SRXシリーズファイアウォールでIMAPメールポリシーを設定する
アクション許可またはアクションブロックステートメントを定義するファイルスキャンポリシーとは異なり、IMAP電子メール管理では、実行するアクションは IMAP>>電子メールの設定 ウィンドウで定義されます。その他のアクションはすべて、以前と同様にCLIコマンドで定義されます。
Juniper ATP CloudのIMAPウィンドウでは、すべてのIMAPサーバーまたは特定のIMAPサーバーを選択して一覧表示できます。したがって、SRXシリーズファイアウォールに送信されるIMAP設定には、「process_all_traffic」と呼ばれるフラグ(デフォルトはTrue)とIMAPサーバーのリスト(空の場合があります)があります。「process_all_traffic」がTrueに設定されていても、IMAPサーバーリストにサーバーがリストされている場合は、サーバーリストに関係なくすべてのサーバーが処理されます。"process_all_traffic" が True に設定されていない場合、サーバーリスト内の IMAP サーバーのみが処理されます。
以下は、プロファイル profile2
でアドレス指定された電子メールの添付ファイルを含むポリシーの例です。
show services advanced-anti-malware ... policy policy1 { http { inspection-profile default_profile; # Global profile action permit; } imap { inspection-profile profile2; # Profile2 applies to IMAP email notification { log; } } verdict-threshold 8; # Globally, a score of 8 and above indicate possible malware fallback-options { action permit; notification { log; } } default-notification { log; } whitelist-notification { log; } blacklist-notification { log; } fallback-options { action permit; # default is permit and no log. notification log; } } ...
上記の例では、電子メールプロファイル(profile2)は次のようになります。
show services advanced-anti-malware profile Advanced anti-malware inspection profile: Profile Name: profile2 version: 1443769434 disabled_file_types: { application/x-pdfa: [pdfa], application/pdf: [pdfa], application/mbox: [] }, disabled_categories: [java, script, documents, code], category_thresholds: [ { category: executable, min_size: 512, max_size: 1048576 }, { category: library, min_size: 4096, max_size: 1048576 }]
ファイアウォールポリシーは以前と同様です。AAMW ポリシーは、trust から untrust ゾーンに配置されます。以下の例を参照してください。
show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { advanced-anti-malware-policy policy1; ssl-proxy { profile-name ssl-proxy1; } } } } } }
以下に、 show services advanced-anti-malware policy
CLI コマンドを使用した別の例を示します。この例では、添付ファイルにマルウェアが含まれていることが判明した場合、電子メールは隔離されます。判定スコアが 8 以上の場合は、マルウェアを示します。
show services advanced-anti-malware policy Advanced-anti-malware configuration: Policy Name: policy1 Default-notification : Log Whitelist-notification: No Log Blacklist-notification: No Log Fallback options: Action: permit Notification: Log Protocol: HTTP Verdict-threshold: recommended (7) Action: block Notification: No Log Inspection-profile: default Protocol: SMTP Verdict-threshold: recommended (7) Action: User-Defined-in-Cloud (permit) Notification: Log Inspection-profile: default Protocol: IMAP Verdict-threshold: recommended (7) Action: User-Defined-in-Cloud (permit) Notification: Log Inspection-profile: test
必要に応じて、サーバーとクライアントの保護にそれぞれフォワード プロキシとリバース プロキシを構成できます。たとえば、IMAPS を使用している場合は、リバース プロキシを構成できます。リバースプロキシを設定する詳細については、 SRXシリーズファイアウォールでリバースプロキシを設定するを参照してください。
# show services ssl initiation { # for cloud connection profile srx_to_sky_tls_profile_name { trusted-ca sky-secintel-ca; client-certificate sky-srx-cert; } } proxy { profile ssl-client-protection { # for forward proxy root-ca ssl-inspect-ca; actions { ignore-server-auth-failure; log { all; } } } profile ssl-server-protection { # for reverse proxy server-certificate ssl-server-protection; actions { log { all; } } } }
show services advanced-anti-malware statistics
CLI コマンドを使用して、電子メール管理に関する統計情報を表示します。
show services advanced-anti-malware statistics Advanced-anti-malware session statistics: Session interested: 3291750 Session ignored: 52173 Session hit blacklist: 0 Session hit whitelist: 0 Total HTTP HTTPS SMTP SMTPS IMAP IMAPS Session active: 52318 0 0 52318 0 0 0 Session blocked: 0 0 0 0 0 0 0 Session permitted: 1354706 0 0 1354706 0 0 0 Advanced-anti-malware file statistics: Total HTTP HTTPS SMTP SMTPS IMAP IMAPS File submission success: 83134 0 0 83134 0 0 0 File submission failure: 9679 0 0 9679 0 0 0 File submission not needed: 86104 0 0 86104 0 0 0 File verdict meets threshold: 65732 0 0 65732 0 0 0 File verdict under threshold: 16223 0 0 16223 0 0 0 File fallback blocked: 0 0 0 0 0 0 0 File fallback permitted: 4512 0 0 4512 0 0 0 File hit submission limit: 0 0 0 0 0 0 0 Advanced-anti-malware email statistics: Total SMTP SMTPS IMAP IMAPS Email processed: 345794 345794 0 0 0 Email permitted: 42722 42722 0 0 0 Email tag-and-delivered: 0 0 0 0 0 Email quarantined: 9830 9830 0 0 0 Email fallback blocked: 0 0 0 0 0 Email fallback permitted: 29580 29580 0 0 0 Email hit whitelist: 0 0 0 0 0 Email hit blacklist: 0 0 0 0 0
以前と同様に、トラブルシューティング時に clear services advanced-anti-malware statistics
CLI コマンドを使用して、上記の統計情報をクリアします。
IMAP 脅威防御ポリシーを設定する前に、次の作業が完了していることを確認してください。
-
実行するアクション(悪意のあるメッセージをブロックまたは配信)とエンドユーザーメール通知を [IMAP>>メールの設定 ]ウィンドウで定義します。
-
(オプション)[ Configure > Device Profiles](デバイスプロファイルの設定 )ウィンドウでプロファイルを作成して、スキャンする電子メールの添付ファイルタイプを指定します。または、既定のプロファイルを使用することもできます。
次の手順は、最小構成を示しています。CLI を使用して IMAP の脅威防御ポリシーを設定するには、次の手順に従います。