フローベースのアンチウィルスポリシーの設定
概要
典型的なエンタープライズネットワークを見てみましょう。エンドユーザーは、侵害されたWebサイトに無意識のうちにアクセスし、悪意のあるコンテンツをダウンロードします。このアクションにより、エンドポイントが侵害されます。エンドポイント上の有害なコンテンツは、ネットワーク内の他のホストにとっても脅威になります。悪意のあるコンテンツのダウンロードを防ぐことが重要です。
フローベースのアンチウィルスを備えたSRXシリーズファイアウォールを使用して、ウイルス攻撃からユーザーを保護し、ネットワーク内でのマルウェアの拡散を防ぐことができます。このフローベースのアンチウィルスは、ネットワーク トラフィックをスキャンしてウイルス、トロイの木馬、ルートキット、その他の種類の悪意のあるコードを見つけ出し、悪意のあるコンテンツが検出されるとすぐにブロックします。
次の設定では、次のプロパティを持つフローベースのウイルス対策ポリシーを作成します。
-
ファイアウォール ポリシー名は fw-av-policy です。
-
フロー アンチウィルス ポリシーは av-policy です。
-
返された判定が 7 以上の場合は、ファイルをブロックし、ログ エントリを作成します。
-
エラー状態が発生した場合は、ファイルのダウンロードを許可し、ログエントリを作成します。
必要条件
始める前に
-
セキュリティゾーンとセキュリティポリシーを設定します。詳細については、『Security Policies User Guide for Security Devices』の「例:セキュリティゾーンの作成」を参照してください。
-
ジュニパーのアンチウィルスのライセンスを所有していることを確認します。お使いのデバイスでライセンスを確認する方法について、詳しくは SRXシリーズファイアウォールのソフトウェアライセンスを参照してください。ライセンス情報の例を以下に示します。
License identifier: JUNOSXXXXXXXX License version: 4 Valid for device: XXXXXXXXXXXX Features: Juniper AV - Juniper Anti-virus Scan Engine date-based, 2022-10-23 17:00:00 PDT - 2022-11-23 16:00:00 PST
-
CDNサーバーは、SRXシリーズファイアウォールから到達可能である必要があります。Junos OS 24.2.0より前のリリースでは、ジュニパーコンテンツ配信ネットワーク(CDN)サーバーが https://signatures.juniper.net/phase である必要があります。Junos OS リリース 24.2.0 以降では、CDN サーバーが https://signatures.juniper.net/ されます。
-
Junos OS リリース 23.4R1 以降を搭載した SRXシリーズ ファイアウォール
構成
手順
以下の設定では、設定階層のさまざまなレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
-
ウイルス対策ポリシーを作成し、返された判定が 7 以上の場合はファイルをブロックします。
set services anti-virus policy av-policy action block set services anti-virus policy av-policy default-notification log set services anti-virus policy av-policy fallback-options notification log set services anti-virus policy av-policy http-client-notify message "test message for anti-virus flow" set services anti-virus policy av-policy notification log set services anti-virus policy av-policy verdict-threshold 7
- デフォルトでは、最新のアンチウィルス シグネチャ パックが 5 分ごとにジュニパーネットワークスのコンテンツ配信ネットワーク (CDN) サーバーからファイアウォールデバイスに自動的にダウンロードされます。CDN サーバーの URL を指定することで、ウイルス定義データベースを手動で更新できます。
set services anti-virus update url https://signatures.juniper.net/
set services anti-virus update automatic interval <5...60>コマンドを使用して設定をカスタマイズすることもできます。 -
ファイアウォールポリシーを設定し、ウイルス対策ポリシーを適用します。
set security policies from-zone trust to-zone untrust policy fw-av-policy match source-address any set security policies from-zone trust to-zone untrust policy fw-av-policy match destination-address any set security policies from-zone trust to-zone untrust policy fw-av-policy match application any set security policies from-zone trust to-zone untrust policy fw-av-policy match dynamic-application any set security policies from-zone trust to-zone untrust policy fw-av-policy then permit application-services anti-virus-policy av-policy
-
設定をコミットします。
commit
業績
設定モードから、 show services anti-virus policy av-policy コマンドと show configuration |display set コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、設定手順を繰り返して設定を修正します。
構成の結果を確認します。
show services anti-virus
update {
url https://signatures.juniper.net/;
}
policy av-policy {
action block;
default-notification {
log;
}
fallback-options {
notification {
log;
}
}
http-client-notify {
message "test message for anti-virus flow";
}
notification {
log;
}
verdict-threshold 7;
}
show security policies from-zone trust to-zone untrust
policy fw-av-policy {
match {
source-address any;
destination-address any;
application any;
dynamic-application any;
}
then {
permit {
application-services {
anti-virus-policy av-policy;
}
}
}
}
検証
設定が正しく機能していることを確認するには、次の手順を使用します。
現在のアンチウィルス統計情報に関する情報の取得
目的
一部のトラフィックがSRXシリーズファイアウォールを通過した後、統計情報をチェックして、プロファイルとポリシー設定に従って、許可またはブロックされたセッションの数などを確認します。
アクション
動作モードから show services anti-virus statistics コマンドを入力します。
サンプル出力
show services anti-virus statistics
show services anti-virus statistics
Anti-virus scan statistics:
Virus DB type: anti-virus
Total signatures: 11
Anti-virus DB version: 1654594666
Anti-virus DB update time: 2022-08-25 13:03:58 PDT
Total HTTP HTTPS SMTP SMTPS IMAP IMAPS SMB
File scanned: 419382 81947 177549 16067 31591 15994 31925 64309
Virus found: 290713 1613 161485 15940 31591 15994 31925 32165
Virus blocked: 290713 1613 161485 15940 31591 15994 31925 32165
Virus permitted: 0 0 0 0 0 0 0 0
意味
スキャン、識別、ブロックまたは許可されたウイルスの統計を表示します。