Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IDP の基本設定

ジュニパーネットワークスは、攻撃データベースの更新を含むファイルを Web サイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。ジュニパーネットワークスからダウンロードできるセキュリティパッケージには、JunosセキュリティプラットフォームにIDPポリシーを実装するのに役立つIDPポリシーテンプレートも含まれています。

このトピックの手順では、セキュリティデバイスで初期IDP機能をダウンロードして設定する方法を示します。

この手順は、Junos OSリリース18.3R1を実行しているSRXシリーズファイアウォールで使用できます。この設定例は、Junos OS リリース 19.3R1 でテストされています。

SRXシリーズファイアウォールでIDP機能を設定する前に、次の手順を完了する必要があります。

  • ライセンスのダウンロードとインストール

  • セキュリティ デバイスへのネットワーク アクセスを確認します。

  • IDP署名パッケージ(セキュリティパッケージまたは攻撃オブジェクトとも呼ばれます)をダウンロードしてインストールします

  • ポリシー テンプレートをダウンロードします (省略可能)。

  • 推奨ポリシーを IDP ポリシーとして構成する (オプション)

  • セキュリティポリシーでIDPインスペクションを有効にする

IDPライセンスのダウンロードとインストール

ジュニパーネットワークスは、IDP 機能で使用する攻撃シグネチャのデータベースを保持しています。ジュニパーネットワークスが提供する署名データベースの毎日のアップデートをダウンロードしてインストールするためのアップデートを取得するには、有効なライセンスが必要です。IDP署名ライセンスキーは、猶予期間のサポートを提供しません。

ライセンスの詳細については、 Junos OS機能のライセンスキーを参照してください。

アップデートサーバーへの接続の確認

デバイスを直接アップデートするには、Junosセキュリティプラットフォームをインターネットに接続する必要があります。

以下の動作モードコマンドを使用して、Junosセキュリティプラットフォームからサーバー接続を確認します。

このコマンドは、ネットワーク接続を検証するだけでなく、前のコマンド出力とバージョンの違いを比較するのに役立つリモート・データベースのバージョンも提供します。

IDP署名パッケージのダウンロード

ジュニパーネットワークスのセキュリティパッケージは、手動または指定した時間間隔で自動でダウンロードできます。次の手順は、セキュリティ パッケージをダウンロードし、ダウンロードの状態を確認するための動作モード コマンドを示しています。

  1. セキュリティパッケージをダウンロードします。

    データベースのサイズとインターネット接続の速度によっては、データベースのダウンロードに時間がかかる場合があります。

  2. セキュリティパッケージのダウンロードステータスを確認します。

IDP署名パッケージのインストール

IDP 署名パッケージのダウンロードが完了したら、ポリシーで実際に使用する前に IDP 署名パッケージをインストールする必要があります。すでにポリシーが設定されている場合は、ポリシーを再コミットする必要はありません。更新をインストールすると、既存のポリシーに追加されます。

  1. セキュリティパッケージをインストールします。

    セキュリティ パッケージのサイズによっては、攻撃データベースのインストールに時間がかかる場合があります。

  2. 攻撃データベースのインストール状態を確認します。

    コマンドの出力には、ダウンロードおよびインストールされた攻撃データベースのバージョンに関する情報が表示されます。

    デバイスにアクティブなIDPポリシーが設定されていない場合、システムは次のメッセージを表示します。

IDPポリシーテンプレートのダウンロードとインストール

IDP 署名パッケージのダウンロードには、さまざまなポリシー テンプレートが含まれています。テンプレートをインストールしたら、テンプレートポリシーをそのまま使用することも、ネットワーク環境に合わせてカスタマイズすることもできます。

ジュニパーネットワークスが提供する最新のポリシーテンプレートをダウンロードしてインストールするには、次の手順に従います。

  1. 定義済みの IDP ポリシーテンプレートをダウンロードします。
  2. セキュリティパッケージのダウンロードステータスを確認します。
  3. IDP ポリシー テンプレートをインストールします。
  4. インストール状態の更新を確認します。

コミットスクリプトファイルの非アクティブ化

コミットスクリプトファイルを削除するか、無効にすることをお勧めします。コミットスクリプトファイルを削除または無効化することで、設定をコミットする際に、(テンプレートを使用して作成された)事前定義ポリシーへの変更を上書きするリスクを回避できます。

以下のステップを使用して、コミット・スクリプト・ファイルを削除または非アクティブ化します。

セキュリティポリシーでのIDPの有効化

推奨されるIDPポリシーをアクティブ化する最後の手順は、IDPアクションをセキュリティポリシーに適用することです。

  1. IDP インスペクションのセキュリティポリシーを有効にします。
  2. 設定が完了したら、変更をコミットします。
  3. show security policies policy-name idp-policy-1 detailコマンドを使用して、セキュリティポリシーのIDP設定を確認します。

    サンプル出力では、セキュリティポリシーに対して IDP が有効になっていることを確認します。

これで、他のIDPポリシーの設定に進むことができます。 例:統合セキュリティポリシーの複数のIDPポリシーとデフォルトのIDPポリシーの設定を参照してください。

関連ドキュメント