ゾーンの設定¶
| 動作確認バージョン: | vSRX Version20.4R2, vSRX Version22.4R1 |
|---|
ファイアウォール(vSRX) は、ステートフルファイアウォールとして動作が可能です。ステートフルファイアウォールとして動作させるためには、ゾーンベースファイアウォール設定が必要になります。
ゾーンベースファイアウォール とは
ファイアウォールに論理的に「ゾーン」と呼ばれる領域を作成し、インターフェイスをゾーンに所属させます。受信パケットに必要なポリシーをゾーンごとに設定するため、ゾーンに属するインターフェイスに対して同一のポリシーを適用させることが可能になります。
注釈
- 利用開始時に trust と untrust という名前のゾーンが定義されています。
- ファイアウォール(vSRX) で利用するインターフェイスは、管理ポート(fxp0)を除きゾーンに所属している必要があります。
インターフェイスを1つのゾーンに所属させる設定¶
ファイアウォールのインターフェイスを各ゾーンに所属させるための設定をします。
サンプル設定のシナリオ
- インターフェイス(ge-0/0/0)を trust ゾーンに所属させたい
- インターフェイス(ge-0/0/1)を untrust ゾーンに所属させたい
CLIにて入力するコマンド
user01@vSRX-02# set security zones security-zone trust interfaces ge-0/0/0.0
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/1.0
注釈
サンプル設定では、ゾーンに所属するインターフェイスで各種プロトコルや管理用通信を受け付けるために、 host-inbound-traffic ステートメントでトラフィックを許可しています。ご利用の環境で必要に応じて設定してください。
正しく設定が完了したときのコンフィグレーションは次のとおりです。
security {
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
}
以下の確認結果より、trustゾーンにge-0/0/0.0 untrustゾーンにge-0/0/1.0 のインターフェイスが所属していることが確認できました。
user01@vSRX-02> show security zones
Security zone: trust
Send reset for non-SYN session TCP packets: On
Policy configurable: Yes
Interfaces bound: 1
Interfaces:
ge-0/0/0.0
Security zone: untrust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: untrust-screen
Interfaces bound: 1
Interfaces:
ge-0/0/1.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
複数のインターフェイスを1つのゾーンに所属させる設定¶
ファイアウォールの複数のインターフェイスをゾーンに所属させるための設定をします。
サンプル設定のシナリオ
- インターフェイス(ge-0/0/0)を trust ゾーンに所属させたい
- インターフェイス(ge-0/0/1)を untrust ゾーンに所属させたい
- インターフェイス(ge-0/0/2)を untrust ゾーンに所属させたい
CLIにて入力するコマンド
user01@vSRX-02# set security zones security-zone trust interfaces ge-0/0/0.0
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/1.0
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/2.0
注釈
サンプル設定では、ゾーンに所属するインターフェイスで各種プロトコルや管理用通信を受け付けるために、 host-inbound-traffic ステートメントでトラフィックを許可しています。ご利用の環境で必要に応じて設定してください。
正しく設定が完了したときのコンフィグレーションは次のとおりです。
security {
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
ge-0/0/2.0;
}
}
}
}
以下の確認結果より、trustゾーンにge-0/0/0.0 untrustゾーンにge-0/0/1.0,ge-0/0/2.0 のインターフェイスが所属していることが確認できました。
user01@vSRX-02> show security zones
Security zone: trust
Send reset for non-SYN session TCP packets: On
Policy configurable: Yes
Interfaces bound: 1
Interfaces:
ge-0/0/0.0
Security zone: untrust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: untrust-screen
Interfaces bound: 2
Interfaces:
ge-0/0/1.0
ge-0/0/2.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces: