このページの目次
IDP移行について
このトピックでは、IDP のインストールと構成について詳しく説明します。
詳細については、次のトピックを参照してください。
初期設定の概要
SRXシリーズファイアウォールで完全に機能するIPSサービスを有効にするには、以下の基本的な設定手順を実行します。
基本的な設定
基本的なネットワーク、セキュリティ、およびアクセス コンポーネントを構成します (ほとんどの場合、これは既に構成されています)。
IPSポリシーを設定し、有効化します。
特定のルールを IPS に関連付けるようにファイアウォール ポリシーを設定します。
センサーの更新を含む攻撃オブジェクトをダウンロードします。
ログを構成します。
セキュリティパッケージを更新しました。
構成を検証し、機能をテストします。
初期構成の前提条件
IPSポリシーの設定を開始する前に、このドキュメントでは、初期ネットワーク設定が存在し、管理者ユーザーがSRXシリーズへのフルアクセスを持っていることを前提としています。サンプル・システムでのデバイスの初期構成は、以下のとおりです。
user@ost > show configuration | display set set system root-authentication encrypted-password “$ABC123” set system name-server 1.2.3.4 set system login user mxb uid 2000 set system login user mxb class super-user set system login user mxb authentication encrypted-password “$123ABC” set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system syslog file interactive-commands interactive-commands any set system license autoupdate url https://ae1.juniper.net/junos/key_retrieval set interfaces fxp0 unit 0 family inet address 192.168.1.221/24 set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1 set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
このドキュメントでは、特定の機能を設定するために必要なコマンドを提供します。ただし、関連する機能を有効にするには、設定変更を(commit コマンドを使用して)正常にコミットする必要があります。
この機能にはライセンスが必要です。IPSライセンスの詳細については、 IPSライセンスのインストール(CLI)を参照してください。ライセンス管理に関する一般的な情報については、 『ジュニパー ライセンス ガイド 』を参照してください。詳細については、 SRXシリーズサービスゲートウェイの 製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
関連項目
IPS 設定(CLI)
インターフェイスの設定
セキュリティ ゾーンの設定
IPS セキュリティ ポリシーの設定
SRXシリーズファイアウォールにIPSポリシーを展開するには、もう1つの手順、つまりファイアウォールセキュリティポリシーを設定して、IPSサービスによって処理されるトラフィックを特定する必要があります。これについては、次のセクションで説明します。
ファイアウォールセキュリティポリシーの設定
SRXシリーズファイアウォールに入るトラフィックをIPSセキュリティポリシーファイアウォールで処理するには、それに応じてセキュリティポリシーを設定する必要があります。
以下は、SRXシリーズゲートウェイでファイアウォールセキュリティポリシーを設定し、侵入防御システムの設定を完了するために必要な手順です。これにより、セキュリティ ゾーン abc-untrust と abc-trust 間のトラフィックが IPS セキュリティ ポリシー abc-idp-policy によって検査されます。
IPSロギング
イベントがロギングが有効になっている IPS ポリシー ルールに一致する場合、IPS はイベント ログを生成します。ロギングのルールを設定すると、デバイスはそのルールに一致する各イベントのログ エントリーを作成します。
このように構成されている場合、IPS サービスは、ポリシー エントリーに一致するイベントを、514/udp でカプセル化されたエミュレートされた IP アドレスを介してデータ プレーンから直接ログ サーバーに送信します。
ログを構成します。