Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

事前定義されたIDPポリシーテンプレート

このトピックでは、Junos OS内でIDPポリシーを設定および使用する際の、事前定義されたIDPポリシーテンプレートに関する詳細なガイダンスを提供します。悪意のあるトラフィックを特定して緩和することで、さまざまなセキュリティ上の脅威からネットワークインフラストラクチャを保護するためのポリシーテンプレートを作成、カスタマイズ、管理するための手順も含まれています。

定義済みのポリシーテンプレートは、独自のポリシーを作成するための開始点として使用できます。テンプレートは、管理者がすべてのルールを手動で定義することなく、セキュリティのベストプラクティスを効率的に適用し、セットアップ時間を短縮し、ヒューマンエラーを最小限に抑えるのに役立ちます。各テンプレートは、特定のルールベースタイプのルールのセットであり、コピーして要件に応じて更新できます。

事前定義されたIDPポリシーテンプレートについて

定義済みのポリシーテンプレートは、安全なジュニパーネットワークスWebサイトの templates.xls ファイルで入手できます。テンプレートの使用を開始するには、CLI からコマンドを実行して、このファイルをダウンロードし、 /var/db/scripts/commit ディレクトリにコピーします。

各ポリシー テンプレートには、攻撃オブジェクトに関連付けられた既定のアクションを使用するルールが含まれています。独自の送信元アドレスと宛先アドレスを選択し、セキュリティニーズを反映した IDP アクションを選択することで、これらのテンプレートをネットワーク上で機能するようにカスタマイズする必要があります。

クライアント/サーバー テンプレートは、使いやすさを考慮して設計されており、バランスの取れたパフォーマンスとカバレッジを提供します。クライアント/サーバー テンプレートには、クライアント保護、サーバー保護、およびクライアント/サーバー保護が含まれます。

各クライアント/サーバー テンプレートには、デバイス固有の 2 つのバージョン、1 ギガバイト (GB) バージョンと 2 GB バージョンがあります。

手記:

1G というラベルの付いた 1 ギガバイト バージョンは、メモリが 1 GB に制限されているデバイスにのみ使用する必要があります。1 GB のデバイスが 1 GB のポリシー以外のものを読み込むと、メモリが限られているか、カバレッジが限られているため、デバイスでポリシーのコンパイル エラーが発生する可能性があります。2 GB のデバイスが 2 GB のポリシー以外のものを読み込むと、デバイスのカバレッジが制限される可能性があります。

これらのテンプレートは、ポリシー作成のガイドラインとして使用します。これらのテンプレートのコピーを作成し、そのコピー(オリジナルではない)をポリシーに使用することをお勧めします。このアプローチにより、ポリシーに変更を加え、ポリシーテンプレートの変更による将来の問題を回避できます。

表1 は、ジュニパーネットワークスが提供する定義済みIDPポリシーテンプレートをまとめたものです。

表1:事前定義されたIDPポリシーテンプレート

テンプレート名

形容

Client-And-Server-Protection

クライアントとサーバーの両方を保護するように設計されています。2GB以上のメモリを搭載した大容量メモリデバイスで使用できます。

Client-And-Server-Protection-1G

クライアントとサーバーの両方を保護するように設計されています。メモリの少ないブランチ デバイスを含むすべてのデバイスで使用します。

Client-Protection

クライアントを保護するように設計されています。2GB以上のメモリを搭載した大容量メモリデバイスで使用できます。

Client-Protection-1G

クライアントを保護するように設計されています。メモリの少ないブランチ デバイスを含むすべてのデバイスで使用します。

DMZ Services

典型的な非武装地帯(DMZ)環境を保護します。

DNS Server

ドメイン生成アルゴリズム(DNS)サービスを保護します。

File Server

ネットワークファイルシステム(NFS)、FTPなどのファイル共有サービスを保護します。

Getting Started

非常にオープンなルールが含まれています。管理されたラボ環境では有効ですが、トラフィックの多いライブネットワークには導入しないでください。

IDP Default

セキュリティとパフォーマンスがうまく融合しています。

Recommended

ジュニパーネットワークスによって recommended としてタグ付けされた攻撃オブジェクトのみが含まれます。すべてのルールの [アクション] 列には、各攻撃オブジェクトに対して推奨されるアクションを実行するように設定されています。

Server-Protection

サーバーを保護するように設計されています。2GB以上のメモリを搭載した大容量メモリデバイスで使用できます。

Server-Protection-1G

サーバーを保護するように設計されています。メモリの少ないブランチ デバイスを含むすべてのデバイスで使用します。

Web Server

HTTPサーバーをリモート攻撃から保護します。

定義済みのポリシーテンプレートを使用するには、次のようにします。

  1. ジュニパーネットワークスのWebサイトからポリシーテンプレートをダウンロードします。

  2. ポリシー テンプレートをインストールします。

  3. templates.xls スクリプト ファイルを有効にします。/var/db/scripts/commit ディレクトリ内のコミットスクリプトは、有効化されていない場合は無視されます。

  4. 適切なポリシーテンプレートを選択し、必要に応じてカスタマイズします。

  5. システム上で実行するポリシーを活動化します。ポリシーのアクティブ化には数分かかる場合があります。CLI にコミット完了メッセージが表示された後でも、システムはポリシーのコンパイルを続行し、データ プレーンにプッシュする場合があります。

    手記:

    場合によっては、ポリシーのコンパイル プロセスが失敗することがあります。この場合、設定に表示されるアクティブなポリシーは、デバイスで実行されている実際のポリシーと一致しない可能性があります。 show security idp status コマンドを実行して、実行中のポリシーを確認します。さらに、IDPログファイルを表示して、ポリシーの読み込みとコンパイルステータスを確認できます。

  6. コミット スクリプト ファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットする際にテンプレートへの変更が上書きされるリスクを回避できます。ステートメントを無効にすると、非アクティブなタグがステートメントに追加され、設定からステートメントが事実上コメントアウトされます。非アクティブとマークされたステートメントは、 commit コマンドを発行しても有効になりません。

詳細については、「 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490」を参照してください。

事前定義されたIDPポリシーテンプレートのダウンロードと使用(CLI手順)

開始する前に、ネットワークインターフェイスを設定します。 セキュリティ デバイス用 Junos OS インターフェイス設定ガイドを参照してください。

定義済みのポリシーテンプレートをダウンロードして使用するには:

  1. スクリプト ファイル templates.xsl/var/db/idpd/sec-download/sub-download ディレクトリにダウンロードします。このスクリプト ファイルには、定義済みの IDP ポリシー テンプレートが含まれています。
  2. templates.xls ファイルを /var/db/scripts/commit ディレクトリにコピーし、名前を templates.xsl に変更します。
  3. templates.xsl スクリプト ファイルを有効にします。コミット時に、Junos OS管理プロセス(mgd)は/var/db/scripts/commitディレクトリでスクリプトをチェックし、候補の構成データベースに対してスクリプトを実行して、構成がスクリプトで指示されたルールに準拠していることを確認します。
  4. 設定をコミットします。設定をコミットすると、ダウンロードしたテンプレートがJunos OS設定データベースに保存され、CLIの [edit security idp idp-policy] 階層レベルで使用できるようになります。
  5. ダウンロードしたテンプレートのリストを表示します。
  6. 事前定義したポリシーをアクティブ化します。以下のステートメントは、 Recommended 事前定義されたIDPポリシーをアクティブポリシーとして指定します。
  7. コミット スクリプト ファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットする際にテンプレートへの変更が上書きされるリスクを回避できます。次のいずれかのコマンドを実行します。
  8. デバイスの設定が完了したら、設定をコミットします。
  9. show security idp statusコマンドを使用して、設定を確認できます。詳しくは、Junos OS CLIリファレンスをご覧ください。

関連資料