Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

事前定義されたIDPポリシーテンプレート

ジュニパーネットワークスは、独自のポリシー作成の開始点として使用できる、事前定義されたポリシー テンプレートを提供しています。各テンプレートには、要件に応じてコピーして更新できる特定のルールベースタイプのルールセットがあります。

事前定義された IDP ポリシー テンプレートについて

定義済みのポリシー テンプレートは、保護されたジュニパーネットワークスの Web サイトのファイルで利用できます templates.xls 。テンプレートの使用を開始するには、CLI から コマンドを実行して、このファイルをダウンロードしてディレクトリに /var/db/scripts/commit コピーします。

各ポリシー テンプレートには、攻撃オブジェクトに関連付けられたデフォルト アクションを使用するルールが含まれています。独自の送信元アドレスと宛先アドレスを選択し、セキュリティニーズを反映したIDPアクションを選択することで、ネットワーク上で動作するようにこれらのテンプレートをカスタマイズする必要があります。

クライアント/サーバーテンプレートは使いやすく設計されており、バランスのとれたパフォーマンスとカバレッジを提供します。クライアント/サーバー テンプレートには、クライアント保護、サーバー保護、クライアント/サーバー保護が含まれます。

各クライアント/サーバー テンプレートには、デバイス固有の 2 つのバージョン、1 GB(ギガバイト)バージョンと 2 GB バージョンがあります。

メモ:

1G とラベル付けされた 1 ギガバイトバージョンは、1 GB のメモリに制限されているデバイスにのみ使用してください。1 GB デバイスが 1-GB ポリシー以外を読み込んだ場合、メモリまたはカバレッジが限られているため、デバイスでポリシーのコンパイル エラーが発生する可能性があります。2 GB デバイスが 2 GB ポリシー以外を読み込んだ場合、デバイスのカバレッジが制限される可能性があります。

これらのテンプレートをポリシー作成のガイドラインとして使用します。これらのテンプレートのコピーを作成し、ポリシーのコピー(元のコピーではなく)を使用することをお勧めします。このアプローチでは、ポリシーを変更し、ポリシー テンプレートの変更による将来の問題を回避できます。

表 1 は、ジュニパーネットワークスが提供する定義済み IDP ポリシー テンプレートをまとめたものです。

表 1:事前定義された IDP ポリシー テンプレート

テンプレート名

説明

Client-And-Server-Protection

クライアントとサーバーの両方を保護するように設計されています。2 GB 以上のメモリを搭載したハイ メモリ デバイスで使用します。

Client-And-Server-Protection-1G

クライアントとサーバーの両方を保護するように設計されています。低メモリブランチデバイスを含むすべてのデバイスで使用されます。

Client-Protection

クライアントを保護するように設計されています。2 GB 以上のメモリを搭載したハイ メモリ デバイスで使用します。

Client-Protection-1G

クライアントを保護するように設計されています。低メモリブランチデバイスを含むすべてのデバイスで使用されます。

DMZ Services

典型的な非武装地帯(DMZ)環境を保護します。

DNS Server

ドメインネームシステム(DNS)サービスを保護します。

File Server

ネットワーク ファイル システム(NFS)、FTP などのファイル共有サービスを保護します。

Getting Started

非常にオープンなルールが含まれます。制御されたラボ環境では有効ですが、トラフィックの多いライブ ネットワークには導入しないでください。

IDP Default

セキュリティーとパフォーマンスの優れた融合が含まれています。

Recommended

ジュニパーネットワークスがタグ付けした recommended 攻撃オブジェクトのみを含みます。すべてのルールには、攻撃オブジェクトごとに推奨アクションを実行するためのアクション列が設定されています。

Server-Protection

サーバーを保護するように設計されています。2 GB 以上のメモリを搭載したハイ メモリ デバイスで使用します。

Server-Protection-1G

サーバーを保護するように設計されています。低メモリブランチデバイスを含むすべてのデバイスで使用されます。

Web Server

HTTP サーバーをリモート攻撃から保護します。

事前定義されたポリシー テンプレートを使用するには、以下の手順に従います。

  1. ジュニパーネットワークスの Web サイトからポリシー テンプレートをダウンロードします。

  2. ポリシー テンプレートをインストールします。

  3. スクリプト ファイルを templates.xls 有効にします。ディレクトリ内 /var/db/scripts/commit のコミット スクリプトは、有効になっていない場合は無視されます。

  4. 自分に適したポリシー テンプレートを選択し、必要に応じてカスタマイズします。

  5. システム上で実行するポリシーをアクティブにします。ポリシーをアクティブ化するのに数分かかる場合があります。コミット完了メッセージが CLI に表示された後も、システムは引き続きコンパイルしてデータ プレーンにポリシーをプッシュすることがあります。

    メモ:

    場合によっては、ポリシーのコンパイル・プロセスが失敗することがあります。この場合、設定に表示されているアクティブなポリシーが、デバイスで実行されている実際のポリシーと一致しない可能性があります。コマンドを show security idp status 実行して、実行中のポリシーを確認します。さらに、IDP ログ ファイルを表示して、ポリシーの読み込みとコンパイル ステータスを確認できます。

  6. コミット スクリプト ファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットするときにテンプレートに変更を上書きするリスクを回避できます。ステートメントを無効にすると、 ステートメントに非アクティブなタグが追加され、設定からステートメントを効果的にコメントアウトします。非アクティブとマークされたステートメントは、 コマンドを発行 commit しても有効ではありません。

詳細については、 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490 を参照してください。

定義済みIDPポリシーテンプレートのダウンロードと使用(CLI手順)

開始する前に、ネットワーク インターフェイスを設定します。 『 Junos OS Interfaces Configuration Guide for Security Devices』を参照してください

事前定義されたポリシーテンプレートをダウンロードして使用するには、以下の手順に従います。

  1. スクリプトファイル templates.xls/var/db/idpd/sec-download/sub-download ディレクトリにダウンロード します。このスクリプト ファイルには、定義済みの IDP ポリシー テンプレートが含まれています。
  2. templates.xls ファイルを /var/db/scripts/commit ディレクトリーにコピーし、templates.xsl に名前を変更します。
  3. templates.xsl スクリプト ファイルを有効にします。コミット時に、Junos OS管理プロセス(mgd)はスクリプトの/var/db/scripts/commitディレクトリを検索し、候補の設定データベースに対してスクリプトを実行して、スクリプトによって指示されるルールに設定が適合していることを確認します。
  4. 設定をコミットします。設定をコミットすると、ダウンロードしたテンプレートがJunos OS設定データベースに保存され、 階層レベルのCLIで [edit security idp idp-policy] 使用できるようになります。
  5. ダウンロードしたテンプレートのリストを表示します。
  6. 事前定義されたポリシーをアクティブ化します。以下のステートメントは、 Recommended 事前定義されたIDPポリシーをアクティブポリシーとして指定します。
  7. コミット スクリプト ファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットするときにテンプレートに変更を上書きするリスクを回避できます。以下のいずれかのコマンドを実行します。
  8. デバイスの設定が完了したら、設定をコミットします。
  9. コマンドを使用して、設定を show security idp status 検証できます。詳細については、 Junos OS CLI リファレンスを参照してください