MENU
Udemyで最大90%オフの超お得セールが限定開催中!!(20-24日まで)
  1. ホーム
  2. ネットワーク
  3. Juniper
  4. 【Juniper,SRX】Policyの設定方法【CLI】

【Juniper,SRX】Policyの設定方法【CLI】

Juniper
2020年12月31日
目次

【Juniper,SRX】Policyの設定方法【CLI】

Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていきます。

設定の流れ

  1. アドレスブックがないことの確認
  2. アドレスブック(アドレスオブジェクト)の作成
  3. 作成するポリシーがないことの確認
  4. ポリシーの作成
  5. ポリシーの確認
  6. 設定の保存

アドレスブックがないことの確認

show security zones security-zone untrust address-book address google.com

作成するアドレスブックがないことを確認します。

アドレスブックの作成

set security zones security-zone untrust address-book address google.com dns-name google.com ipv4-only

アドレスブックを作成します。アドレスブック(アドレスオブジェクト)はポリシーに必要な具材です。「untrust」というゾーンに「google.com」というアドレスブックを作成してます。

jcluser@vSRX1# show security zones security-zone untrust address-book address google.com 
dns-name google.com {
    ipv4-only;
}

[edit]

↑設定が反映されていることを確認します。

作成するポリシーがないことの確認

show security policies from-zone trust to-zone untrust policy test_policy_for_google

↑サンプルとして、「trust」というゾーンから「untrust」のゾーンへの通信である「test_policy_for_google」というポリシーを例にします。このポリシーがないことを確認します。

ポリシーの作成

set security policies from-zone trust to-zone untrust policy test_policy_for_google match source-address any
set security policies from-zone trust to-zone untrust policy test_policy_for_google match destination-address google.com
set security policies from-zone trust to-zone untrust policy test_policy_for_google match application junos-https
set security policies from-zone trust to-zone untrust policy test_policy_for_google then permit

ポリシー「test_policy_for_google」を作成します。
サンプルとして、送信元IPアドレスがany、宛先IPアドレスが「google.com」、アプリケーションがhttpsであった場合、許可するポリシーになります。
アプリケーションはデフォルトでほとんど用意されているので、それを利用しています。
デフォルトアプリケーションの確認は↓を参考にどうぞ!

あわせて読みたい
【Juniper,SRX】デフォルトアプリケーションの確認方法【CLI】 【【Juniper,SRX】デフォルトアプリケーションの確認方法【CLI】】 Juniper SRXでPolicyを作成する際に、applicationを指定する必要があります。一般的なアプリケーショ...

ポリシーの確認

jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google 
match {
    source-address any;
    destination-address google.com;
    application junos-https;
}
then {
    permit;
}

[edit]

ポリシーの設定が正しく反映できていることを確認します。
必要であればポリシーに引っかかっているかカウンターで確認すると尚良いです。
ポリシーカウンターの確認は↓を参考にどうぞ!

あわせて読みたい
【Juniper,SRX】ポリシーカウンターの確認方法【CLI】 【【Juniper,SRX】ポリシーカウンターの確認方法【CLI】】 Juniper SRXでPolicyを作成したものも、ちゃんとポリシーに引っかかってカウンターが上がっているかを確認し...

設定の保存

show | compare
commit check
commit and-quit

まとめ

最後にまとめになります!

  • ポリシーを作成する前に、必要であればアドレスブック(アドレスオブジェクト)を作成する

以上!

あわせて読みたい
【Juniper,SRX】Policyの削除方法【CLI】 【【Juniper,SRX】Policyの削除方法【CLI】】 Juniper SRXでPolicyを削除するCLI設定コマンドをまとめていきます。 今回はポリシーと同時に関連づけているアドレスブッ...
あわせて読みたい
【Juniper,SRX】Policyをdeactivate(無効化)する設定方法【CLI】 【【Juniper,SRX】Policyをdeactivateする設定方法【CLI】】 暫定的にポリシーを無効化したい、けれどもポリシーは削除したくないという時があると思います。その際に、...
Juniper
Juniper SRX
目次