Q&A
juniperのSRXでuntrustとtrustのCONFIG作成で教えてください。
① アドレスブックの作成
set security address-book TRUST-NW address NW1 192.168.10.0/24
② ゾーンへの割り当て
# set security address-book TRUST-NW attach zone TRUST
③ ポリシーへの割り当て
edit security policies from-zone TRUST to-zone UNTRUST
set policy policy-name match source-address the address in address book | any
set policy policy-name match destination-address the address in address book | any
set policy policy-name match application default application | any
set policy policy-name then permit | deny | reject | log | count
などの設定がありますが社内から外にはANYでもいけますが
インテネット側からの制限をどの様にさくせいするかどの様な方法がよいかご教授ください。
回答1件
1
ベストアンサー
インターネット側からの通信は基本遮断かと思います。
従いましてUntrust → Trust はdenyとし、証跡としてlogを取得しておくのが良いと考えます。
※ただし、サイト固有の通信があるのであれば開放定義する必要があります。
TrustからUntrustの通信で始まる帰りの通信についてはjuniper機器ではデフォルトでステートフルインスペクションが有効になっているので考慮する必要はないと思いますが、使用している機器において該当機能が有効になっていない場合は有効にする必要があります。
投稿2021/12/20 05:25
総合スコア4302
良いと思った回答にはグッドを送りましょう。
グッドが多くついた回答ほどページの上位に表示されるので、他の人が素晴らしい回答を見つけやすくなります。
下記のような回答は推奨されていません。
このような回答には修正を依頼しましょう。