例:フローベースのウイルス対策ポリシーの設定
概要
AI予測型脅威防御では、フローベースのアンチウィルスポリシーを活用します。この例では、CLIを使用してSRXシリーズファイアウォールでフローベースのアンチウィルスポリシーを設定する方法を学習します。本書は、セキュリティ・ゾーンおよびセキュリティ・ポリシーの設定を理解していることを前提としています。 例:セキュリティ・ゾーンの作成を参照してください。
必要条件
始める前に
-
Juniperのアンチウィルスライセンスを持っていることを確認します。デバイスのライセンスを確認する方法の詳細については、「 SRXシリーズ デバイスのライセンスについて」を参照してください。ライセンス情報のサンプルを以下に示します。
License identifier: JUNOSXXXXXXXX License version: 4 Valid for device: XXXXXXXXXXXX Features: Juniper AV - Juniper Anti-virus Scan Engine date-based, 2022-10-23 17:00:00 PDT - 2022-11-23 16:00:00 PST
-
https://signatures.juniper.net/phase ジュニパーコンテンツ配信ネットワーク(CDN)サーバーは、SRXシリーズファイアウォールから到達可能である必要があります。
-
Junos OSリリース22.4R1以降を搭載したSRXシリーズファイアウォール。
位相幾何学
典型的なエンタープライズネットワークを見てみましょう。エンドユーザーが無意識のうちに侵害されたWebサイトにアクセスし、悪意のあるコンテンツをダウンロードします。このアクションにより、エンドポイントが侵害されます。エンドポイント上の有害なコンテンツは、ネットワーク内の他のホストにとっても脅威になります。悪意のあるコンテンツのダウンロードを防ぐことが重要です。
SRXシリーズのファイアウォールをフローベースのアンチウィルスとともに使用すると、ウイルス攻撃からユーザーを守り、システム内でのウィルスの拡散を防ぐことができます。フローベースのアンチウイルスは、ウイルス、トロイの木馬、ルートキット、およびその他の種類の悪意のあるコードのネットワークトラフィックをスキャンし、悪意のあるコンテンツが検出されるとすぐにブロックします。
この例では、次のプロパティを持つフローベースのウイルス対策ポリシーを作成します。
-
ポリシー名は av-policy です。
-
返された判定が 7 以上の場合、ファイルをブロックし、ログ エントリを作成します。
-
エラー状態が発生した場合は、ファイルのダウンロードを許可し、ログ エントリを作成します。
構成
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
-
ウイルス対策ポリシーを作成し、返された判定が 7 以上の場合にファイルをブロックします。
set services anti-virus policy av-policy action block set services anti-virus policy av-policy default-notification log set services anti-virus policy av-policy fallback-options notification log set services anti-virus policy av-policy http-client-notify message "test message for anti-virus flow" set services anti-virus policy av-policy notification log set services anti-virus policy av-policy verdict-threshold 7
-
既定では、ファイアウォールは 5 分ごとに CDN サーバーから署名をダウンロードします。
データベースサーバーの URL を指定することで、ウイルス定義データベースを手動で更新できます。
set services anti-virus update url https://signatures.juniper.net/phase
-
ファイアウォール ポリシーを構成し、ウイルス対策ポリシーを適用します。
set security policies from-zone trust to-zone untrust av-policy match source-address any set security policies from-zone trust to-zone untrust av-policy match destination-address any set security policies from-zone trust to-zone untrust av-policy match application any set security policies from-zone trust to-zone untrust av-policy then permit application-services anti-virus-policy av-policy
-
設定をコミットします。
commit
業績
設定モードから、 show services anti-virus policy av-policy コマンドと show configuration |display set コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
構成の結果を確認します。
show services anti-virus
update {
url https://signatures.juniper.net/phase;
automatic {
interval 5;
}
}
policy av-policy {
action block;
default-notification {
log;
}
fallback-options {
notification {
log;
}
}
http-client-notify {
message "test message for anti-virus flow";
}
notification {
log;
}
verdict-threshold 7;
}
}
検証
設定が正しく機能していることを確認するには、次の手順に従います。
現在のウイルス対策統計に関する情報の取得
目的
一部のトラフィックがSRXシリーズファイアウォールを通過した後、統計をチェックして、プロファイルとポリシー設定に従って許可、ブロックされたセッションの数などを確認します。
アクション
動作モードから、 show services anti-virus statistics コマンドを入力します。
サンプル出力
show services anti-virus statistics(サービスアンチウイルスの統計情報を表示)
show services anti-virus statistics
Anti-virus scan statistics:
Virus DB type: anti-virus
Total signatures: 11
Anti-virus DB version: 1654594666
Anti-virus DB update time: 2022-08-25 13:03:58 PDT
Total HTTP HTTPS SMTP SMTPS IMAP IMAPS SMB
File scanned: 419382 81947 177549 16067 31591 15994 31925 64309
Virus found: 290713 1613 161485 15940 31591 15994 31925 32165
Virus blocked: 290713 1613 161485 15940 31591 15994 31925 32165
Virus permitted: 0 0 0 0 0 0 0 0
意味
ウイルスが識別され、ブロックされます。