
ステートレスファイアウォール機能は、パケットヘッダ条件に基づいてインターフェイスで許可・拒否を設定する機能になります。 vSRXでは、同時にゾーンベースファイアウォール機能が動作しており、こちらの設定が適切に設定されている必要があります。 ステートレスファイアウォール設定を動作確認する際には、構成図のように各インターフェイスをtrustゾーンとuntrustゾーンに設定しておりますが、 ゾーン間の通信に関しては全て許可する設定を実施しており、ステートレスファイアウォール機能の動作確認ができるような設定にしています。
設定内容
- インターフェイス(ge-0/0/0.0)とインターフェイス(ge-0/0/1.0)についてはtrustゾーンに設定
- インターフェイス(ge-0/0/2.0)についてはuntrustゾーンに設定
- trustゾーンからtrustゾーンへの通信をポリシー「default-permit」で定義して全て通信を許可する設定(初期設定)
- trustゾーンからuntrustゾーンへの通信をポリシー「default-permit」で定義して全て通信を許可する設定(初期設定)
- untrustゾーンからtrustゾーンへの通信をポリシー「ALL-PERMIT」で定義して全て通信を許可する設定
CLIにて入力するコマンド
user01@vSRX-02# set security zones security-zone trust host-inbound-traffic system-services all
user01@vSRX-02# set security zones security-zone trust host-inbound-traffic protocols all
user01@vSRX-02# set security zones security-zone trust interfaces ge-0/0/0.0
user01@vSRX-02# set security zones security-zone trust interfaces ge-0/0/1.0
user01@vSRX-02# set security zones security-zone untrust host-inbound-traffic system-services all
user01@vSRX-02# set security zones security-zone untrust host-inbound-traffic protocols all
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/2.0
user01@vSRX-02# set security policies from-zone trust to-zone trust policy default-permit match source-address any
user01@vSRX-02# set security policies from-zone trust to-zone trust policy default-permit match destination-address any
user01@vSRX-02# set security policies from-zone trust to-zone trust policy default-permit match application any
user01@vSRX-02# set security policies from-zone trust to-zone trust policy default-permit then permit
user01@vSRX-02# set security policies from-zone trust to-zone untrust policy default-permit match source-address any
user01@vSRX-02# set security policies from-zone trust to-zone untrust policy default-permit match destination-address any
user01@vSRX-02# set security policies from-zone trust to-zone untrust policy default-permit match application any
user01@vSRX-02# set security policies from-zone trust to-zone untrust policy default-permit then permit
user01@vSRX-02# set security policies from-zone untrust to-zone trust policy ALL-PERMIT match source-address any
user01@vSRX-02# set security policies from-zone untrust to-zone trust policy ALL-PERMIT match destination-address any
user01@vSRX-02# set security policies from-zone untrust to-zone trust policy ALL-PERMIT match application any
user01@vSRX-02# set security policies from-zone untrust to-zone trust policy ALL-PERMIT then permit
注釈
- 設定対象のインターフェイスはデフォルトの論理インターフェイスである「unit 0」を前提としているため、「ge-0/0/0.0」のような記載をしております。
- ゾーンベースファイアウォール設定で、trustゾーンからtrustゾーンへのポリシーと、trustゾーンからuntrustゾーンへの許可設定ポリシー「default-permit」に関しては初期コンフィグレーションから設定されております。untrustゾーンからtrustゾーンの設定に関しては設定ポリシー「ALL-PERMIT」という名称で許可する設定を追加設定しています。