フローベースのアンチウィルスポリシーを設定する
概要
典型的なエンタープライズネットワークを見てみましょう。エンドユーザーが知らず知らずのうちに侵害されたWebサイトにアクセスし、悪意のあるコンテンツをダウンロードします。このアクションにより、エンドポイントが侵害されます。エンドポイント上の有害なコンテンツは、ネットワーク内の他のホストにとっても脅威になります。悪意のあるコンテンツのダウンロードを防ぐことが重要です。
フローベースのアンチウィルスを備えたSRXシリーズファイアウォールを使用して、ユーザーをウイルス攻撃から保護し、ネットワーク内のマルウェアの拡散を防ぐことができます。フローベースのアンチウィルスがネットワークトラフィックをスキャンし、ウイルス、トロイの木馬、ルートキット、その他のタイプの悪意のあるコードがないか、検出された時点で悪意のあるコンテンツを即座にブロックします。
以下の設定では、以下のプロパティを持つフローベースのアンチウィルスポリシーを作成します。
-
ファイアウォールポリシー名はfirewall-av-policyです。
-
フローアンチウィルスポリシーはav-policyです。
-
返された判定が7以上の場合、いずれかのファイルをブロックし、ログエントリを作成します。
-
エラー状態がある場合は、ファイルのダウンロードを許可し、ログエントリを作成します。
要件
始める前に
-
セキュリティゾーンとセキュリティポリシーを設定します。詳細については、セキュリティデバイス向けセキュリティポリシーユーザーガイドの例:セキュリティゾーンの作成を参照してください。
-
有効なジュニパーライセンスがあることを確認してください。AI予測による脅威防止のライセンス情報については、 SRXシリーズファイアウォールのソフトウェアライセンスを参照してください。
-
CDNサーバーは、SRXシリーズファイアウォールから到達可能である必要があります。Junos OS 24.2R1より前のリリースでは、ジュニパーコンテンツ配信ネットワーク(CDN)サーバーを https://signatures.juniper.net/phase する必要があります。Junos OS Release 24.2R1以降では、CDNサーバーが https://signatures.juniper.net/ されます。
-
Junos OSリリース23.4R1以降を搭載したSRXシリーズファイアウォール
設定
ステップバイステップの手順
以下の設定では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、『 Junos OS CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
-
アンチウィルスポリシーを作成し、返された判定が7以上の場合にファイルをブロックします。
set services anti-virus policy av-policy action block set services anti-virus policy av-policy default-notification log set services anti-virus policy av-policy fallback-options notification log set services anti-virus policy av-policy http-client-notify message "test message for anti-virus flow" set services anti-virus policy av-policy notification log set services anti-virus policy av-policy verdict-threshold 7
- デフォルトでは、最新のアンチウィルスシグネチャパックが、ジュニパーネットワークスのコンテンツ配信ネットワーク(CDN)サーバーから5分ごとにファイアウォールデバイスに自動的にダウンロードされます。CDNサーバーのURLを指定することで、ウイルスシグネチャデータベースを手動で更新できます。
set services anti-virus update url https://signatures.juniper.net/
set services anti-virus update automatic interval <5...60>コマンドを使用して設定をカスタマイズすることもできます。注:プロキシプロファイルを使用して、アンチウイルスパターンの更新プロセスを実行します。
[edit]user@host# set services anti-virus update proxy-profile proxy_name -
ファイアウォールポリシーを設定し、アンチウィルスポリシーを適用します。
set security policies from-zone trust to-zone untrust policy fw-av-policy match source-address any set security policies from-zone trust to-zone untrust policy fw-av-policy match destination-address any set security policies from-zone trust to-zone untrust policy fw-av-policy match application any set security policies from-zone trust to-zone untrust policy fw-av-policy match dynamic-application any set security policies from-zone trust to-zone untrust policy fw-av-policy then permit application-services anti-virus-policy av-policy
-
設定をコミットします。
commit
許可リストページのAI-PTPタブを使用して、許可リスト内のAI-PTPシグネチャを追加、置換、マージ、または削除できます。誤検知として識別されたファイルシグネチャを許可リストに追加できます。このプロセスでは、SRXシリーズファイアウォールが実行するマルウェア検査から指定されたシグネチャが除外されます。詳細については、「 許可リストとブロックリストの作成」を参照してください。
SRXシリーズファイアウォールの許可リストに追加されたアンチウィルスシグネチャのリストを表示するには、CLIコマンド show services anti-virus signature-exempt-listを使用します。
Anti-virus Signature Exempt List: C1994069136041805794 J5381964424818232941 J12111449344962437113 J4660909146742838820 Total exempt signatures: 4
SRXシリーズファイアウォール上のファイル署名許可リストをクリアするには、 clear services anti-virus signature-exempt-listコマンドCLIを使用します。
また、SRXシリーズファイアウォールで以下のCLIコマンドを実行して、ファイルシグネチャを追加、削除、エクスポート、インポートすることもできます。
-
request services anti-virus signature-exempt-list add <signature-id>—SRXシリーズファイアウォールにファイルシグネチャIDを追加します。例えば、request services anti-virus signature-exempt-list add J4660909146742838820です。 -
request services anti-virus signature-exempt-list delete <signature-id>—SRXシリーズファイアウォール上のファイルシグネチャIDを削除します。例えば、request services anti-virus signature-exempt-list delete J4660909146742838820です。 -
request services anti-virus signature-exempt-list import <txt-file-with-signature-ids>—SRXシリーズファイアウォール上のシグネチャIDを含むTXTファイルをインポートします。例えば、request services anti-virus signature-exempt-list import /var/tmp/av-exempt-list.txtです。 -
request services anti-virus signature-exempt-list export <txt-file-with-signature-ids>—SRXシリーズファイアウォールからシグネチャIDを含むTXTファイルをエクスポートします。例えば、request services anti-virus signature-exempt-list export /var/tmp/av-exempt-list.txtです。
結果
設定モードから、 show services anti-virus policy av-policy および show configuration |display set コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、設定手順を繰り返して修正します。
設定の結果を確認します。
show services anti-virus
update {
url https://signatures.juniper.net/;
}
policy av-policy {
action block;
default-notification {
log;
}
fallback-options {
notification {
log;
}
}
http-client-notify {
message "test message for anti-virus flow";
}
notification {
log;
}
verdict-threshold 7;
}
show security policies from-zone trust to-zone untrust
policy fw-av-policy {
match {
source-address any;
destination-address any;
application any;
dynamic-application any;
}
then {
permit {
application-services {
anti-virus-policy av-policy;
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下の手順を使用します。
現在のアンチウィルス統計に関する情報の取得
目的
一部のトラフィックがSRXシリーズファイアウォールを通過した後、プロファイルとポリシー設定に従って、許可またはブロックされたセッションの数などを統計情報で確認します。
アクション
動作モードから、 show services anti-virus statistics コマンドを入力します。
出力例
show services anti-virus statistics
show services anti-virus statistics
Anti-virus scan statistics:
Virus DB type: anti-virus
Total signatures: 11
Anti-virus DB version: 1654594666
Anti-virus DB update time: 2022-08-25 13:03:58 PDT
Total HTTP HTTPS SMTP SMTPS IMAP IMAPS SMB
File scanned: 419382 81947 177549 16067 31591 15994 31925 64309
Virus found: 290713 1613 161485 15940 31591 15994 31925 32165
Virus blocked: 290713 1613 161485 15940 31591 15994 31925 32165
Virus permitted: 0 0 0 0 0 0 0 0
意味
スキャン、特定、ブロックまたは許可されたウイルスに関する統計を表示します。