IBM Cloud Docs
ファイアウォールの処理

ファイアウォールの処理

IBM Cloud® Juniper vSRX では、セキュリティー・ゾーンの概念を使用しています。この概念では、各 vSRX インターフェースが「ゾーン」にマップされて、ステートフル・ファイアウォールが処理されます。 ステートレス・ファイアウォールは、ファイアウォール・フィルターによって制御されます。

ポリシーは、これらの定義されたゾーン間のトラフィックを許可およびブロックするために使用され、ここで定義されるルールはステートフルである。

IBM Cloud では、vSRX が 4 つの異なるセキュリティー・ゾーンを持つように設計されています。

セキュリティゾーン
ゾーン スタンドアロン・インターフェース HA インターフェース
SL-Private (タグなし) ge-0/0/0.0 or ae0.0 reth0.0
SL-Public (タグなし) ge-0/0/1.0 or ae1.0 reth1.0
Customer-Private (タグ付き) ge-0/0/0.1 or ae0.1 reth2.1
Customer-Public (タグ付き) ge-0/0/1.1 or ae1.1 reth3.1

ゾーンのポリシー

ステートフル・ファイアウォールを構成するには、以下の手順を実行します。

  1. セキュリティー・ゾーンを作成し、それぞれインターフェースを割り当てます。

    スタンドアロン・シナリオ:

    	 set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.1
	 set security zones security-zone CUSTOMER-PUBLIC interfaces ge-0/0/1.1

    高可用性のシナリオ:

    set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.1
set security zones security-zone CUSTOMER-PUBLIC interfaces reth2.1

  2. 2 種類のゾーン間のポリシーとルールを定義します。

    以下の例は、ゾーン Customer-Private から Customer-Public へのトラフィックの ping を図示しています。

    	set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP match source-address any destination-address any application junos-icmp

	set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP then permit

以下は、ポリシーで定義できる属性の一部です:

  • 送信側アドレス
  • 受信側アドレス
  • アプリケーション
  • アクション (permit/deny/reject/count/log)

これはステートフルな操作なので、リターン・パケット(この場合はエコー・リプライ)を許可する必要はない。

以下のコマンドを使用して、vSRX に向けられるトラフィックを許可します。

スタンドアロン・ケース:

set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.0 host-inbound-traffic system-services all

HA の場合:

set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.0 host-inbound-traffic system-services all

OSPF や BGP などのプロトコルを許可するには、以下のコマンドを使用します。

スタンドアロン・ケース:

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all

HA の場合:

set security zones security-zone trust interfaces reth2.0 host-inbound-traffic protocols all

ファイアウォール・フィルター

デフォルトでは、IBM Cloud® Juniper vSRX は PROTECT-IN インターフェースに lo フィルターを適用して、それ自体に対する ping、SSH、HTTPS を許可し、その他のトラフィックをすべて除去します。

新しいステートレス・ファイアウォールを構成するには、以下の手順を実行します。

  1. ファイアウォール・フィルターと term を作成します (以下のフィルターは ICMP のみを許可し、他のすべてのトラフィックをドロップします)。

    set firewall filter ALLOW-PING term ICMP from protocol icmp
set firewall filter ALLOW-PING term ICMP then accept

  2. フィルター規則をインターフェースに適用します (以下のコマンドは、フィルターをすべてのプライベート・ネットワーク・トラフィックに適用します)。

    	set interfaces ge-0/0/0 unit 0 family inet filter input ALLOW-PING