ゾーンの設定

動作確認バージョン: vSRX Version15.1X49-D105.1, vSRX Version19.2R1.8

vSRX は、ステートフルファイアウォール動作が可能です。ステートフルファイアウォール動作させるためには、ゾーンベースファイアウォール設定が必要になります。

ゾーンベースファイアウォール とは
ファイアウォールに論理的に「ゾーン」と呼ばれる領域を作成し、インターフェイスをゾーン所属させます。受信パケットに必要なポリシーをゾーンごとに設定するため、ゾーンに属するインターフェイスに対して同一のポリシーを適用させることが可能になります。

注釈

利用開始時に trustuntrust という名前のゾーンが定義されています。
vSRX では、管理ポート(fxp0)を除く利用するインターフェイスは、必ずゾーンに所属している必要があります。

インターフェイスを1つのゾーンに所属させる設定

ファイアウォールのインターフェイスを各ゾーンに所属させるための設定をします。

サンプル設定のシナリオ

  • インターフェイス(ge-0/0/0)を trust ゾーンに所属させたい
  • インターフェイス(ge-0/0/1)を untrust ゾーンに所属させたい

CLIにて入力するコマンド

user01@vSRX-02# set security zones security-zone trust interfaces ge-0/0/0.0
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/1.0

注釈

この設定例では、ゾーンに設定したインターフェイスで各種プロトコルや管理用通信を受け付けるための設定として host-inbound-traffic 設定にて許可する設定をしています。こちらはご利用の環境で必要に応じて設定お願い致します。

正しく設定が完了したときのコンフィグレーションは次のとおりです。

security {
   zones {
      security-zone trust {
          host-inbound-traffic {
              system-services {
                   all;
              }
              protocols {
                   all;
              }
          }
          interfaces {
              ge-0/0/0.0;
          }
      }
      security-zone untrust {
          host-inbound-traffic {
              system-services {
                   all;
               }
               protocols {
                   all;
               }
           }
           interfaces {
               ge-0/0/1.0;
           }
      }
   }
}

以下の確認結果より、trustゾーンにge-0/0/0.0 untrustゾーンにge-0/0/1.0 のインターフェイスが所属していることが確認できました。

user01@vSRX-02> show security zones

Security zone: trust
  Send reset for non-SYN session TCP packets: On
  Policy configurable: Yes
  Interfaces bound: 1
  Interfaces:
    ge-0/0/0.0

Security zone: untrust
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Screen: untrust-screen
  Interfaces bound: 1
  Interfaces:
    ge-0/0/1.0

Security zone: junos-host
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 0
  Interfaces:

複数のインターフェイスを1つのゾーンに所属させる設定

ファイアウォールの複数のインターフェイスをゾーンに所属させるための設定をします。

サンプル設定のシナリオ

  • インターフェイス(ge-0/0/0)を trust ゾーンに所属させたい
  • インターフェイス(ge-0/0/1)を untrust ゾーンに所属させたい
  • インターフェイス(ge-0/0/2)を untrust ゾーンに所属させたい

CLIにて入力するコマンド

user01@vSRX-02# set security zones security-zone trust interfaces ge-0/0/0.0
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/1.0
user01@vSRX-02# set security zones security-zone untrust interfaces ge-0/0/2.0

注釈

この設定例では、ゾーンに設定したインターフェイスで各種プロトコルや管理用通信を受け付けるための設定として host-inbound-traffic 設定にて許可する設定をしています。こちらはご利用の環境で必要に応じて設定お願い致します。

正しく設定が完了したときのコンフィグレーションは次のとおりです。

security {
   zones {
      security-zone trust {
          host-inbound-traffic {
              system-services {
                   all;
              }
              protocols {
                   all;
              }
          }
          interfaces {
              ge-0/0/0.0;
          }
      }
      security-zone untrust {
          host-inbound-traffic {
              system-services {
                   all;
               }
               protocols {
                   all;
               }
           }
           interfaces {
               ge-0/0/1.0;
               ge-0/0/2.0;
           }
      }
   }
}

以下の確認結果より、trustゾーンにge-0/0/0.0 untrustゾーンにge-0/0/1.0,ge-0/0/2.0 のインターフェイスが所属していることが確認できました。

user01@vSRX-02> show security zones

Security zone: trust
  Send reset for non-SYN session TCP packets: On
  Policy configurable: Yes
  Interfaces bound: 1
  Interfaces:
    ge-0/0/0.0

Security zone: untrust
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Screen: untrust-screen
  Interfaces bound: 2
  Interfaces:
    ge-0/0/1.0
    ge-0/0/2.0

Security zone: junos-host
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 0
  Interfaces: