Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IDP移行について

このトピックでは、IDP のインストールと構成について詳しく説明します。

詳細については、次のトピックを参照してください。

初期設定の概要

SRXシリーズファイアウォールで完全に機能するIPSサービスを有効にするには、以下の基本的な設定手順を実行します。

基本的な設定

  1. 基本的なネットワーク、セキュリティ、およびアクセス コンポーネントを構成します (ほとんどの場合、これは既に構成されています)。

  2. IPSポリシーを設定し、有効化します。

  3. 特定のルールを IPS に関連付けるようにファイアウォール ポリシーを設定します。

  4. センサーの更新を含む攻撃オブジェクトをダウンロードします。

  5. ログを構成します。

  6. セキュリティパッケージを更新しました。

  7. 構成を検証し、機能をテストします。

初期構成の前提条件

IPSポリシーの設定を開始する前に、このドキュメントでは、初期ネットワーク設定が存在し、管理者ユーザーがSRXシリーズへのフルアクセスを持っていることを前提としています。サンプル・システムでのデバイスの初期構成は、以下のとおりです。

手記:

このドキュメントでは、特定の機能を設定するために必要なコマンドを提供します。ただし、関連する機能を有効にするには、設定変更を(commit コマンドを使用して)正常にコミットする必要があります。

この機能にはライセンスが必要です。IPSライセンスの詳細については、 IPSライセンスのインストール(CLI)を参照してください。ライセンス管理に関する一般的な情報については、 『ジュニパー ライセンス ガイド 』を参照してください。詳細については、 SRXシリーズサービスゲートウェイの 製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。

IPS 設定(CLI)

インターフェイスの設定

  1. 現在のインターフェイスを表示します(インターフェイスが正しくケーブル接続されていることを前提としています)
  2. 転送インターフェイスを設定します。
  3. 設定を確認します。

セキュリティ ゾーンの設定

  1. セキュリティ ゾーンを構成します。
    1. 既存のゾーンの表示:

    2. abc-trustとabc-untrustのゾーンを設定し、それに応じてインターフェイスを割り当てます。

  2. 設定を確認します。

IPS セキュリティ ポリシーの設定

  1. IPSポリシーabc-idp-policyを設定します。

    このセクションの簡単な構成では、すべての重要な攻撃を検索する 1 つのルールを設定し、一致が見つかった場合は、関連する接続を削除し、そのイベントを重大として設定し、アラートでログに記録します。2 番目のルールは、主要な攻撃を検索し、重大な攻撃を検出したときに推奨されるアクションを実行し、イベントをログに記録するように構成されています。

    手記:

    ロギングとは、システムログ(syslog)メッセージを適切な事前設定されたsyslogサーバーに送信することです。ログ記録の構成手順については、以降のセクションで説明します。

  2. IPS ポリシー abc-idp-policy を検証します。
  3. トレース・オプションを設定します。
    1. 詳細な IPS プロセス イベント情報(ポリシーのコンパイル結果、ポリシーの読み込み結果、dfa 一致など)を提供して、さらなるシステム分析、チューニング、トラブルシューティングを容易にするには、トレース オプションを有効にすることを強くお勧めします。次に示すのは、すべてのデバッグ レベル (エラー、情報、通知、詳細、および警告) を含むすべてのセキュリティ イベントを書き込むようにトレースを構成する設定例です。トレースファイル名がトレース対象のプロセスにちなんで名付けられたファイルに書き込まれていない場合、トレースファイル名はトレースとして指定されません (IDP/var/log/idpd の場合)。
    2. この例では、ファイルサイズを 100 MB に制限します。これは、プロセスがこのファイルを書き込み、100 MBに達すると、idpd.0に名前を変更し、新しいidpdを続行することを意味します。デフォルトのファイル数は 3 で、ファイル番号を使い果たすと、最も古いファイル (idpd.2) が上書きされます。
  4. トレース・オプションの設定を確認します。
  5. IPSシリーズポリシーを有効化します。
  6. アクティブなIPSポリシーを検証します。
手記:

SRXシリーズファイアウォールにIPSポリシーを展開するには、もう1つの手順、つまりファイアウォールセキュリティポリシーを設定して、IPSサービスによって処理されるトラフィックを特定する必要があります。これについては、次のセクションで説明します。

ファイアウォールセキュリティポリシーの設定

SRXシリーズファイアウォールに入るトラフィックをIPSセキュリティポリシーファイアウォールで処理するには、それに応じてセキュリティポリシーを設定する必要があります。

以下は、SRXシリーズゲートウェイでファイアウォールセキュリティポリシーを設定し、侵入防御システムの設定を完了するために必要な手順です。これにより、セキュリティ ゾーン abc-untrust と abc-trust 間のトラフィックが IPS セキュリティ ポリシー abc-idp-policy によって検査されます。

  1. システムが、すべてのトラフィックを拒否するデフォルトポリシーで設定されていることを確認します。これは基本的にトラフィックが1になることを意味します。ファイアウォールセキュリティポリシーで特に許可されていない限り、ゲートウェイ全体で拒否されます。
  2. ポリシーを設定します。
  3. 設定を確認します。

IPSロギング

イベントがロギングが有効になっている IPS ポリシー ルールに一致する場合、IPS はイベント ログを生成します。ロギングのルールを設定すると、デバイスはそのルールに一致する各イベントのログ エントリーを作成します。

このように構成されている場合、IPS サービスは、ポリシー エントリーに一致するイベントを、514/udp でカプセル化されたエミュレートされた IP アドレスを介してデータ プレーンから直接ログ サーバーに送信します。

ログを構成します。

  1. インターフェイス データ プレーンを設定して、次の場所から syslog メッセージを送信します。
  2. 形式(標準形式または構造化形式)を選択します。
  3. エミュレートされた送信元 IP アドレスを設定します(インターフェイスを fxp0 にすることはできません)。
  4. 重大度を設定します。
  5. syslogサーバーのIPアドレス(514/udp経由でログが送信される)を指定します。
  6. ログの設定を確認します。