UTMシステムの設計
統合脅威管理(UTM)は、ネットワーク上の SRX シリーズ デバイスに複数のセキュリティ機能とサービスを提供し、簡素化された方法でセキュリティ上の脅威からユーザーを保護します。UTMディープ パケット インスペクションを使用して受信データをスキャンすることで、ウィルス、マルウェア、悪意のある添付ファイルからテナント システムを保護し、拡張 Web フィルタリング(EWF)をインストールすることで望ましくない Web サイトへのアクセスを防ぐ必要があります。
テナント システムUTMの特長を理解する
テナント システムの Unified Threat Management(UTM)は、アンチスパム、アンチウィルス、コンテンツ フィルタリング、Web フィルタリング などの複数のセキュリティ機能を提供し、インターネットを媒介した複数の脅威からユーザーを保護します。マルチセキュリティUTMは、これらの複数のセキュリティ機能のインストールと管理を合理化する方法です。テナント システム管理者がマルチテナント機能UTMします。テナント システムUTM機能の設定は、テナント システム用に構成されていないデバイス上で UTM 機能を設定するのと似ています。
このソリューションの一部として提供されるセキュリティ機能UTMは次のとおりです。
アンチスパム フィルタリング— 電子メール スパムは、通常、商業組織、悪意のある組織、詐欺的組織から送信される迷惑な電子メール メッセージで構成されています。アンチスパム機能は、送信された電子メール メッセージを調査して、電子メール スパムを識別します。デフォルトのアンチスパム機能はテナント システム管理者に設定され、すべてのテナント システムに適用されます。
コンテンツフィルタリング:コンテンツフィルタリングは、MIMEタイプ、ファイル拡張子、プロトコルコマンド、組み込みオブジェクトタイプに基づいて、特定タイプのトラフィックをブロックまたは許可します。デフォルトのコンテンツ フィルタリング機能はテナント システム管理者に設定され、すべてのテナント システムに適用されます。
Web フィルタリング —Web フィルタリングWeb コンテンツへのアクセスを防止することで、インターネット使用を管理できます。デフォルトのWeb フィルタリング機能はテナント システム管理者に設定され、テナント システムはこれらのデフォルトのネットワーク設定Web フィルタリング継承します。
Sophos Antivirus —Sophos アンチウイルス スキャンは、完全なファイルベースのアンチウィルス機能に代わる CPU 集約型の代替手段として提供されます。Sophos Antivirus は、新しいソリューションとして提供されるクラウドソリューションです。テナント システム管理者はデフォルトのウィルス対策機能を設定し、テナント システムはこれらのデフォルトのウィルス対策設定を継承します。
Aviraアンチウイルス —Aviraアンチウイルス機能プロファイルの設定には、ウィルス検出タイプ、許可リスト、ブロックリスト、フォールバック、通知オプションなどのスキャンオプションがあります。ルートシステムでは、1つのAviraアンチウイルス、Web フィルタリング、アンチスパムフィルタリング、またはコンテンツフィルタリングエンジンのみを実行しています。デフォルト設定では、Aviraアンチウイルス、Web フィルタリングアンチスパムフィルタリング機能タイプを設定する必要があります。rootユーザーだけが設定しますすべてのテナントで、同じルーティング エンジンとプロファイル タイプを使用する必要があります。
ネットワーク機能、アンチスパム機能、コンテンツ フィルタリング機能Web フィルタリングする前に、カスタム オブジェクトを設定するUTM必要があります。テナント システムごとにカスタム オブジェクトを設定できます。
テナント システム管理者UTM、Web フィルタリング、コンテンツ フィルタリング、アンチウィルス、およびアンチスパム プロファイルに関する事前定義済みのポリシー パラメーターがデフォルトで設定されます。テナント システムは、テナント システム管理者に対して設定Web フィルタリングウィルス対策とサービス 機能を継承します。ウィルス対策プロファイル、およびアンチスパム プロファイルなどのオプションとアンチスパム プロファイルのオプションは、それぞれ以下の階層レベル mime-whitelist url-whitelist address-blacklist address-whitelist で設定できます。
[edit security utm feature-profile anti-virus sophos-engine profile][edit security utm feature-profile anti-spam sbl profile]
オプションと Web 適合プロファイルではサポートされていません。カスタム カテゴリ オプションを使用して機能 url-whitelist url-blacklist を達成できます。
例: テナント システムUTMの設定
この例では、テナントシステムでアンチウィルスUTMアンチスパム、コンテンツフィルタリング、カスタムメッセージ、カスタムURLカテゴリー、Web フィルタリング機能を構成する方法を示しています。テナント システム管理者は、テナント システムに対してUTM機能を割り当てる必要があります。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズを使用して設定したデバイスを削除できます。
Junos OS リリース 19.2R1以降のリリース。
開始する前に、以下を実行します。
テナント システムの役割と機能を理解する。テナントシステムの概要を参照してください。
概要
テナント システム管理者は、アンチウィルスUTMスパム、コンテンツ フィルタリング、Web フィルタリング機能をテナント システムに割り当てる。
この例では、テナントシステムのUTM設定方法を示しています。
構成
CLI迅速な設定
この例を迅速に設定するには、プライマリ論理システムにプライマリ論理システムにログインし、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードからを入力します。 [edit] commit
set tenants TSYS1 security utm custom-objects url-pattern cust-list value www.ask.com set tenants TSYS1 security utm custom-objects url-pattern cust-list value www.playboy.com set tenants TSYS1 security utm custom-objects url-pattern cust-list2 value www.baidu.com set tenants TSYS1 security utm custom-objects custom-url-category cust-list value cust-list set tenants TSYS1 security utm custom-objects custom-url-category cust-list2 value cust-list2 set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 default log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list action log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list2 action block set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 fallback-settings default log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Adult_Content action block set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Social_Web_Facebook action log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category cust-list action block set tenants TSYS1 security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
テナント システムUTMの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」 の「 設定モードでの CLI エディターの使用 」を参照してください。
テナント システムにログインし、設定モードにします。
user@host> configure admin@host#
テナント システムのカスタム オブジェクトを設定します。
[edit tenants TSYS1 security utm custom-objects] user@host# url-pattern cust-list value www.ask.com user@host# url-pattern cust-list value www.playboy.com user@host# url-pattern cust-list2 value www.baidu.com user@host# custom-url-category cust-list value cust-list user@host# custom-url-category cust-list2 value cust-list2
テナント システムの
web-filtering機能プロファイルを設定します。[edit tenants TSYS1 security utm feature-profile] user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 default log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list action log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list2 action block user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 fallback-settings default log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Adult_Content action block user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Social_Web_Facebook action log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category cust-list action block
テナント システムUTMポリシーを設定します。
[edit tenants TSYS1 security utm ] user@host# set tenants TSYS1 security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
結果
設定モードから、 コマンドを入力して設定を確認
show tenants TSYS1 security utm custom-objectsします。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。user@host# show tenants TSYS1 security utm custom-objects url-pattern { cust-list { value [ www.ask.com www.playboy.com ]; } cust-list2 { value www.baidu.com; } } custom-url-category { cust-list { value cust-list; } cust-list2 { value cust-list2; } }設定モードから、 コマンドを入力して設定を確認
show tenants TSYS1 security utm feature-profile web-filteringします。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。user@host# show tenants TSYS1 security utm feature-profile web-filtering juniper-local { profile my_local1 { default log-and-permit; category { cust-list { action log-and-permit; } cust-list2 { action block; } } fallback-settings { default log-and-permit; } } } juniper-enhanced { profile ewf_my_profile1 { category { Enhanced_Adult_Content { action block; } Enhanced_Social_Web_Facebook { action log-and-permit; } cust-list { action block; } } } }
設定モードから、 コマンドを入力して設定を確認
show tenants TSYS1 security utmします。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。user@host# show tenants TSYS1 security utm utm-policy utmpolicy1 { web-filtering { http-profile ewf_my_profile1; } }
デバイスの設定が完了したら、設定モード commit から を入力します。
検証
設定が正常に機能されていることを確認するには、次のタスクを実行します。
Web フィルタリング設定の検証
目的
テナント システムにWeb フィルタリング機能が設定されていることを検証します。
アクション
動作モードから、 コマンドを入力して、テナント システムに設定 show security utm web-filtering statistics tenant TSYS1 されたWeb フィルタリング機能の詳細を表示します。
user@host> show security utm web-filtering statistics tenant TSYS1
UTM web-filtering statistics:
Total requests: 19784932
white list hit: 0
Black list hit: 0
No license permit: 0
Queries to server: 19782736
Server reply permit: 18819472
Server reply block: 0
意味
テナント システムのWeb フィルタリング統計データが出力に表示されます。