Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

テナント システムの IDP

テナントシステムの侵入検出および防御(IDP)ポリシーにより、SRXシリーズファイアウォールを通過するネットワークトラフィックに、さまざまな攻撃検知および防御技術を選択的に適用できます。SRXシリーズファイアウォールは、ジュニパーネットワークスIDPシリーズ侵入検知防御アプライアンスと同じIDPシグネチャセットを提供し、攻撃からネットワークを保護します。

テナントシステムのIDPについて

Junos OS侵入検出防御(IDP)ポリシーにより、テナント システムを通過するネットワーク トラフィックに対して、さまざまな攻撃検知および防御技術を選択的に適用できます。

このトピックには、以下のセクションが含まれています。

IDP ポリシー

ルート レベルとテナント システム レベルでの IDP ポリシーの設定も同様です。ルート レベルで設定された IDP ポリシー テンプレートが表示され、すべてのテナント システムで使用されます。1 次管理者は、テナント・システムにバインドされたセキュリティー・プロファイル内の IDP ポリシーを指定します。テナントシステムでIDPを有効にするには、プライマリ管理者またはテナントシステム管理者が、検査するトラフィックを定義し、 階層レベルで指定するセキュリティポリシーを permit application-services idp-policy idp-policy-name 設定します。

1 次管理者は複数の IDP ポリシーを構成でき、テナント・システムは一度に複数の IDP ポリシーを持つことができます。テナント システムの場合、プライマリ管理者は同じ IDP ポリシーを複数のテナント システムにバインドするか、必要な IDP ポリシーを各テナント システムにバインドできます。複数の IDP ポリシーを設定する場合、デフォルト IDP ポリシーの設定が必須です。

プライマリ管理者は、プライマリ論理システムとテナントシステムの最大IDPセッション予約数を設定します。1 次論理システムで許可される IDP セッションの数は、 コマンド set security idp max-sessions max-sessions を使用して定義され、テナント・システムで許可される IDP セッションの数は、 コマンド set security idp tenant-system tenant-system max-sessions max-sessionsを使用して定義されます。

テナント システム管理者は、以下のアクションを実行します。

  • 複数の IDP ポリシーを設定し、テナント システムが使用するファイアウォール ポリシーにアタッチします。テナントシステムに対してIDPポリシーが設定されていない場合、プライマリ管理者が設定したデフォルトIDPポリシーが使用されます。IDP ポリシーは、テナント システム セキュリティ ポリシーを通じてテナント システムにバインドされます。

  • テナント システムの IDP ポリシーを作成または変更します。IDP ポリシーはテナント システムにバインドされます。IDP ポリシーが変更され、コミットに失敗した場合、コミット変更を開始したテナント システムのみがコミット失敗を通知します。

  • テナント システム管理者は、テナント システムにセキュリティ ゾーンを作成し、各セキュリティ ゾーンにインターフェイスを割り当てることができます。テナント システムに固有のゾーンは、プライマリ管理者が設定した IDP ポリシーで参照できません。プライマリ管理者は、プライマリ論理システムに設定されたIDPポリシーで、プライマリ論理システム内のゾーンを参照できます。

  • コマンド 、および を使用して、検出された攻撃統計と IDP カウンター、攻撃テーブル、ポリシー コミット ステータスを個々のshow security idp countersshow security idp policy-commit-statusshow security idp attack tableshow security idp policiesテナント システムで表示します。show security idp security-package-version

、 および を使用して、検出された攻撃統計と IDP カウンター、攻撃テーブル、ポリシー コミット ステータスをshow security idp counters counters tenant tenant-nameshow security idp policy-commit-status tenant tenant-nameshow security idp attack table tenant tenant-nameshow security idp policies tenant tenant-nameshow security idp security-package-version tenant tenant-nameルートから表示します。

制限

  • パケット転送エンジンにおける IDP ポリシーのコンパイルは、グローバル レベルで行われます。論理システムまたはテナント システムに対して行われたポリシーの変更は、IDP が内部的に 1 つのグローバル ポリシーとして扱うため、すべての論理システムまたはテナント システムのポリシーのコンパイルが行われます。

  • 論理システムまたはテナント システムに対してポリシーを変更すると、すべての論理システムまたはテナント システムの攻撃テーブルが消去されます。

テナントシステム向けIDPインストールとライセンス

idp-sig ライセンスは、ルート レベルでインストールする必要があります。ルート レベルで IDP が有効になると、デバイス上の任意のテナント システムで IDP を使用できるようになります。

ルート レベルで、デバイス上のすべてのテナント システムに 1 つの IDP セキュリティ パッケージがインストールされます。ダウンロードおよびインストール オプションは、ルート レベルでのみ実行できます。同じバージョンの IDP 攻撃データベースが、すべてのテナント システムで共有されます。

テナント システムの IDP 機能について

このトピックには、以下のセクションが含まれています。

ルールベース

単一の IDP ポリシーには、任意のタイプのルールベースのインスタンスを 1 つだけ含めることができます。侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検知します。ステートフルシグネチャとプロトコル異常に基づいて攻撃を検知します。

メモ:

IPS のステータス監視はデバイスに対してグローバルに行われますが、テナント システム単位では監視されません。

マルチ検出器

新しい IDP セキュリティ パッケージを受信すると、攻撃の定義と検出機能が含まれます。新しいポリシーが読み込まれると、検出器にも関連付けられます。ロードされるポリシーに、既存のポリシーで既に使用されているディテクタと一致する関連付けられたディテクタがある場合、新しいディテクタは読み込まれず、両方のポリシーで 1 つの関連付けられたディテクタが使用されます。しかし、新しい検出器が現在の検出器と一致しない場合、新しい検出器は新しいポリシーと共にロードされます。この場合、読み込まれた各ポリシーは、独自の検出機能を使用して攻撃を検知します。

検出器のバージョンは、すべてのテナントシステムに共通です。

ログ作成と監視

ステータス監視オプションは、プライマリ管理者のみが使用できます。および clear security idp CLI 操作コマンドのshow security idp下のすべてのステータス監視オプションにはグローバル情報が表示されますが、テナント システム単位では表示されません。

メモ:
  • IDPのSNMP監視は、テナントシステムではサポートされていません。

  • テナントシステムは、syslogのストリームモードのみをサポートしており、イベントモードをサポートしていません。

IDP は、イベントがログを有効にする IDP ポリシー ルールに一致すると、イベント ログを生成します。

テナント システム ID は、以下のタイプの IDP トラフィック処理ログに追加されます。

  • 攻撃ログ。次の例は、テナント システムの攻撃ログを TSYS1 示しています。

  • IP アクション ログ。以下の例は、テナント システムの IP アクション ログを TSYS1 示しています。

例:テナント システムの IDP ポリシーと攻撃の設定

この例では、テナントシステムに対してIDPポリシーと攻撃を設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • テナントシステムで設定されたSRXシリーズファイアウォール。

  • Junos OS リリース 19.2R1 以降のリリース。

テナント システムに IDP ポリシーと攻撃を設定する前に、以下を確認してください。

概要

この例では、テナント システム TSYS1で IDP カスタム攻撃、ポリシー、カスタム攻撃グループ、事前定義された攻撃と攻撃グループ、動的攻撃グループを設定します。

構成

カスタム攻撃の設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

カスタム攻撃オブジェクトを設定するには:

  1. カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。

  2. ステートフル シグネチャ パラメータを設定します。

結果

設定モードから、 コマンドを入力して設定を show security idp custom-attack my-http 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

IDP ポリシーの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

IDP ポリシーを設定するには、

  1. IDP ポリシーを作成し、照合条件を設定します。

  2. IDP ポリシーのアクションを設定します。

結果

設定モードから、 コマンドを入力して設定を show security idp idp-policy idpengine 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

デフォルト IDP ポリシーによる複数の IDP ポリシーの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

複数の IDP ポリシーを設定するには:

  1. 複数の IDP ポリシーを作成し、照合条件を設定します。

  2. セキュリティポリシーを設定し、IDPポリシーを添付します。

  3. デフォルト IDP ポリシーを設定します。

    メモ:

    複数の IDP ポリシーを設定する場合、デフォルト IDP ポリシーの設定が必須です。

結果

設定モードから、 、show security policiesshow security idp idp-policy idpengine1および のコマンドをshow security idp idp-policy idpengine入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

IDP カスタム攻撃グループの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

IDP カスタム攻撃グループを設定するには:

  1. IDP ポリシーを作成します。

  2. IDPポリシーの一致条件を設定します。

  3. ステートフル シグネチャ パラメータを設定します。

結果

設定モードから、 コマンドを入力して設定を show security idp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

事前定義された攻撃および攻撃グループの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

事前定義された攻撃および攻撃グループを設定するには、次の手順に従います。

  1. 事前定義された攻撃を設定します。

  2. 事前定義された攻撃グループを設定します。

結果

設定モードから、 コマンドを入力して設定を show security idp idp-policy idpengine 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

IDP 動的攻撃グループの設定

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。

IDP動的攻撃グループを設定するには:

  1. 動的攻撃グループパラメータを設定します。

結果

設定モードから、 コマンドを入力して設定を show security idp 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

IDPポリシーとコミットステータスの確認

目的

テナント システム TSYS1のポリシーのコンパイル後に、IDP ポリシーとコミット ステータスが表示されていることを確認します。

アクション

動作モードから、 コマンドを show security idp policies 入力します。

動作モードから、 コマンドを show security idp policy-commit-status 入力します。

意味

出力には、テナントシステム TSYS1 で設定されたIDPポリシーとコミットステータス情報が表示されます。

IDP 攻撃検知の検証

目的

テナント システム TSYS1 で IDP 攻撃検知が成功し、攻撃テーブルに表示されていることを確認します。

アクション

動作モードから、 コマンドを show security idp attack table 入力します。

意味

出力には、テナント システム TSYS1で設定されたカスタム攻撃で検出された攻撃が表示されます。

IDPカウンターの確認

目的

テナントシステム TSYS1のIDPカウンターステータスが表示されていることを確認します。

アクション

動作モードから、 コマンドを show security idp counters flow 入力します。

意味

出力には、テナント システム TSYS1に対して IDP カウンター フローステータスが正しく表示されます。