SRX ポリシー(ACL)、アドレスブックの設定方法・showコマンドを紹介【Junos, Juniper】

本記事ではSRXのセキュリティポリシー設定及び正常性確認の検証結果をご紹介させて頂きます。

▼ あなたにオススメな記事 ▼

>>参考記事: CCIEが語る!ネットワークエンジニアにオススメな本・参考書!
>>参考記事: [まとめ] Juniper/Junosの検証結果を記事にまとめました!

【ポリシー 検証】検証内容


まず最初に検証内容の以下にまとめました。

ネットワーク図

検証時のネットワーク環境は以下の通りです。

設定要件

以下の要件に基づきポリシーの設定を実施します。

  • TrustゾーンからUntrustゾーン(192.168.100.1)へのPing通信を許可する
  • Untrustゾーンからの通信はSRX向けのPing通信以外は許可しない

【ポリシー 検証】設定作業


それでは、ポリシーの設定を進めてみましょう!


ポリシーの設定は以下の順序で設定することが可能です。

▼ ポリシーの設定方法 ▼

  1. セキュリティゾーンの設定
  2. Address-bookの設定
  3. ポリシーの設定

手順1 : セキュリティゾーンの設定

セキュリティゾーンの設定は「set security zones security-zoneコマンド」にて設定可能です。
今回はge-0/0/1をtrustゾーン、ge-0/0/2はuntrustゾーン(srxへのpingは許可)として設定します。

手順2 : Address-bookの設定

Address-bookの設定は「set security address-bookコマンド」にて設定可能です。
今回は2つのAddress-bookを作成します。
・ TrustNetwork : 192.168.10.0/24
・ UnrustNetwork : 192.168.100.1/32

手順3 : ポリシーの設定

ポリシーの設定は「set security policiesコマンド」にて設定可能です。
今回はTrustゾーンからUntrustゾーン(192.168.100.1)へのPing通信を許可する設定を実施します。

【ポリシー 検証】正常性確認


では、正常性確認してみましょう!

セキュリティゾーン 正常性確認

まずは「show security zones」コマンドでゾーン設定を確認してみましょう!

show security zones の確認結果

実際のログは以下の通りです。
ge-0/0/1がtrustゾーン、ge-0/0/2がuntrustゾーンとして設定されている事を確認しましょう。

ポリシー 正常性確認

次に「show security policies」コマンドでポリシー設定を確認してみましょう!

show security policies の確認結果

実際のログは以下の通りです。
今回作成した新規ポリシー(PING,ALL_DROP)が作成されている事を確認しましょう。

【ポリシー 検証】疎通試験


では、疎通試験をしてみましょう!

疎通試験① trustゾーン(192.168.10.1) → untrustゾーン(192.168.100.1)へのPing

まずは「clear security policies hit-countコマンド」にて、ポリシーカウンターをリセットしましょう!



では、クライアント端末(192.168.10.1)からuntrustゾーン(192.168.100.1)へPingを打ちましょう!



しっかり通信が出来ていることが分かりますね!
それではヒットカウントも確認したいと思います。



今回作成した許可ポリシー(PING)のカウンターがUPしていることを確認できますね!
最後に「show security flow sessionコマンド」でセッション情報も確認しておきましょう!

疎通試験② untrustゾーン(192.168.100.1) → trustゾーン(192.168.10.1)へのPing

まずは「clear security policies hit-countコマンド」にて、ポリシーカウンターをリセットしましょう!



では、untrustゾーンのクライアント端末(192.168.100.1)からtrustゾーンのクライアント端末(192.168.10.1)へPingを打ちましょう!



untrustゾーン発の通信の場合は、出来ない事が分かりますね!
それではヒットカウントも確認したいと思います。



今回作成した許可ポリシー(ALL_DROP)のカウンターがUPしていることを確認できますね!

疎通試験③ untrustゾーン(192.168.100.1) → SRX(192.168.109.254)へのPing

untrustゾーンのクライアント端末(192.168.100.1)からSRX(192.168.109.254)へPingを打ちましょう!



今回は「host-inbound-traffic system-services pingオプション」を有効化しているので、Pingが通る事が分かりますね!

Junosの勉強方法


では最後にJunosの勉強方法について紹介いたします。


Juniper機器は通信プロバイダーなどのミッションクリティカルが環境で多く導入されております。


その為、Junosを勉強すると、大規模なネットワークへ関わるチャンスが増えます!
Junosの勉強は以下の参考書で勉強を進めましょう!!


以下のアマゾンリンクから内容の詳細(価格/評価等)が確認出来ますので、ぜひ確認してみて下さいね!

はじめてのJUNOS
created by Rinker

Junos設定&管理 完全Bible
created by Rinker

まとめ


最後までお読み頂きましてありがとうございます。


Juniperに関する記事は以下にまとめております。
ご興味のある方は是非ご覧ください。

▼ あなたにオススメな記事 ▼

>>参考記事: [まとめ] Juniper/Junosの検証結果を記事にまとめました!
>>参考記事: 業務で役立つshow、clear、requestコマンドを紹介!