アプリケーショングループ設定

動作確認バージョン:vSRX Version15.1X49-D105.1, vSRX Version19.2R1.8, vSRX Version20.4R2

アプリケーショングループ とは

パケットフィルタリングを設定する時にIPアドレスを条件にしたルールを設定することができますが、vSRXにあらかじめ登録されているアプリケーションもしくは任意の名称をつけてアプリケーションを定義しパケットフィルタリングの条件にすることが可能です。 登録されているアプリケーションもしくは定義したアプリケーションをグループ化したものを アプリケーショングループ と呼びます。 ファイアウォール(vSRX) でゾーンベースファイアウォール(ステートフルファイアウォール設定)は、こちらの アプリケーション名 または アプリケーションセット を利用して設定することが可能です。

アプリケーションの定義と複数のアプリケーション定義をグループ化したアプリケーションセットを設定

サンプル設定のシナリオ

  • 宛先ポートが22番のパケット(SSH通信)をアプリケーション SSH_DEF として定義したい
  • 宛先ポートが80番のパケット(HTTP通信)をアプリケーション HTTP_DEF として定義したい
  • ICMP Echo Requestパケット(PING通信)をアプリケーション PING_DEF として定義したい
  • SSH_DEFHTTP_DEF をグループ化したアプリケーションセットの名前を SSH_HTTP_DEF として設定したい

CLIにて入力するコマンド

user01@vSRX-01# set applications application SSH_DEF protocol tcp destination-port 22
user01@vSRX-01# set applications application HTTP_DEF protocol tcp destination-port 80
user01@vSRX-01# set applications application PING_DEF protocol icmp icmp-type echo-request
user01@vSRX-01# set applications application-set SSH_HTTP_DEF application SSH_DEF
user01@vSRX-01# set applications application-set SSH_HTTP_DEF application HTTP_DEF

正しく設定が完了したときのコンフィグレーションは次のとおりです。

applications {
    application SSH_DEF {
        protocol tcp;
        destination-port 22;
    }
    application HTTP_DEF {
        protocol tcp;
        destination-port 80;
    }
    application PING_DEF {
        protocol icmp;
        icmp-type echo-request;
    }
    application-set SSH_HTTP_DEF {
        application SSH_DEF;
        application HTTP_DEF;
    }
}