Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 基本設定

ジュニパーネットワークスは、攻撃データベースの更新を含むファイルを Web サイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。ジュニパーネットワークスからダウンロードできるセキュリティ パッケージには、Junos セキュリティ プラットフォームに IDP ポリシーを実装するのに役立つ IDP ポリシー テンプレートも含まれています。

このトピックの手順では、セキュリティ デバイス上の初期 IDP 機能をダウンロードして構成する方法を示します。

この手順は、Junos OS リリース 18.3R1 を実行している SRX シリーズ デバイスで使用できます。この設定例は、Junos OS リリース 19.3R1 でテストされています。

SRX シリーズ デバイスで IDP 機能を設定する前に、以下の手順を実行する必要があります。

  • ライセンスをダウンロードしてインストールする

  • セキュリティ デバイスへのネットワーク アクセスを確認します。

  • IDP 署名パッケージ(セキュリティ パッケージまたは攻撃オブジェクトとも呼ばれる)をダウンロードしてインストールする

  • ポリシー テンプレートをダウンロードする(オプション)。

  • 推奨ポリシーを IDP ポリシーとして設定する(オプション)

  • セキュリティ ポリシーで IDP インスペクションを有効にする

IDP ライセンスのダウンロードとインストール

ジュニパーネットワークスは、IDP 機能で使用するための攻撃シグネチャのデータベースを管理しています。ジュニパーネットワークスが提供する署名データベースの毎日の更新をダウンロードしてインストールするための更新を取得するには、有効なライセンスが必要です。IDP 署名ライセンス キーは、猶予期間サポートを提供しません。

ライセンスの詳細については、Junos OS機能ライセンスキーを参照してください。

アップデートサーバーへの接続の確認

デバイスを直接更新するには、Junos セキュリティ プラットフォームをインターネットに接続する必要があります。

以下の動作モード コマンドを使用して、Junos セキュリティ プラットフォームからのサーバー接続を確認します。

このコマンドは、ネットワーク接続を検証するだけでなく、リモートデータベースのバージョンも提供します。これは、バージョンの違いを以前のコマンド出力と比較するのに役立ちます。

IDP 署名パッケージのダウンロード

Juniper Networks セキュリティ パッケージは、手動または自動で、指定した期間にダウンロードできます。次の手順は、セキュリティ パッケージをダウンロードし、ダウンロードのステータスを確認するための動作モード コマンドを示しています。

  1. セキュリティ パッケージをダウンロードします。

    データベースのサイズやインターネット接続の速度によっては、データベースのダウンロードに時間がかかる場合があります。

  2. セキュリティ パッケージのダウンロード ステータスを確認します。

IDP 署名パッケージのインストール

IDP 署名パッケージのダウンロードを完了したら、ポリシーで実際に使用される前に IDP 署名パッケージをインストールする必要があります。すでにポリシーが設定されている場合は、ポリシーを再度コミットする必要はありません。更新をインストールすると、既存のポリシーに追加されます。

  1. セキュリティ パッケージをインストールします。

    セキュリティ パッケージのサイズによっては、攻撃データベースのインストールに時間がかかる場合があります。

  2. 攻撃データベースのインストールステータスを確認します。

    コマンドの出力には、ダウンロードおよびインストールされたバージョンの攻撃データベースに関する情報が表示されます。

    デバイスにアクティブなIDPポリシーが設定されていない場合、システムは以下のメッセージを表示します。

IDP ポリシー テンプレートをダウンロードしてインストールする

IDP 署名パッケージのダウンロードには、さまざまなポリシー テンプレートが含まれています。テンプレートをインストールすると、テンプレート ポリシーをそのまま使用することも、ネットワーク環境に合わせてカスタマイズすることもできます。

以下の手順を使用して、ジュニパーネットワークスが提供する最新のポリシー テンプレートをダウンロードしてインストールします。

  1. 定義済みの IDP ポリシー テンプレートをダウンロードします。
  2. セキュリティ パッケージのダウンロード ステータスを確認します。
  3. IDP ポリシー テンプレートをインストールします。
  4. インストールステータスの更新を確認します。

コミット スクリプト ファイルを無効化する

コミット スクリプト ファイルを削除または無効化することをお勧めします。コミットスクリプトファイルを削除または非アクティブ化することで、設定をコミットする際に、事前定義されたポリシー(テンプレートを使用して作成)に変更を上書きするリスクを回避できます。

次の手順を使用して、コミット スクリプト ファイルを削除または無効化します。

セキュリティ ポリシーでの IDP の有効化

推奨される IDP ポリシーをアクティブ化するための最後のステップは、IDP アクションをセキュリティー ポリシーに適用することです。

  1. IDP インスペクションのセキュリティ ポリシーを有効にします。
  2. 設定が完了したら、変更をコミットします。
  3. コマンドを使用して、セキュリティポリシーのIDP設定を show security policies policy-name idp-policy-1 detail 確認します。

    サンプル出力では、セキュリティ ポリシーの IDP が有効になっていることを確認します。

次に、他の IDP ポリシーの設定に進みます。例 :統合セキュリティポリシーの複数のIDPポリシーとデフォルトIDPポリシーの設定を参照してください。