侵入検出および防止の概要

IDPを活用することで、ネットワークのセキュリティ体制を大幅に強化し、さまざまな既知の脅威や新たな脅威から保護することができます。以下は、いくつかの利点です。

• 事前対応型脅威防御:被害が発生する前に攻撃を阻止します。

• ネットワーク可視化:潜在的なセキュリティ問題に関するインサイトを提供します。

• カスタマイズ可能な保護:特定のネットワークニーズに合わせてセキュリティポリシーを調整できます。

• コンプライアンスサポート:ネットワークセキュリティの規制要件を満たすのに役立ちます。

• 自動対応と修復—IDPシステムは、悪意のあるトラフィックをブロックし、影響を受けたファイアウォールを隔離し、管理者に警告することで、検出された脅威に自動的に対応できます。これにより、セキュリティインシデントの影響を最小限に抑えることができます。

IDPシステムはトラフィックを検査し、脅威を検知して軽減します。トラフィック検査エンジンは、シグネチャベースの検出、プロトコル異常検知、動作分析を使用してパケットを分析します。脅威が見つかった場合、ポリシーの適用とアクションの段階で、アクティビティをブロック、アラート、またはログに記録するかどうかが決定されます。イベントはログに記録され、さらなる分析のために管理者に報告されます。脅威インテリジェンスとアップデートにより、新しい脅威データを追加することで継続的に検出精度を高め、進化するサイバー脅威からリアルタイムで保護します。

図1 は、ジュニパーのIDPシステムのコアコンポーネントとフローの概要です。

表 1:IDP プロセス フロー に、IDP ワークフローの詳細を示します。

表 1:IDP プロセス フロー

ステップ	の説明
トラフィックインスペクションエンジン(またはIDPインスペクションプロセス)	潜在的なセキュリティリスクがないかパケットを検査します(既知の攻撃パターンと一致します)。
検出メカニズム	シグネチャベースの検出、プロトコル異常検知(予想されるネットワーク動作からの逸脱を特定)、行動分析(履歴データに基づいて異常なパターンを検出)
ポリシーの適用とアクション	脅威が特定されると、システムはポリシーを適用し、アクティビティをブロックするか、警告するか、ログに記録するかを決定します。
ログ機能とレポート	検出されたイベントは、ログに記録または報告されます。管理者が分析して対応する
脅威インテリジェンスと最新情報	新しい脅威データを継続的にシステムに供給します。

IDPポリシーを使用すると、SRXシリーズファイアウォールを通過するネットワークトラフィックに、さまざまな攻撃検出および防御技術を選択的に適用できます。SRXシリーズファイアウォールは、ジュニパーネットワークスのIDPシリーズ侵入検出および防止アプライアンスで利用可能なものと同じIDPシグネチャのセットを提供し、攻撃に対してネットワークを保護します。基本的な IDP 設定には、次のタスクが含まれます。

• IDP ライセンスをダウンロードしてインストールします。定期的に更新されるシグネチャ データベースにアクセスして更新をインストールする場合は、別途ライセンスが必要です。

  「SRXシリーズファイアウォールのソフトウェアライセンス」ページについては、IDPライセンス情報を参照してください。

• IDP 署名データベースをダウンロードしてインストールします。ジュニパーネットワークスの Web サイトから署名データベースにアクセスしてインストールする必要があるため、先に進む前に有効な IDP ライセンスがあることを確認してください。データベースには、既知の攻撃とトラフィックを照合するためにIDPポリシーで使用される攻撃オブジェクトと攻撃オブジェクトグループが含まれています。

  「 IDP 署名データベースの更新」を参照してください。

• IDPポリシーテンプレートをダウンロードしてインストールし、環境に合わせてポリシーをカスタマイズします。ジュニパーネットワークスでは、開始点として使用できる定義済みのテンプレートを提供しています。「推奨テンプレート」は出発点として適切ですが、特定のセキュリティニーズに合わせて確認および変更することをお勧めします。

  「IDP ポリシーの概要」を参照してください。

• IDPインスペクションのセキュリティポリシーを有効にします。トランジットトラフィックがIDPインスペクションを通過するには、セキュリティポリシーを設定し、インスペクションするすべてのトラフィックでIDPアプリケーションサービスを有効にします。「 セキュリティポリシーでの IDP の有効化」を参照してください。