ATP Applianceと統合するためのSRXシリーズファイアウォールIMAPメールポリシーを設定する
IMAP 電子メール管理には、ATP Applianceの設定ページはありません。SMTPと同様に、アクションはSRXシリーズファイアウォール上のCLIコマンドで定義されます。
IMAP では、デフォルトのプロファイルが SRX シリーズ ファイアウォールに送信され、悪意のある添付ファイルが見つからない限り、すべての添付ファイルがスキャンされて許可されます。
以下に示すのは、プロファイル profile2
でアドレス指定された電子メールの添付ファイルを含むポリシーの例です。
user@host# show services advanced-anti-malware ... policy policy1 { http { inspection-profile default_profile; # Global profile action permit; } imap { inspection-profile profile2; # Profile2 applies to IMAP email notification { log; } } verdict-threshold 8; # Globally, a score of 8 and above indicate possible malware fallback-options { action permit; notification { log; } } default-notification { log; } whitelist-notification { log; } blacklist-notification { log; } fallback-options { action permit; # default is permit and no log. notification log; } } ...
上記の例では、電子メール プロファイル (profile2) は次のようになります。
user@host> show services advanced-anti-malware profile Advanced anti-malware inspection profile: Profile Name: profile2 version: 1443769434 disabled_file_types: { application/x-pdfa: [pdfa], application/pdf: [pdfa], application/mbox: [] }, disabled_categories: [java, script, documents, code], category_thresholds: [ { category: executable, min_size: 512, max_size: 1048576 }, { category: library, min_size: 4096, max_size: 1048576 }]
ファイアウォールポリシーは以前と同様です。AAMW ポリシーは、信頼ゾーンから信頼解除ゾーンに配置されます。以下の例を参照してください。
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { advanced-anti-malware-policy policy1; ssl-proxy { profile-name ssl-proxy1; } } } } } }
以下に示すのは、 show services advanced-anti-malware policy
CLI コマンドを使用した別の例です。この例では、8 以上の判定スコアはマルウェアを示します。
user@root> show services advanced-anti-malware policy Advanced-anti-malware configuration: Policy Name: policy1 Default-notification : Log Whitelist-notification: No Log Blacklist-notification: No Log Fallback options: Action: permit Notification: Log Protocol: HTTP Verdict-threshold: recommended (7) Action: block Notification: No Log Inspection-profile: default Protocol: SMTP Verdict-threshold: recommended (7) Action: User-Defined-in-Cloud (permit) Notification: Log Inspection-profile: default Protocol: IMAP Verdict-threshold: recommended (7) Action: User-Defined-in-Cloud (permit) Notification: Log Inspection-profile: test
オプションで、サーバー保護とクライアント保護用にそれぞれフォワードプロキシとリバースプロキシを設定できます。たとえば、IMAP を使用している場合は、リバース プロキシを構成できます。リバースプロキシの設定の詳細については、SRXシリーズのマニュアルを参照してください。
# show services ssl initiation { # for cloud connection profile srx_to_jatp_tls_profile_name { trusted-ca jatp-secintel-ca; client-certificate jatp-srx-cert; } } proxy { profile ssl-client-protection { # for forward proxy root-ca ssl-inspect-ca; actions { ignore-server-auth-failure; log { all; } } } profile ssl-server-protection { # for reverse proxy server-certificate ssl-server-protection; actions { log { all; } } } }
CLI コマンドを使用して、 show services advanced-anti-malware statistics
電子メール管理に関する統計情報を表示します。
user@host> show services advanced-anti-malware statistics Advanced-anti-malware session statistics: Session interested: 3291750 Session ignored: 52173 Session hit blacklist: 0 Session hit whitelist: 0 Total HTTP HTTPS SMTP SMTPS IMAP IMAPS Session active: 52318 0 0 52318 0 0 0 Session blocked: 0 0 0 0 0 0 0 Session permitted: 1354706 0 0 1354706 0 0 0 Advanced-anti-malware file statistics: Total HTTP HTTPS SMTP SMTPS IMAP IMAPS File submission success: 83134 0 0 83134 0 0 0 File submission failure: 9679 0 0 9679 0 0 0 File submission not needed: 86104 0 0 86104 0 0 0 File verdict meets threshold: 65732 0 0 65732 0 0 0 File verdict under threshold: 16223 0 0 16223 0 0 0 File fallback blocked: 0 0 0 0 0 0 0 File fallback permitted: 4512 0 0 4512 0 0 0 File hit submission limit: 0 0 0 0 0 0 0 Advanced-anti-malware email statistics: Total SMTP SMTPS IMAP IMAPS Email processed: 345794 345794 0 0 0 Email permitted: 42722 42722 0 0 0 Email tag-and-delivered: 0 0 0 0 0 Email fallback blocked: 0 0 0 0 0 Email fallback permitted: 29580 29580 0 0 0 Email hit whitelist: 0 0 0 0 0 Email hit blacklist: 0 0 0 0 0
以前と同様に、トラブルシューティングを行う際には、CLI コマンドを使用して上記の clear services advanced-anti-malware statistics
統計情報をクリアします。
デバッグのために、IMAP トレース オプションを設定することもできます。
user@host# set services advanced-anti-malware traceoptions flag imap
IMAP 脅威防御ポリシーを設定する前に、次の操作を実行できます。
(オプション)ATP Appliance UIで ファイルタイププロファイル を作成して、スキャンする電子メールの添付ファイルタイプを指定します。または、既定のプロファイルを使用することもできます。
次の手順は、最小構成を示しています。SRXシリーズファイアウォールでCLIを使用してIMAPの脅威防御ポリシーを設定するには、次の手順に従います。