宛先サーバーまたはイベントコレクターと、任意のファシリティーお よびシビリティーを設定します。

[edit]

root# set system syslog host 10.189.132.70 source-address 10.189.140.99 [edit]

root# set system syslog host 10.189.132.70 any any

注

source-address

は何でも構いませんが、ループバックインタフェー

スの

IP

アドレス、またはイベントの出力インタフェースのアドレスを 指定することをお奨めします。そうすると、ログファイルを読み取ったり、

解析したりする際に一貫性を保つことができます。

また、^anyという値は、「任意のファシリティーおよびシビリティーの値」

を指定するために使用しました。具体的な値とその意味については、

RFC5424：http://tools.ietf.org/search/rfc5424#section-6.2.1

を参照してください。Junosの場合は、ホスト

IP

を入力してから

Tab

を押すだけで、指定可能なファシリティーとシビリティーのリスト が表示されます。

ブランチ

SRX

デバイスでここに記載した設定例に従っている場合は、

工場出荷時のシステムの

syslog

設定はどうなっているのか疑問に思 う方もいるかもしれません。その場合は、付録の「SRXの工場出荷

時のデフォルト設定」のセクションを参照してください。

第5章：ネットワークとシステム管理の設定 51

Junos

では、フラッシュメモリに保存されているファイルへのロギング

が可能ですが、この方法に任意のイベントを選択して外部ロギングを 組み合わせたり、すべてのロギングを外部デバイスに送信することも できます。このような柔軟性は、特定のイベントを特定のサーバーに 送信する必要がある場合に大きなメリットとなります。

工場出荷時の設定でも、

Junos

には、ローカルロギングに使用するファ イルの数やサイズを減らすためのノブがあるため、ストレージメモリ が一杯になる心配は無用です。次の例は、ローカルファイルと

FTP

を組み合わせてロギングし、認証イベントを複数の異なる

syslog

サー バーにロギングする場合を示しています。

[edit system syslog]

root# show

archive size 100k files 3;

host 10.189.132.70 { authorization warning;

}

host 10.189.132.72 { ftp info;

}

file messages { any critical;

authorization info;

}

file interactive-commands { interactive-commands error;

}

内部ログは、次のコマンドを使用するといつでも確認できます。

root> show log [filename]

ログは単純なテキストファイルであるため、何かを検索するときは、

パターンマッチングまたは

Junos

のその他の検索オプションを使用し て、検索範囲を絞り込むことができます。

最後に、外部ログは、ターゲットサーバー、またはグラフィカルコンソー ル（使用可能な場合）経由で参照できる必要があります。

第 6 章

基本的なセキュリティポリシーの作成

ゾーンについて . . . 55

アドレスブックの設定

. . . 56

サービスの設定

. . . 58

セキュリティポリシーの設定. . . 59

セキュリティポリシーの検証. . . 62

セキュリティイベントのロギング . . . .64

セキュリティポリシーは、SRXサービス・ゲートウェイプラットフォー ムのすべてのファイアウォール機能の中核となるものです。デフォルト では、宛先アドレスにかかわらず、インタフェースを通るどのトラフィッ クもブロックされます。これはデフォルトで想定されたとおりの動作で あり、セキュリティポリシーを使用して許可しない限り、どのトラフィッ クも

SRX

の通過を許可されません。

注 ただし、このトラフィックをブロックするルールは、fxp0（管理）イン タフェースを行き来するトラフィックには適用されません。このインタ フェースが例外とされるのは、これがデバイスのコントロールプレー ンに存在し、ユーザーデータトラフィックには使用できないからです。

ポリシー設定では、IF-THEN-ELSEアルゴリズムを使用します。もし トラフィック

X

が条件に一致すると（IF）、その場合はアクション

Y

が 実行され（THEN）、さもなければデフォルト動作でパケットがドロッ プされます（

ELSE

）。

トラフィックのマッチング（IFステートメント）では、パケットの次の

5

つのパラメータを確認します。

„

送信元ゾーン：設定中の

SRX

の観点から作成された、事前定 義またはカスタムのゾーン。

„

送信元

IP

：ホスト

IP

またはサブネットを記述した

IP

アドレスま たはアドレスブック。選択した送信元は、送信元ゾーンと合致す る必要があります。

„

宛先ゾーン：設定中の

SRX

の観点から作成された、事前定義 またはカスタムのゾーン。

„

宛先

IP

：ホスト

IP

またはサブネットを記述した

IP

アドレスまた はアドレスブック。選択した宛先は、宛先ゾーンと合致する必要 があります。

„

アプリケーション：送信元

/

宛先ポート、使用するプロトコル、タ イムアウト値を定義する、事前定義またはカスタムのサービス。

入力パケットが上記の

5

パラメータすべてに合致する場合は、以下の アクション（THENステートメント）によって、このパケットまたは同 じパラメータの組み合わせに合致するその他のパケットの処理が定義 されます。

„ deny

：パケットをドロップします（サイレント）。

„ reject：パケットをドロップして、トラフィックの送信元に

TCP-Reset

を送信します。

„ permit：パケットを許可します。

„ log：合致するパケットのログエントリーを作成するように SRX

に指示します。

„ count

：セッションごとにアカウンティング情報を提供します。

第6章：基本的なセキュリティポリシーの作成 55

さまざまな

SRX

デバイスで、数十個、または数千〜数万個ものポリ シーを設定できます（この数はプラットフォームによって異なります）。

いずれかのデバイスで受信されたパケットは、前述した

5

パラメータ すべてに合致するまで、トップダウン方式でセキュリティポリシーと照 合されます。合致するパラメータが見つかった場合、SRXでは、こ れらのパケットに関して指示されている処理を行い、残りのポリシー の評価を停止します。評価プロセスが最後のポリシーに達しても合致 がない場合（ELSEステートメント）は、ファイアウォールのデフォル トのアクションである

deny-all

が適用されます。

ファイアウォールポリシーの評価はトップダウン方式で連続して行わ れるため、通常は、最も具体的なルールをリストの一番上に配置し、

最も一般的なポリシーを一番下に配置します。これを怠ると、より具 体的な合致条件が、より一般的な条件の陰に隠れてしまう場合があり ます。

例を使用して、これらすべてを実践に移しましょう（ここでも、本書の トポロジーの図

2.2

を参照して、

SRX3400

の次の要件について完 全に理解してください）。いつもどおりに、まず立ち止まってこれから 何をするのか考えてから、設定を開始しましょう。

„

「admins」ゾーンのホストから、「untrust」ゾーン内の宛先へ のトラフィックをすべて許可します。

„

「

admins

」ゾーンのホストから、同じゾーンの他のホストへの

カスタムトラフィックを許可します。

„

「

untrust

」ゾーンから、「

admins

」ゾーンへのトラフィックをす べて拒否します。

ゾーンについて

復習すると、ゾーンとは、セキュリティ要件が類似しているインタフェー スをグループ化するために使用する論理的な入れ物です（図

2.1

を参 照）。例えば、組織内に人事（Human Resources）部門がある場 合、

HR

に割り当てられているすべてのファイアウォールポートを「HR」

ゾーンにバインドできます。財務（Finance）で使用されているファ イアウォールインタフェースはすべて、「Finance」ゾーンにバインド でき、その他も同様です。ゾーン名は、ローカルで意味を持つ、最 も分かりやすい名前にすることができます。

ヒント マネージドサービスや複数のグループを含む大規模な環境で作業を している場合は、体系化された命名規則を使用することをお奨めしま す。これがファイアウォールで生成されるロギングに反映され、トラ ブルシューティングやアカウンティングの作業が簡潔かつ明瞭になる からです。

SRX

には、junos-globlalという事前に定義されたセキュリティゾー ンがあり、これは変更できません。さらに、ブランチ

SRX

アプライア ンスの工場出荷時のデフォルト設定には、

trust

と

untrust

の

2

つの ゾーンが追加で含まれています。これら

2

つのゾーンは変更可能で、

削除することもできます。

「admins」ゾーンと「untrust」ゾーンは存在しないため、これらを作 成し、対応するインタフェースをそれぞれに割り当てる必要があります。

本書の最初から手順に従って作業をしている場合は、第

3

章でゾーン とインタフェースを設定済みです。出力は次のようになります。

[edit security]

root# show zones {

security-zone untrust { host-inbound-traffic { system-services { ssh;

ftp;

telnet;

ping;

} }

interfaces { ge-0/0/1.0;

ge-0/0/2.0;

} }

security-zone admins { interfaces { ge-0/0/0.0;

} } }

さらに、他のコマンドを使用して、使用可能なゾーンを追加で出力で きます。show security zones ?コマンドで、確認してみてください。

アドレスブックの設定

アドレスブックは、IPアドレスまたはプレフィックスに付けられる名前 です。使用する名前はローカルで意味を持つため、ゾーン名と同様に、

大規模な環境で数百個のゾーンを処理する場合は、任意の命名規則 により体系化するとよいでしょう。

ドキュメント内 Junos Day One SRX 1 SRX NAT SRX NSM (ページ 50-60)