Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

事前定義されたIDPポリシーテンプレート

ジュニパーネットワークスでは、独自のポリシーを作成するための出発点として使用できる定義済みのポリシーテンプレートを提供しています。各テンプレートは、特定のルール・ベース・タイプのルール・セットであり、要件に応じてコピーして更新することができます。

定義済み IDP ポリシーテンプレートについて

定義済みのポリシー テンプレートは、セキュリティで保護されたジュニパーネットワークス Web サイトの templates.xls ファイルで利用できます。テンプレートの使用を開始するには、CLI からコマンドを実行して、このファイルをダウンロードし、 /var/db/scripts/commit ディレクトリにコピーします。

各ポリシー テンプレートには、攻撃オブジェクトに関連付けられた既定のアクションを使用するルールが含まれています。独自の送信元アドレスと宛先アドレスを選択し、セキュリティニーズを反映したIDPアクションを選択することで、これらのテンプレートをネットワーク上で機能するようにカスタマイズする必要があります。

クライアント/サーバー テンプレートは、使いやすさを考慮して設計されており、バランスの取れたパフォーマンスとカバレッジを提供します。クライアント/サーバー テンプレートには、クライアント保護、サーバー保護、およびクライアント/サーバー保護が含まれます。

各クライアント/サーバー テンプレートには、デバイス固有の 2 つのバージョン、1 ギガバイト (GB) バージョンと 2 GB バージョンがあります。

手記:

1G というラベルの付いた 1 ギガバイト バージョンは、1 GB のメモリに制限されているデバイスにのみ使用する必要があります。1 GB のデバイスが 1 GB のポリシー以外を読み込む場合、メモリの制限やカバレッジの制限により、デバイスでポリシーのコンパイル エラーが発生する可能性があります。2 GB のデバイスが 2 GB のポリシー以外を読み込むと、デバイスのカバレッジが制限される可能性があります。

これらのテンプレートは、ポリシーを作成するためのガイドラインとして使用します。これらのテンプレートのコピーを作成し、ポリシーに (オリジナルではなく) コピーを使用することをお勧めします。この方法では、ポリシーを変更し、ポリシー テンプレートの変更による将来の問題を回避できます。

表1 は、ジュニパーネットワークスが提供する事前定義されたIDPポリシーテンプレートをまとめたものです。

表 1: 事前定義された IDP ポリシー テンプレート

テンプレート名

形容

Client-And-Server-Protection

クライアントとサーバーの両方を保護するように設計されています。2 GB 以上のメモリを搭載した高メモリ デバイスで使用できます。

Client-And-Server-Protection-1G

クライアントとサーバーの両方を保護するように設計されています。低メモリのブランチデバイスを含むすべてのデバイスで使用できます。

Client-Protection

クライアントを保護するように設計されています。2 GB 以上のメモリを搭載した高メモリ デバイスで使用できます。

Client-Protection-1G

クライアントを保護するように設計されています。低メモリのブランチデバイスを含むすべてのデバイスで使用できます。

DMZ Services

典型的な非武装地帯(DMZ)環境を保護します。

DNS Server

ドメイン ネーム システム (DNS) サービスを保護します。

File Server

ネットワーク ファイル システム (NFS)、FTP などのファイル共有サービスを保護します。

Getting Started

非常にオープンなルールが含まれています。制御されたラボ環境で役立ちますが、トラフィックの多いライブネットワークには展開しないでください。

IDP Default

セキュリティとパフォーマンスの優れたブレンドが含まれています。

Recommended

ジュニパーネットワークスによって recommended としてタグ付けされた攻撃オブジェクトのみが含まれます。すべてのルールには、攻撃オブジェクトごとに推奨されるアクションを実行するように設定された [アクション] 列があります。

Server-Protection

サーバーを保護するように設計されています。2 GB 以上のメモリを搭載した高メモリ デバイスで使用できます。

Server-Protection-1G

サーバーを保護するように設計されています。低メモリのブランチデバイスを含むすべてのデバイスで使用できます。

Web Server

HTTP サーバーをリモート攻撃から保護します。

事前定義されたポリシーテンプレートを使用するには:

  1. ジュニパーネットワークスのWebサイトからポリシーテンプレートをダウンロードします。

  2. ポリシー テンプレートをインストールします。

  3. templates.xlsスクリプト ファイルを有効にします。/var/db/scripts/commitディレクトリ内のコミットスクリプトは、有効になっていない場合は無視されます。

  4. 適切なポリシー テンプレートを選択し、必要に応じてカスタマイズします。

  5. システムで実行するポリシーをアクティブにします。ポリシーのアクティブ化には数分かかる場合があります。コミット完了メッセージが CLI に表示された後でも、システムはコンパイルを続行し、ポリシーをデータ プレーンにプッシュする可能性があります。

    手記:

    場合によっては、ポリシーのコンパイル プロセスが失敗することがあります。この場合、設定に表示されているアクティブなポリシーは、デバイスで実行されている実際のポリシーと一致しない可能性があります。 show security idp status コマンドを実行して、実行ポリシーを確認します。さらに、IDP ログ ファイルを表示して、ポリシーの読み込みとコンパイルの状態を確認できます。

  6. コミットスクリプトファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットする際にテンプレートへの変更を上書きするリスクを回避できます。ステートメントを無効にすると、ステートメントに非アクティブなタグが追加され、設定から ステートメントが事実上コメントアウトされます。非アクティブとマークされたステートメントは、 commit コマンドを発行しても有効になりません。

詳細については、「 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490」を参照してください。

事前定義されたIDPポリシーテンプレートのダウンロードと使用(CLI手順)

開始する前に、ネットワークインターフェイスを設定します。 セキュリティ デバイス向け Junos OS インターフェイス設定ガイドを参照してください。

定義済みのポリシーテンプレートをダウンロードして使用するには:

  1. スクリプト ファイル templates.xsl/var/db/idpd/sec-download/sub-download ディレクトリにダウンロードします。このスクリプト ファイルには、定義済みの IDP ポリシー テンプレートが含まれています。
  2. templates.xlsファイルを /var/db/scripts/commit ディレクトリにコピーし、名前を templates.xsl に変更します。
  3. テンプレート .xsl スクリプト ファイルを有効にします。コミット時に、Junos OS 管理プロセス(mgd)は /var/db/scripts/commit ディレクトリでスクリプトを探し、候補設定データベースに対してスクリプトを実行して、設定がスクリプトによって指示されたルールに準拠していることを確認します。
  4. 設定をコミットします。設定をコミットすると、ダウンロードしたテンプレートがJunos OS設定データベースに保存され、CLIで [edit security idp idp-policy] 階層レベルで使用できるようになります。
  5. ダウンロードしたテンプレートの一覧を表示します。
  6. 事前定義されたポリシーをアクティブ化します。以下のステートメントは、 Recommended 事前定義されたIDPポリシーをアクティブポリシーとして指定します。
  7. コミットスクリプトファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットする際にテンプレートへの変更を上書きするリスクを回避できます。次のいずれかのコマンドを実行します。
  8. デバイスの設定が完了したら、設定をコミットします。
  9. show security idp status コマンドを使用して、構成を確認できます。詳しくは、 Junos OS CLI リファレンスを参照してください

関連ドキュメント