IDP の基本設定
ジュニパーネットワークスは、攻撃データベースの更新を含むファイルを Web サイトで定期的に提供しています。このファイルをダウンロードして、新しい脅威からネットワークを保護できます。ジュニパーネットワークスからダウンロードできるセキュリティパッケージには、JunosセキュリティプラットフォームにIDPポリシーを実装するのに役立つIDPポリシーテンプレートも含まれています。
このトピックの手順では、セキュリティデバイスで初期IDP機能をダウンロードして設定する方法を示します。
この手順は、Junos OSリリース18.3R1を実行しているSRXシリーズファイアウォールで使用できます。この設定例は、Junos OS リリース 19.3R1 でテストされています。
SRXシリーズファイアウォールでIDP機能を設定する前に、次の手順を完了する必要があります。
ライセンスのダウンロードとインストール
セキュリティ デバイスへのネットワーク アクセスを確認します。
IDP署名パッケージ(セキュリティパッケージまたは攻撃オブジェクトとも呼ばれます)をダウンロードしてインストールします
ポリシー テンプレートをダウンロードします (省略可能)。
推奨ポリシーを IDP ポリシーとして構成する (オプション)
セキュリティポリシーでIDPインスペクションを有効にする
IDPライセンスのダウンロードとインストール
ジュニパーネットワークスは、IDP 機能で使用する攻撃シグネチャのデータベースを保持しています。ジュニパーネットワークスが提供する署名データベースの毎日のアップデートをダウンロードしてインストールするためのアップデートを取得するには、有効なライセンスが必要です。IDP署名ライセンスキーは、猶予期間のサポートを提供しません。
ライセンスの詳細については、 Junos OS機能のライセンスキーを参照してください。
アップデートサーバーへの接続の確認
デバイスを直接アップデートするには、Junosセキュリティプラットフォームをインターネットに接続する必要があります。
以下の動作モードコマンドを使用して、Junosセキュリティプラットフォームからサーバー接続を確認します。
user@host> request security idp security-package download check-server
Successfully retrieved from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3222(Detector=12.6.180190722, Templates=3222)
このコマンドは、ネットワーク接続を検証するだけでなく、前のコマンド出力とバージョンの違いを比較するのに役立つリモート・データベースのバージョンも提供します。
IDP署名パッケージのダウンロード
ジュニパーネットワークスのセキュリティパッケージは、手動または指定した時間間隔で自動でダウンロードできます。次の手順は、セキュリティ パッケージをダウンロードし、ダウンロードの状態を確認するための動作モード コマンドを示しています。
IDP署名パッケージのインストール
IDP 署名パッケージのダウンロードが完了したら、ポリシーで実際に使用する前に IDP 署名パッケージをインストールする必要があります。すでにポリシーが設定されている場合は、ポリシーを再コミットする必要はありません。更新をインストールすると、既存のポリシーに追加されます。
IDPポリシーテンプレートのダウンロードとインストール
IDP 署名パッケージのダウンロードには、さまざまなポリシー テンプレートが含まれています。テンプレートをインストールしたら、テンプレートポリシーをそのまま使用することも、ネットワーク環境に合わせてカスタマイズすることもできます。
ジュニパーネットワークスが提供する最新のポリシーテンプレートをダウンロードしてインストールするには、次の手順に従います。
推奨 IDP ポリシーの適用
Junos OSは、コミットスクリプトの形式でポリシーテンプレートをダウンロードします。ポリシー テンプレートをダウンロードしてインストールしたら、次の手順で、設定モード コマンドを使用してテンプレート コミット スクリプトを有効にする必要があります。
コミットスクリプトファイルの非アクティブ化
コミットスクリプトファイルを削除するか、無効にすることをお勧めします。コミットスクリプトファイルを削除または無効化することで、設定をコミットする際に、(テンプレートを使用して作成された)事前定義ポリシーへの変更を上書きするリスクを回避できます。
以下のステップを使用して、コミット・スクリプト・ファイルを削除または非アクティブ化します。
user@host#
delete system scripts commit file templates.xsluser@host#
deactivate system scripts commit file templates.xsl
セキュリティポリシーでのIDPの有効化
推奨されるIDPポリシーをアクティブ化する最後の手順は、IDPアクションをセキュリティポリシーに適用することです。
これで、他のIDPポリシーの設定に進むことができます。 例:統合セキュリティポリシーの複数のIDPポリシーとデフォルトのIDPポリシーの設定を参照してください。