テナントシステム向けコンテンツセキュリティ
Content Securityは、ネットワーク上のSRXシリーズファイアウォールに複数のセキュリティ機能とサービスを提供し、シンプルな方法でセキュリティ上の脅威からユーザーを保護します。Content Securityは、ディープパケットインスペクションを使用して受信データをスキャンすることで、ウィルス、マルウェア、悪意のある添付ファイルからテナントシステムを保護し、拡張Webフィルタリング(EWF)をインストールして不要なWebサイトへのアクセスを防止します。
テナント システムのコンテンツ セキュリティ機能について
テナント システムのコンテンツ セキュリティは、アンチスパム、アンチウィルス、コンテンツ フィルタリング、Web フィルタリングなどの複数のセキュリティ機能を提供し、インターネットを媒介する複数の脅威からユーザーを保護します。コンテンツ セキュリティの利点は、これらの複数のセキュリティ機能のインストールと管理を合理化できることです。テナントシステム管理者は、コンテンツセキュリティ機能を設定します。テナントシステム向けのコンテンツセキュリティ機能の設定は、テナントシステム向けに設定されていないデバイス上のコンテンツセキュリティ機能の設定と同様です。
Content Security ソリューションの一部として提供されるセキュリティ機能は次のとおりです。
アンチスパム フィルタリング - 電子メール スパムは、通常、商用、悪意のある、または詐欺的なエンティティによって送信される望ましくない電子メール メッセージで構成されています。アンチスパム機能は、送信された電子メール メッセージを検査して電子メール スパムを特定します。デフォルトのアンチスパム機能はテナント システム管理者で設定され、すべてのテナント システムに適用されます。
コンテンツフィルタリング - コンテンツフィルタリングは、MIMEタイプ、ファイル拡張子、プロトコルコマンド、埋め込みオブジェクトタイプに基づいて、特定のタイプのトラフィックをブロックまたは許可します。デフォルトのコンテンツフィルタリング機能はテナントシステム管理者で設定されており、すべてのテナントシステムに適用できます。
Web フィルタリング — Web フィルタリングでは、不適切な Web コンテンツへのアクセスを防ぎ、インターネットの使用状況を管理できます。デフォルトの Web フィルタリング機能はテナント システム管理者で構成され、テナント システムはこれらのデフォルトの Web フィルタリング構成を継承します。
Sophos アンチウイルス —Sophos アンチウイルス スキャンは、ファイルベースの完全アンチウィルス機能に代わる CPU 集約型の代替手段として提供されます。Sophos Antivirus は、クラウド内のアンチウィルス ソリューションです。デフォルトのウィルス対策機能はテナント システム管理者で構成され、テナント システムはこれらのデフォルトのウィルス対策構成を継承します。
Aviraアンチウイルス —Aviraアンチウイルス機能プロファイル設定には、ウィルス検出タイプ、許可リスト、ブロックリスト、フォールバック、通知オプションなどのスキャンオプションが含まれています。ルートシステムでは、Aviraアンチウィルス、Webフィルタリング、アンチスパムフィルタリング、またはコンテンツフィルタリングエンジンが1つだけ実行されています。デフォルト設定では、Aviraアンチウィルス、Webフィルタリング、およびアンチスパムフィルタリング機能タイプを設定する必要があります。これは、ルートユーザーのみが設定します。すべてのテナントは、同じルーティング エンジンとプロファイル タイプを使用する必要があります。
コンテンツ セキュリティ機能を設定する前に、Web フィルタリング、アンチスパム、コンテンツ フィルタリング機能のカスタム オブジェクトを設定する必要があります。各テナント システムのカスタム オブジェクトを設定できます。
Webフィルタリング、コンテンツフィルタリング、アンチウィルス、およびアンチスパムプロファイル用に事前に定義されたコンテンツセキュリティのデフォルトポリシーパラメーターは、テナントシステム管理者で設定されます。テナント システムは、テナント システム管理者に設定されたのと同じアンチウィルスおよび Web フィルタリング機能を継承します。アンチウィルス プロファイルとurl-whitelistアンチスパム プロファイルの オプションmime-whitelistは、address-whitelistaddress-blacklistそれぞれ以下の階層レベルで設定できます。
[edit security utm feature-profile anti-virus sophos-engine profile][edit security utm feature-profile anti-spam sbl profile]
オプション url-whitelist と url-blacklist は、Web フィッカー プロファイルではサポートされていません。カスタム カテゴリ オプションを使用して、この機能を実現できます。
例:テナントシステムのコンテンツセキュリティの設定
この例では、テナント システムでコンテンツ セキュリティ機能のアンチウィルス、アンチスパム、コンテンツ フィルタリング、カスタム メッセージ、カスタム url カテゴリ、Web フィルタリングを構成する方法を示します。テナント システム管理者は、テナント システムに Content Security 機能を割り当てます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
テナントシステムで設定されたSRXシリーズファイアウォール。
Junos OS リリース 19.2R1 以降のリリース。
開始する前に、以下を行います。
テナント システムの役割と機能を理解する。テナントシステムの概要を参照してください。
概要
テナント システム管理者は、コンテンツ セキュリティ機能のアンチウィルス、アンチスパム、コンテンツ フィルタリング、Web フィルタリングをテナント システムに割り当てます。
この例では、テナントシステムのコンテンツセキュリティ機能を設定する方法を示しています。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、プライマリ論理システムにプライマリ管理者としてログインし、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを 階層レベルで [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set tenants TSYS1 security utm custom-objects url-pattern cust-list value www.ask.com set tenants TSYS1 security utm custom-objects url-pattern cust-list value www.playboy.com set tenants TSYS1 security utm custom-objects url-pattern cust-list2 value www.baidu.com set tenants TSYS1 security utm custom-objects custom-url-category cust-list value cust-list set tenants TSYS1 security utm custom-objects custom-url-category cust-list2 value cust-list2 set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 default log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list action log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list2 action block set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 fallback-settings default log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Adult_Content action block set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Social_Web_Facebook action log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category cust-list action block set tenants TSYS1 security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
テナントシステム向けコンテンツセキュリティの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
テナント システムにログインし、設定モードにします。
user@host> configure admin@host#
テナント システムのカスタム オブジェクトを設定します。
[edit tenants TSYS1 security utm custom-objects] user@host# url-pattern cust-list value www.ask.com user@host# url-pattern cust-list value www.playboy.com user@host# url-pattern cust-list2 value www.baidu.com user@host# custom-url-category cust-list value cust-list user@host# custom-url-category cust-list2 value cust-list2
テナントシステムの機能プロファイル
web-filteringを設定します。[edit tenants TSYS1 security utm feature-profile] user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 default log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list action log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list2 action block user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 fallback-settings default log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Adult_Content action block user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Social_Web_Facebook action log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category cust-list action block
-
テナントシステムのコンテンツセキュリティポリシーを設定します。
[edit tenants TSYS1 security utm ] user@host# set tenants TSYS1 security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
結果
設定モードから、 コマンドを入力して設定を
show tenants TSYS1 security utm custom-objects確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。user@host# show tenants TSYS1 security utm custom-objects url-pattern { cust-list { value [ www.ask.com www.playboy.com ]; } cust-list2 { value www.baidu.com; } } custom-url-category { cust-list { value cust-list; } cust-list2 { value cust-list2; } }設定モードから、 コマンドを入力して設定を
show tenants TSYS1 security utm feature-profile web-filtering確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。user@host# show tenants TSYS1 security utm feature-profile web-filtering juniper-local { profile my_local1 { default log-and-permit; category { cust-list { action log-and-permit; } cust-list2 { action block; } } fallback-settings { default log-and-permit; } } } juniper-enhanced { profile ewf_my_profile1 { category { Enhanced_Adult_Content { action block; } Enhanced_Social_Web_Facebook { action log-and-permit; } cust-list { action block; } } } }
設定モードから、 コマンドを入力して設定を
show tenants TSYS1 security utm確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。user@host# show tenants TSYS1 security utm utm-policy utmpolicy1 { web-filtering { http-profile ewf_my_profile1; } }
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
Web フィルタリング設定の検証
目的
Web フィルタリング機能がテナント システム向けに構成されていることを確認します。
アクション
運用モードから、 コマンドを show security utm web-filtering statistics tenant TSYS1 入力して、テナント システムに設定された Web フィルタリング機能の詳細を表示します。
user@host> show security utm web-filtering statistics tenant TSYS1
UTM web-filtering statistics:
Total requests: 19784932
white list hit: 0
Black list hit: 0
No license permit: 0
Queries to server: 19782736
Server reply permit: 18819472
Server reply block: 0
意味
出力には、テナント システムの Web フィルタリング統計が表示されます。