テナント システム: セキュリティ インテリジェンスとマルウェア対策ポリシー
テナントシステムでは、メモリやCPUなどの仮想システムリソースを論理グループに割り当てて、複数の仮想ファイアウォールを作成できます。各仮想ファイアウォールは、1つのコンピューティングシステム内のスタンドアロンシステムとして自分自身を識別できます。Junos OS 18.4以降、SRXシリーズファイアウォールは、アンチマルウェアおよびセキュリティインテリジェンスポリシー用のテナントシステムをサポートします。Juniper ATP Cloudでテナントシステムをレルムに関連付けると、そのテナントシステムはレルム用に設定された脅威管理機能を受け取ります。SRXシリーズファイアウォールは、テナントシステムと関連するJuniper ATP Cloudレルムに基づいてポリシーの適用を実行します。
SRXシリーズファイアウォールでテナントシステムを使用する方法については、 Junosのドキュメントを参照してください。
SecIntel フィードのテナント システムのサポート
Junos OS 18.4 以降、テナント システムのセキュリティ インテリジェンス プロファイルを設定できます。
テナントシステムは、関連するSRXシリーズファイアウォールが登録されると、ATPクラウドに登録されます。アンチマルウェアポリシーまたはセキュリティインテリジェンスポリシーが有効になっているすべてのテナントシステムは、他のSRXシリーズファイアウォールとともにATPクラウドの「登録済みデバイス」ページに表示されます。
登録されているレルムに自動的に送信を行う物理デバイスとは異なり、Juniper ATP Cloud Web UIの[レルム管理]ページを使用してレルムに関連付けられるまで、テナントシステムの送信は無視されます。これらの手順については、 レルム管理 を参照してください。
は root-logical-system
、SRXシリーズファイアウォールが登録されているレルムに自動的に関連付けられることに注意してください。 root-logical-system
既定では、送信のみを行うことができます。したがって、 の root-logical-system
関連付けを行う必要はありません。
テナントシステムのセキュリティインテリジェンスポリシー設定用のCLIコマンドの例を次に示します。この例で使用されているテナントシステム(TSYS1)は、目的のデバイスに適用されるポリシーをJuniper ATP Cloudの正しいレルムに関連付ける必要があります。
set logical-systems TSYS1 services security-intelligence profile secintel_profile category CC set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10 set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9 set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule then action block close set logical-systems TSYS1 services security-intelligence profile secintel_profile rule secintel_rule then log set logical-systems TSYS1 services security-intelligence profile secintel_profile default-rule then action permit set logical-systems TSYS1 services security-intelligence profile secintel_profile default-rule then log set logical-systems TSYS1 services security-intelligence policy p1 CC secintel_profile set logical-systems TSYS1 services security-intelligence profile pf1 category Infected-Hosts set logical-systems TSYS1 services security-intelligence profile pf1 default-rule then action block drop set logical-systems TSYS1 services security-intelligence profile pf1 default-rule then log set logical-systems TSYS1 services security-intelligence policy p1 Infected-Hosts pf1
以下のコマンドを使用して、SRXシリーズファイアウォールで検査プロファイルのセキュリティポリシーを作成します。
set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 match source-address any set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 match destination-address any set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 match application any set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut set logical-systems TSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy p1
以下のコマンド例を使用して、テナントシステムの感染したホストフィードを表示します。
root@SRX> show security dynamic-address category-name Infected-Hosts logical-system TSYS1 No. IP-start IP-end Feed Address 1 10.1.32.131 10.1.32.131 Infected-Hosts/1 ID-2150001a 2 10.1.32.148 10.1.32.148 Infected-Hosts/1 ID-2150001a 3 10.1.32.183 10.1.32.183 Infected-Hosts/1 ID-2150001a 4 10.1.32.201 10.1.32.201 Infected-Hosts/1 ID-2150001a
または、次を使用します。
User1@SRX:TSYS1> show security dynamic-address category-name Infected-Hosts No. IP-start IP-end Feed Address 1 10.1.32.131 10.1.32.131 Infected-Hosts/1 ID-2150001a 2 10.1.32.148 10.1.32.148 Infected-Hosts/1 ID-2150001a 3 10.1.32.183 10.1.32.183 Infected-Hosts/1 ID-2150001a 4 10.1.32.201 10.1.32.201 Infected-Hosts/1 ID-2150001a
AAMW のテナント システムのサポート
Junos OS 18.4 以降では、テナント システムごとにマルウェア対策ポリシーを構成することもできます。テナント システムのマルウェア対策ポリシーの構成例を次に示します。
前述のように、ポリシーを目的のデバイスに適用するには、この例で使用されているテナントシステム(TSYS1)がATPクラウドの正しいレルムに関連付けられている必要があります。ATP クラウド Web UI 構成の レルム管理 の詳細を参照してください。
set logical-systems TSYS1 services advanced-anti-malware policy LP1 http inspection-profile ldom_profile set logical-systems TSYS1 services advanced-anti-malware policy LP1 http action block set logical-systems TSYS1 services advanced-anti-malware policy LP1 http notification log set logical-systems TSYS1 services advanced-anti-malware policy LP1 smtp inspection-profile default_profile set logical-systems TSYS1 services advanced-anti-malware policy LP1 smtp notification log set logical-systems TSYS1 services advanced-anti-malware policy LP1 imap inspection-profile default_profile set logical-systems TSYS1 services advanced-anti-malware policy LP1 imap notification log set logical-systems TSYS1 services advanced-anti-malware policy LP1 verdict-threshold 3
次のコマンドを使用して、テナント システムのマルウェア対策ポリシーを表示します。
root@SRX> show services advanced-anti-malware policy logical-systems TSYS1
Advanced-anti-malware configuration: Policy Name: LP11 Default-notification : Log Whitelist-notification: Log Blacklist-notification: Log Fallback options: Action: block Notification: No Log Inspection-profile: ldom_profile Applications: HTTP Verdict-threshold: 3 Action: block Notification: Log
または、次を使用します。
User1@SRX:TSYS1> show services advanced-anti-malware policy
Advanced-anti-malware configuration: Policy Name: LP1 Default-notification : Log Whitelist-notification: Log Blacklist-notification: Log Fallback options: Action: block Notification: No Log Inspection-profile: ldom_profile Applications: HTTP Verdict-threshold: 3 Action: block Notification: Log
セキュリティプロファイル CLI
管理者は、単一のセキュリティプロファイルを設定して特定のテナントシステムにリソースを割り当てたり、複数のテナントシステムに同じセキュリティプロファイルを使用したり、両方の方法を組み合わせて使用したりできます。論理システムを実行するSRXシリーズファイアウォールには、最大32のセキュリティプロファイルを設定できます。
セキュリティプロファイルを使用すると、さまざまな量のリソースをテナントシステム専用にし、空きリソースの使用を競うことができます。また、1 つの論理システムが他のテナント システムで同時に必要とするリソースを使い果たすことからも保護します。
以下のコマンドがセキュリティプロファイルの CLI に追加されます。
aamwポリシー
例えば:
set system security-profile <name> aamw-policy maximum 32
secIntel-Policy
例えば:
set system security-profile <name> secintel-policy maximum 32
以下のコマンドを使用して、セキュリティプロファイルを表示します。
show system security-profile all-resource
論理システムの コマンドの詳細については、set system security-profile
Junos のマニュアルを参照してください。