アプリケーション設定

動作確認バージョン:vSRX Version22.4R1
ファイアウォール(vSRX) にあらかじめ登録されているアプリケーション、もしくは任意の名称をつけて定義したアプリケーションをグループ化したものを、 アプリケーションセット と呼びます。
ゾーンベースファイアウォール(ステートフルファイアウォール設定)でパケットフィルタリングを設定する際に アプリケーション名 、または アプリケーションセット を利用した条件でのルール作成が可能です。

アプリケーションの定義とアプリケーションセットの作成

サンプル設定のシナリオ

  • 宛先ポートが22番のパケット(SSH通信)をアプリケーション SSH_DEF として定義したい
  • 宛先ポートが80番のパケット(HTTP通信)をアプリケーション HTTP_DEF として定義したい
  • ICMP Echo Requestパケット(PING通信)をアプリケーション PING_DEF として定義したい
  • SSH_DEFHTTP_DEF をアプリケーションセット SSH_HTTP_DEF としてグループ化したい

CLIにて入力するコマンド

user01@vSRX-01# set applications application SSH_DEF protocol tcp destination-port 22
user01@vSRX-01# set applications application HTTP_DEF protocol tcp destination-port 80
user01@vSRX-01# set applications application PING_DEF protocol icmp icmp-type echo-request
user01@vSRX-01# set applications application-set SSH_HTTP_DEF application SSH_DEF
user01@vSRX-01# set applications application-set SSH_HTTP_DEF application HTTP_DEF

正しく設定が完了したときのコンフィグレーションは次のとおりです。

applications {
    application SSH_DEF {
        protocol tcp;
        destination-port 22;
    }
    application HTTP_DEF {
        protocol tcp;
        destination-port 80;
    }
    application PING_DEF {
        protocol icmp;
        icmp-type echo-request;
    }
    application-set SSH_HTTP_DEF {
        application SSH_DEF;
        application HTTP_DEF;
    }
}