ファイアウォールの処理
IBM Cloud® Juniper vSRX では、セキュリティー・ゾーンの概念を使用しています。この概念では、各 vSRX インターフェースが「ゾーン」にマップされて、ステートフル・ファイアウォールが処理されます。 ステートレス・ファイアウォールは、ファイアウォール・フィルターによって制御されます。
ポリシーは、これらの定義されたゾーン間のトラフィックを許可およびブロックするために使用され、ここで定義されるルールはステートフルである。
IBM Cloud では、vSRX が 4 つの異なるセキュリティー・ゾーンを持つように設計されています。
ゾーン | スタンドアロン・インターフェース | HA インターフェース |
---|---|---|
SL-Private (タグなし) | ge-0/0/0.0 or ae0.0 | reth0.0 |
SL-Public (タグなし) | ge-0/0/1.0 or ae1.0 | reth1.0 |
Customer-Private (タグ付き) | ge-0/0/0.1 or ae0.1 | reth2.1 |
Customer-Public (タグ付き) | ge-0/0/1.1 or ae1.1 | reth3.1 |
ゾーンのポリシー
ステートフル・ファイアウォールを構成するには、以下の手順を実行します。
-
セキュリティー・ゾーンを作成し、それぞれインターフェースを割り当てます。
スタンドアロン・シナリオ:
set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.1 set security zones security-zone CUSTOMER-PUBLIC interfaces ge-0/0/1.1
高可用性のシナリオ:
set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.1 set security zones security-zone CUSTOMER-PUBLIC interfaces reth2.1
-
2 種類のゾーン間のポリシーとルールを定義します。
以下の例は、ゾーン
Customer-Private
からCustomer-Public
へのトラフィックの ping を図示しています。set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP match source-address any destination-address any application junos-icmp set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP then permit
以下は、ポリシーで定義できる属性の一部です:
- 送信側アドレス
- 受信側アドレス
- アプリケーション
- アクション (permit/deny/reject/count/log)
これはステートフルな操作なので、リターン・パケット(この場合はエコー・リプライ)を許可する必要はない。
以下のコマンドを使用して、vSRX に向けられるトラフィックを許可します。
スタンドアロン・ケース:
set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.0 host-inbound-traffic system-services all
HA の場合:
set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.0 host-inbound-traffic system-services all
OSPF や BGP などのプロトコルを許可するには、以下のコマンドを使用します。
スタンドアロン・ケース:
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all
HA の場合:
set security zones security-zone trust interfaces reth2.0 host-inbound-traffic protocols all
ファイアウォール・フィルター
デフォルトでは、IBM Cloud® Juniper vSRX は PROTECT-IN
インターフェースに lo
フィルターを適用して、それ自体に対する ping、SSH、HTTPS を許可し、その他のトラフィックをすべて除去します。
新しいステートレス・ファイアウォールを構成するには、以下の手順を実行します。
-
ファイアウォール・フィルターと term を作成します (以下のフィルターは ICMP のみを許可し、他のすべてのトラフィックをドロップします)。
set firewall filter ALLOW-PING term ICMP from protocol icmp set firewall filter ALLOW-PING term ICMP then accept
-
フィルター規則をインターフェースに適用します (以下のコマンドは、フィルターをすべてのプライベート・ネットワーク・トラフィックに適用します)。
set interfaces ge-0/0/0 unit 0 family inet filter input ALLOW-PING