IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

Inst. Tech View

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート 

第40回 SRXでのポリシー設定方法 2014年8月

 つい先月、Juniper Networks社 SSG-5シリーズの一部製品の販売終了の案内が発表されていました。SSG5を長く使っているユーザも多い中、いよいよSSGの後継機種SRXへのリプレイスが待ったなしとなってきました。しかし、SSGシリーズからSRXシリーズへ移行するためには、まずはSSGシリーズとSRXシリーズのコマンドの違いを学ばなくてはなりません。

 今までのInst.Tech Viewでは、何回かに分けSSGシリーズに搭載されているScreenOSとSRXシリーズに搭載されているJunosとの違いを紹介してきましたが、今まで紹介してきたのはあくまで概要だったため、実際に使うときには心もとない情報だったと思います。

 そこで今回のInst. Tech Viewでは、SSG/NetScreenとSRXで1つの機能に注目し、実際にSRXを使ってみようと思っている方が安心して使えるようコマンドをしっかり紹介していきたいと思います。

 今回紹介するコマンドは、ポリシーを設定するコマンドで、以下にNetScreenとSRXの設定例を記載します。

※本コラムでのコマンドはあくまでも一例であり、お客様環境によっては正しく動作しない可能性がございます。あらかじめご了承ください。※

ポリシーの設定条件は以下の通りです。

ゾーンの条件:Trust to Untrust
送信元:any
宛 先:any
サービス:any
ロ グ:セッション開始時と終了時に取得

SSG/NetScreenの設定例

set policy id 1 from Trust to Untrust any any any permit log
set policy id 1
set log session-init

SRXの設定例(ポリシー名はtrust-to-untrust)

set security policies from-zone trust to-zone untrust policy
   trust-to-untrust match souce-address any
set security policies from-zone trust to-zone untrust policy
   trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy
   trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy
   trust-to-untrust then permit
set security policies from-zone trust to-zone untrust policy
   trust-to-untrust then log session-init
set security policies from-zone trust to-zone untrust policy
   trust-to-untrust then log session-close

 見ていただいてお分かりのように、SRXはSSG/NetScreenとだいぶ異なります。

  • NetScreenではポリシーをIDで識別するのに対して、SRXではポリシーに名前を設定し、その名前で識別します。
  • SRXでは、パケットの条件はfromで設定し、アクションはthenで設定します。
  • permit等のアクションや、ログを取得するためののsession-init等のパラメータはSSG/NetScreenとSRXは同じです。

 実は、これ以外にも、SSG/NetScreenではポリシーのログを確認するときはget trafficeコマンドだけでよかったですが、SRXではsyslogの設定等を設定しなければログの確認ができません。

 また、SRXには、SSG/NetScreenにはない機能で、ポリシーを使用した通信があるときに、そのポリシー自身を変更したときのセッションの挙動を変更できるpolicy-rematchコマンドがサポートされています。

 このように、SSG/NetScreenとSRXでは基本的な機能は同じなのですが、異なる部分も多くあります。

 そこでCTCテクノロジーでは、SSG/NetScreenの技術者がSRXを扱うことになったとき、SSG/NetScreenのコマンドとSRXのコマンドを対比しながら紹介することで、SSG/NetScreenの技術者がより効率的にSRXの仕組みや設定方法を習得できるような研修を提供しています。

 具体的な研修としては、SRXの基本操作からポリシーやIPsec、クラスタの設定までSRXを導入・運用するために必要な操作方法を3日間で習得する研修「JSEC」を提供しています。

■■■ コースの詳細情報 ■■■  ※価格はメルマガ配信時点の価格です。

NS22: JSEC(JUNOS for Security Platforms)
期間:3日間
価格:\210,000(税抜)

 また、SSG/NetScreenの基本操作からポリシーやIPsecの設定までNetScreen/SSGを導入・運用するために必要な操作方法を3日間で紹介する研修「CJFV」も提供しています。

■■■ コースの詳細情報 ■■■  ※価格はメルマガ配信時点の価格です。

NS11: CJFV (Configuring Juniper Networks Firewall/IPSec VPN Products)
期間:3日間
価格:\240,000(税抜)

 皆様のご受講を心よりお待ちしております。

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート