Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

IDP の基本設定

このトピックでは、SRXシリーズファイアウォールでIDPを有効にする方法について詳しく説明します。ライセンスの取得、署名の更新のダウンロード、事前定義されたポリシーの適用などの重要なステップについて説明します。また、IDPをセキュリティポリシーと統合して、効果的なトラフィックの検査と脅威の防止を行う方法についても解説しています。

ジュニパーネットワークスは、攻撃データベースの更新情報を含むファイルを Web サイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。ジュニパーネットワークスからダウンロードできるセキュリティパッケージには、JunosセキュリティプラットフォームへのIDPポリシーの実装に役立つIDPポリシーテンプレートも含まれています。

このトピックの手順では、SRXシリーズファイアウォールに初期IDP機能をダウンロードして設定する方法を説明します。

この手順は、Junos OS リリース 18.3R1 を実行している SRXシリーズファイアウォールに使用できます。この設定例は、Junos OSリリース19.3R1でテストされています。

SRXシリーズファイアウォールでIDP機能を設定する前に、次の手順を完了する必要があります。

  • ライセンスのダウンロードとインストール

  • SRXシリーズファイアウォールへのネットワークアクセスを確認します。

  • IDP 署名パッケージ (セキュリティ パッケージまたは攻撃オブジェクトとも呼ばれます) をダウンロードしてインストールします

  • ポリシーテンプレートをダウンロードする(オプション)。

  • 推奨ポリシーをIDPポリシーとして設定する(オプション)

  • セキュリティポリシーでIDPインスペクションを有効にする

IDP ライセンスのダウンロードとインストール

ジュニパーネットワークスは、IDP機能で使用する攻撃シグネチャのデータベースを保持しています。ジュニパーネットワークスが提供する毎日の署名データベース更新をダウンロードしてインストールするための更新を取得するには、有効なライセンスが必要です。IDP署名ライセンスキーは、猶予期間をサポートしません。

ライセンスの詳細については、Junos OS機能のライセンスキーを参照してください。

アップデートサーバーへの接続を確認する

デバイスを直接更新するには、Junosセキュリティプラットフォームをインターネットに接続する必要があります。

次の動作モードコマンドを使用して、Junosセキュリティプラットフォームからサーバー接続を確認します。

このコマンドは、ネットワーク接続を検証するだけでなく、リモートデータベースのバージョンも提供するので、前のコマンド出力とのバージョンの違いを比較するのに役立ちます。

IDP署名パッケージのダウンロード

ジュニパーネットワークスのセキュリティパッケージは、手動または指定した時間間隔で自動でダウンロードできます。次の手順は、セキュリティ パッケージをダウンロードし、ダウンロードの状態を確認するための動作モード コマンドを示しています。

  1. セキュリティ パッケージをダウンロードします。

    データベースのサイズとインターネット接続の速度によっては、データベースのダウンロードに時間がかかる場合があります。

  2. セキュリティ パッケージのダウンロード状態を確認します。

IDP 署名パッケージのインストール

IDP 署名パッケージのダウンロードが完了したら、署名をポリシーで実際に使用する前に、IDP 署名パッケージをインストールする必要があります。すでにポリシーが設定されている場合は、ポリシーを再コミットする必要はなく、更新プログラムをインストールすると既存のポリシーに追加されます。

  1. セキュリティ パッケージをインストールします。

    攻撃データベースのインストールは、セキュリティ パッケージのサイズによっては時間がかかる場合があります。

  2. 攻撃データベースのインストール状態を確認します。

    コマンド出力は、攻撃データベースのダウンロードおよびインストールされたバージョンに関する情報を表示します。

    デバイスにアクティブなIDPポリシーが設定されていない場合、システムは次のメッセージを表示します。

IDPポリシーテンプレートのダウンロードとインストール

IDP 署名パッケージのダウンロードには、さまざまなポリシー テンプレートが含まれています。テンプレートをインストールした後は、テンプレートポリシーをそのまま使用することも、ネットワーク環境に合わせてカスタマイズすることもできます。

以下のステップを使用して、ジュニパーネットワークスが提供する最新のポリシーテンプレートをダウンロードしてインストールします。

  1. 定義済みのIDPポリシーテンプレートをダウンロードします。
  2. セキュリティ パッケージのダウンロード状態を確認します。
  3. IDP ポリシー テンプレートをインストールします。
  4. インストール状態の更新を確認します。

コミット スクリプト ファイルの非アクティブ化

コミット スクリプト ファイルを削除するか、無効化することをお勧めします。コミット スクリプト ファイルを削除または無効化することで、設定をコミットする際に、(テンプレートを使用して作成された)事前定義済みポリシーに対する変更が上書きされるリスクを回避できます。

以下のステップで、コミット スクリプト ファイルを削除または無効化します。

セキュリティポリシーでの IDP の有効化

推奨される IDP ポリシーをアクティブ化するための最後のステップは、IDP アクションをセキュリティ ポリシーに適用することです。

  1. IDPインスペクションのセキュリティポリシーを有効にします。
  2. 設定が完了したら、変更をコミットします。
  3. show security policies policy-name idp-policy-1 detailコマンドを使用して、セキュリティポリシーのIDP設定を確認します。

    サンプル出力は、セキュリティポリシーに対してIDPを有効にしたことを確認します。

これで、他のIDPポリシーの設定に進むことができます。 「例:複数の IDP ポリシーの設定」および「統合セキュリティ ポリシーのデフォルト IDP ポリシー」を参照してください。

関連資料