6-1 .ポリシーの基本設定
6-2 .セッションテーブルの確認 6-3 .同じゾーン内のトラフィック 6-4 .デフォルトポリシー
6-5 .ポリシーの並び替え 6-6 . policy-rematch
6-7 .ポリシーの統計情報 6-8 .ポリシーのロギング
アジェンダ
6-1 .ポリシーの基本設定( 1/3 )
SSG
は各ポリシーを識別するためにポリシーID
を使用SRX
はユーザが設定するポリシー名でポリシーを識別• SSG
• SRX
SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book service action
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name match source-address src-address-book
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name match destination-address dst-address-book
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name match application service
root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name then action
6-1 .ポリシーの基本設定( 2/3 )
ポリシーの確認
• SSG
SSG5-> get policy
Total regular policies 3, Default deny, Software based policy search, new policy enabled.
ID From To Src-address Dst-address Service Action State ASTLCB 1 Trust Untrust PrivateNetw~ ServerNetwo~ FTP Permit enabled ---X
HTTP PING SSH
2 Trust Untrust Any Any ANY Deny enabled ---X-X SSG5-> get policy id-number
name:"none" (id 1), zone Trust -> Untrust,action Permit, status "enabled"
1 source: "PrivateNetwork"
1 destination: "ServerNetwork"
4 services: "FTP", "HTTP", "PING", "SSH"
Rules on this VPN policy: 0
nat off, Web filtering : disabled
vpn unknown vpn, policy flag 00000000, session backup: on, idle reset: on traffic shaping off, scheduler n/a, serv flag 00
log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0
6-1 .ポリシーの基本設定( 3/3 )
• SRX
root@SRX300> show security policies Default policy: deny-all
From zone: trust, To zone: untrust
Policy: Trust-to-Untrust, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1 Source addresses: PrivateNetwork
Destination addresses: ServerNetwork
Applications: junos-ssh, junos-ping, junos-http, junos-ftp Action: permit
root@SRX300> show security policies detail policy-name policy-name
Policy: Trust-to-Untrust, action-type: permit, State: enabled, Index: 6, Scope Policy: 0 Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust Source addresses:
PrivateNetwork(global): 10.1.7.0/24 Destination addresses:
ServerNetwork(global): 172.16.100.0/24 Application: junos-ssh
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0]
Destination port range: [22-22]
snip
---6-2 .セッションテーブルの確認( 1/4 )
セッションテーブルの確認
• SSG
• SRX
SSG5-> get session
alloc 1/max 16064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 16063
id 16059/s**,vsys 0,flag 08000040/0000/0001/0000,policy 1,time 179, dip 0 module 0
if 0(nspflag 801801):10.1.8.1/8121->172.16.100.1/21,6,00155d07e115,sess token 3,vlan 0,tun 0,vsd 0,route 1,wsf 0
if 5(nspflag 801800):10.1.8.1/8121<-172.16.100.1/21,6,0019e2475b00,sess token 4,vlan 0,tun 0,vsd 0,route 7,wsf 0
Total 1 sessions shown
root@SRX300> show security flow session
Session ID: 23351, Policy name: Trust-to-Untrust/5, Timeout: 1790, Valid
In: 10.1.7.1/9621 --> 172.16.100.1/21;tcp, If: ge-0/0/4.0, Pkts: 7, Bytes: 315
Out: 172.16.100.1/21 --> 172.16.7.254/19963;tcp, If: ge-0/0/14.0, Pkts: 6, Bytes: 396 Total sessions: 1
6-2 .セッションテーブルの確認( 2/4 )
セッションテーブル詳細情報の確認
• SSG
SSG5-> get session id session-identifier
id 16059(00003ebb), flag 08000040/0000/0001/0000, vsys id 0(Root) policy id 1, application id 0, dip id 0, state 0
current timeout 1780, max timeout 1800 (second) status normal, start time 687620, duration 0 session id mask 0, app value 0
ethernet0/0(vsd 0): 10.1.8.1/17136->172.16.100.1/23, protocol 6 session token 3 route 1 gtwy 172.16.100.1, mac 00155d07e115, nsptn info 0, pmtu 1500
flag 801801, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin state 0
ethernet0/1(vsd 0): 10.1.8.1/17136<-172.16.100.1/23, protocol 6 session token 4 route 7 gtwy 10.254.1.254, mac 0019e2475b00, nsptn info 0, pmtu 1500
flag 801800, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin state 0
6-2 .セッションテーブルの確認( 3/4 )
• SRX
root@SRX300> show security flow session session-identifier Session ID: 42705, Status: Normal
Flag: 0x42
Policy name: Trust-to-Untrust/4
Source NAT pool: Null, Application: junos-ftp/1 Dynamic application: junos:UNKNOWN,
Encryption: Unknown
Application traffic control rule-set: INVALID, Rule: INVALID Maximum timeout: 1800, Current timeout: 1738
Session State: Valid
Start time: 245117, Duration: 64
In: 10.1.7.1/19117 --> 172.16.100.1/21;tcp, Interface: ge-0/0/4.0,
Session token: 0x6, Flag: 0x2621
Route: 0xf0010, Gateway: 10.1.7.1, Tunnel: 0 Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 7, Bytes: 315
Out: 172.16.100.1/21 --> 10.1.7.1/19117;tcp, Interface: ge-0/0/14.0,
Session token: 0x7, Flag: 0x2620
6-2 .セッションテーブルの確認( 4/4 )
セッションテーブル統計情報の確認
• SSG
• SRX
SSG5-> get session info
alloc 5/max 16064, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 16059
root@SRX300> show security flow session summary Unicast-sessions: 7
Multicast-sessions: 0 Failed-sessions: 0 Sessions-in-use: 9 Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 2 Sessions in other states: 0 Maximum-sessions: 65536
6-3 .同じゾーン内のトラフィック
SSG
は同じゾーン内のトラフィックの許可または拒否をIntra-zone block
で設定SRX
はデフォルトは拒否、トラフィックを許可したい場合は明示的にポリシーを設定• SSG
- Intra-zone block
の設定- Intra-zone block
の確認SSG5-> set zone trust block
SSG5-> get zone trust
Zone name: Trust, id: 2, type: Security(L3), vsys: Root, vrouter:trust-vr Intra-zone block: On, attrib: Non-shared, flag:0x6288
TCP non SYN send reset: On
IP/TCP reassembly for ALG on traffic from/to this zone: No Asymmetric vpn: Disabled
Policy Configurable: Yes PBR policy: None
Interfaces bound:2.Designated ifp is bgroup0
6-4 .デフォルトポリシー( 1/2 )
SSG
とSRX
は共にデフォルトでポリシーにマッチしないトラフィックはdeny
だがpermit
へ変更可能• SSG
- permit へ変更
-
デフォルトアクションの確認SSG5-> set policy default-permit-all
SSG5-> get policy
Total regular policies 4, Default permit, Software based policy search, new policy enabled.
ID From To Src-address Dst-address Service Action State ASTLCB 1 Trust Untrust PrivateNetw~ ServerNetwo~ FTP Permit enabled ---XXX 2 Trust Untrust Any Any ANY Deny enabled ---X-X
6-4 .デフォルトポリシー( 2/2 )
• SRX
- permit へ変更
-
デフォルトアクションの確認root@SRX300# set security policies default-policy permit-all
root@SRX300> show security policies Default policy: permit-all
From zone: trust, To zone: untrust
Policy: Trust-to-Untrust-Global, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: Private Destination addresses: Server Applications: any
Action: permit, log
6-5 .ポリシーの並び替え
SSG
はmove
コマンドを使用しポリシーを並び替えSRX
はinsert
コマンドを使用しポリシーを並び替え• SSG
• SRX
SSG5-> set policy move id-number before id-number
root@SRX300# insert security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name before policy policy-name
SSG5-> set policy move id-number after id-number
root@SRX300# insert security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name after policy policy-name
- before policy XX policy XX の前に挿入
- after policy XX policy XX
の後に挿入6-6 . policy-rematch
SRX
はセッションを生成したポリシー自体が変更されたとき、通信中のセッションの挙動を設定可能
• SRX
root@SRX300# set security policies policy-rematch
ポリシーに対しての操作 デフォルトの動作
policy-rematch
が有効ポリシーの削除 セッションは削除 セッションは削除
アクションの変更
(permit から
deny・reject)
セッションは維持 セッションは削除 アドレスブックの変更 セッションは維持 セションが新しいポリシーに一致するか再チェック アプリケーションの変更 セッションは維持 セッションが新しいポリシーに
一致するか再チェック
6-7 .ポリシーの統計情報( 1/2 )
SSG
はポリシーにcount
オプションを設定SRX
はポリシーのアクションにcount
オプションを設定• SSG
- count オプションの設定
-
統計情報の確認SSG5-> set policy id id-number SSG5(policy:1)-> set count
SSG5-> get counter policy id-number ( day | hour | minute | month | secound ) PID: 1, Interval: Second, Unit: Byte/Sec, End Time: 30Nov2013:16:12:19
000-002: 00000000000000000148 00000000000000000148 00000000000000000148 003-005: 00000000000000000148 00000000000000000148 00000000000000000148 006-008: 00000000000000000148 00000000000000000148 00000000000000000148 009-011: 00000000000000000148 00000000000000000148 00000000000000000148 012-014: 00000000000000000148 00000000000000000148 00000000000000000148 015-017: 00000000000000000148 00000000000000000148 00000000000000000148
6-7 .ポリシーの統計情報( 2/2 )
• SRX
- count オプションの設定
-
統計情報の確認root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name then count
root@SRX300> show security policies detail policy-name policy-name
Policy: Trust-to-Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 snip
---Session log: at-create, at-close Policy statistics:
Input bytes : 18144 545 bps
Initial direction: 9072 272 bps Reply direction : 9072 272 bps
Output bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Input packets : 216 6 pps
Initial direction: 108 3 bps Reply direction : 108 3 bps
6-8 .ポリシーのロギング( 1/5 )
SSG
はポリシーにlog
オプションを設定SRX
はポリシーのアクションにlog
オプションを設定• SSG
- log オプションの設定
-
トラフィックログの確認SSG5-> set policy from src-zone-name to dst-zone-name src-address-book dst-address-book service action log
SSG5-> get log traffic
PID 1, from Trust to Untrust, src PrivateNetwork, dst ServerNetwork, service FTP HTTP PING SSH, action Permit
======================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
======================================================================================================
2013-11-25 14:56:49 0:00:00 10.1.8.1 7811 172.16.100.1 21 FTP 16057 ethernet0/0 Creation 6 10.1.8.1 7811 172.16.100.1 21 1 ethernet0/1 2013-11-25 14:56:42 0:00:00 10.1.8.1 7810 172.16.100.1 80 HTTP 16063 ethernet0/0 Creation 6 10.1.8.1 7810 172.16.100.1 80 1 ethernet0/1
6-8 .ポリシーのロギング( 2/5 )
• SRX
- log オプションの設定
- syslog
の設定-
トラフィックログ(セキュリティログ)の確認root@SRX300# set security policies from-zone src-zone-name to-zone dst-zone-name policy policy-name then log ( session-init | session-close )
root@SRX300# set system syslog file file-name any any
root@SRX300# set system syslog file file-name match RT_FLOW_SESSION
※トラフィックログの” RT_FLOW_SESSION”
の文字列でフィルタroot@SRX300> show log file-name
Nov 25 15:38:13 SRX300 RT_FLOW: RT_FLOW_SESSION_CREATE: session created
10.1.7.1/9423->172.16.100.1/21 junos-ftp 172.16.7.254/7958-10.1.7.1/9423->172.16.100.1/21 source-nat-rule None 6 Trust-to-Untrust trust untrust 21307 N/A(N/A) ge-0/0/4.0 UNKNOWN UNKNOWN UNKNOWN
6-8 .ポリシーのロギング( 3/5 )
SSG
はsyslog
サーバの設定でtraffic
もしくはall
のオプションの設定が必要SRX
はトラフィックログをEvent
またはStream
モードでsyslog
サーバへ送信• SSG
- traffic オプションの設定
- all オプションの設定
SSG5-> set syslog enable
SSG5-> set syslog config 10.1.8.1 log traffic
SSG5-> set syslog enable
SSG5-> set syslog config 10.1.8.1 log all
6-8 .ポリシーのロギング( 4/5 )
SRX
のトラフィックログ(セキュリティログ)の収集モード• Event
モード- Control Plane(RE)を経由し syslog サーバへ送信される -
ログが増えるとRE の負荷が高くなる可能性がある
-
最大1500 events/sec の制限• Stream
モード- Data Plane
(PFE
)から直接syslog
サーバへ転送される- RE への負荷がかからないため推奨のモード
flowd Control Plane
Data Plane
/var/log/
eventd
IF
内部ストレージへ
Stream Mode Event
mode
SRX
セキュリティログ収集モードの動作フロー6-8 .ポリシーのロギング( 5/5 )
• SRX
Event
モード- Event モードの設定
- syslog
サーバのアドレス等設定Stream モード - Stream モードの設定
- syslog
サーバのアドレス、syslog パケットの送信元アドレスの設定(必須)root@SRX300# set security log mode event
root@SRX300# set system syslog host server-address any any
root@SRX300# set system syslog host server-address match RT_FLOW_SESSION
root@SRX300# set security log stream name host server-address root@SRX300# set security log source-address src-address root@SRX300# set security log mode stream