C&C フィードには、C&C ホストに接続しようとするデバイスが一覧表示されます。C&C ホストへの送信要求が試行された場合、要求はブロックされてログに記録されるか、設定に応じてログに記録されます。現在、C&Cは、Webインターフェイスではなく、CLIコマンドで設定します。
C&C プロファイル、ポリシー、ファイアウォール ポリシーを作成するには、次の手順に従います。
- C&C プロファイルを設定します。この例では、プロファイル名は
cc_profile で、脅威レベル 8 以上がブロックされています。
set services security-intelligence profile cc_profile category CC
set services security-intelligence profile cc_profile rule CC_rule match threat-level [8
9 10]
set services security-intelligence profile cc_profile rule CC_rule then action block drop
set services security-intelligence profile cc_profile rule CC_rule then logset services security-intelligence profile cc_profile default-rule then action permit
show services security-intelligenceを使用してプロファイルが正しいことを確認しますCLI コマンドを使用します。出力は次のようになります。
root@host# show services security-intelligence profile cc_profile
category CC;
rule CC_rule {
match {
threat-level [ 8 9 10 ];
}
then {
action {
block {
drop;
}
}
log;
}
}
default-rule {
then {
action {
permit;
}
log;
}
}
- ステップ 1 で作成したプロファイルを指すように C&C ポリシーを設定します。この例では、C&C ポリシー名は
cc_policy です。
set services security-intelligence policy cc_policy CC cc_profile
show services security-intelligenceを使用してポリシーが正しいことを確認しますCLI コマンドを使用します。出力は次のようになります。
root@host# show services security-intelligence policy cc_policy
CC {
cc_profile;
}
[edit]
- ファイアウォール ポリシーに C&C ポリシーを含めるように設定します。この例では、trust-to-untrust ゾーンを設定します。
set security policies from-zone trust to-zone untrust policy p2 match source-address any destination-address any application any
set security policies from-zone trust to-zone untrust policy p2 then permit application-services security-intelligence-policy cc_policy
show security policiesを使用してコマンドを確認するCLI コマンドを使用します。次のようになります。
root@host# show security policies
...
from-zone trust to-zone untrust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
security-intelligence-policy cc_policy;
}
}
}
}
}
...
[edit]
- 変更をコミットします。
