アプリケーション設定¶
| 動作確認バージョン: | vSRX Version20.4R2, vSRX Version22.4R1 |
|---|
ファイアウォール(vSRX) にあらかじめ登録されているアプリケーション、もしくは任意の名称をつけて定義したアプリケーションをグループ化したものを、 アプリケーションセット と呼びます。
ゾーンベースファイアウォール(ステートフルファイアウォール設定)でパケットフィルタリングを設定する際に アプリケーション名 、または アプリケーションセット を利用した条件でのルール作成が可能です。
アプリケーションの定義とアプリケーションセットの作成¶
サンプル設定のシナリオ
- 宛先ポートが22番のパケット(SSH通信)をアプリケーション SSH_DEF として定義したい
- 宛先ポートが80番のパケット(HTTP通信)をアプリケーション HTTP_DEF として定義したい
- ICMP Echo Requestパケット(PING通信)をアプリケーション PING_DEF として定義したい
- SSH_DEF と HTTP_DEF をアプリケーションセット SSH_HTTP_DEF としてグループ化したい
CLIにて入力するコマンド
user01@vSRX-01# set applications application SSH_DEF protocol tcp destination-port 22
user01@vSRX-01# set applications application HTTP_DEF protocol tcp destination-port 80
user01@vSRX-01# set applications application PING_DEF protocol icmp icmp-type echo-request
user01@vSRX-01# set applications application-set SSH_HTTP_DEF application SSH_DEF
user01@vSRX-01# set applications application-set SSH_HTTP_DEF application HTTP_DEF
正しく設定が完了したときのコンフィグレーションは次のとおりです。
applications {
application SSH_DEF {
protocol tcp;
destination-port 22;
}
application HTTP_DEF {
protocol tcp;
destination-port 80;
}
application PING_DEF {
protocol icmp;
icmp-type echo-request;
}
application-set SSH_HTTP_DEF {
application SSH_DEF;
application HTTP_DEF;
}
}