テナントシステムのコンテンツセキュリティ
コンテンツセキュリティは、ネットワーク上のセキュリティデバイスに複数のセキュリティ機能とサービスを提供し、簡素化された方法でセキュリティ上の脅威からユーザーを保護します。コンテンツセキュリティは、ディープパケットインスペクションを使用して受信データをスキャンすることで、テナントシステムをウイルス、マルウェア、または悪意のある添付ファイルから保護し、拡張Webフィルタリング(EWF)をインストールすることで、望ましくないWebサイトへのアクセスを防止します。
テナントシステムのコンテンツセキュリティ機能について
テナントシステムのコンテンツセキュリティは、アンチスパム、アンチウィルス、コンテンツフィルタリング、Webフィルタリングなど、いくつかのセキュリティ機能を提供し、インターネット媒介する複数の脅威からユーザーを保護します。コンテンツセキュリティの利点は、これらの複数のセキュリティ機能のインストールと管理を合理化できることです。テナントシステム管理者は、コンテンツセキュリティ機能を設定します。テナントシステム用のコンテンツセキュリティ機能の設定は、テナントシステム用に設定されていないデバイス上でコンテンツセキュリティ機能を設定することと似ています。
コンテンツセキュリティソリューションの一部として提供されるセキュリティ機能は次のとおりです。
アンチスパムフィルタリング—電子メールスパムは、通常、商業、悪意のある、または不正なエンティティによって送信される望ましくない電子メールメッセージで構成されています。アンチスパム機能は、送信された電子メールメッセージを検査して、電子メールスパムを特定します。デフォルトのアンチスパム機能は、テナントシステム管理者で設定され、すべてのテナントシステムに適用できます。
コンテンツフィルタリング—コンテンツフィルタリングは、MIMEタイプ、ファイル拡張子、プロトコルコマンド、組み込みオブジェクトタイプに基づいて、特定のタイプのトラフィックをブロックまたは許可します。デフォルトのコンテンツフィルタリング機能は、テナントシステム管理者によって設定され、すべてのテナントシステムに適用されます。
Webフィルタリング—Webフィルタリングを使用すると、不適切なWebコンテンツへのアクセスを防止してインターネットの使用を管理できます。デフォルトのWebフィルタリング機能は、テナントシステム管理者で設定され、テナントシステムはこれらのデフォルトのWebフィルタリング設定を継承します。
Sophos Antivirus —Sophos Antivirusスキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU負荷の低い代替手段として提供されています。Sophos Antivirus は、クラウド内のアンチウィルスソリューションです。デフォルトのアンチウィルス機能はテナントシステム管理者で設定され、テナントシステムはこれらのデフォルトのアンチウィルス設定を継承します。
Avira Antivirus —Avira Antivirus 機能プロファイルの設定には、ウイルス検出タイプ、許可リスト、ブロックリスト、フォールバック、通知オプションなどのスキャン オプションが含まれます。ルートシステムで実行されているAviraアンチウイルス、Webフィルタリング、スパム対策フィルタリング、コンテンツフィルタリングエンジンの1つだけ。デフォルト設定で、Aviraアンチウィルス、Webフィルタリング、およびアンチスパムフィルタリング機能タイプを設定する必要があります。これは、rootユーザーのみが設定します。すべてのテナントが同じルーティングエンジンとプロファイルタイプを使用する必要があります。
コンテンツセキュリティ機能を設定する前に、Webフィルタリング、スパム対策、コンテンツフィルタリング機能用のカスタムオブジェクトを設定する必要があります。各テナントシステムに対してカスタムオブジェクトを設定できます。
Webフィルタリング、コンテンツフィルタリング、アンチウイルス、アンチスパムプロファイル用に定義済みのコンテンツセキュリティデフォルトポリシーパラメータは、テナントシステム管理者で設定します。テナントシステムは、テナントシステム管理者用に設定されたものと同じアンチウィルスおよびWebフィルタリング機能を継承します。アンチウイルスプロファイルの mime-whitelist と url-whitelist 、アンチスパムプロファイルの address-blacklist と address-whitelist などのオプションは、それぞれ以下の階層レベルで設定できます。
[edit security utm feature-profile anti-virus sophos-engine profile][edit security utm feature-profile anti-spam sbl profile]
オプション url-whitelist と url-blacklist はWebフィッターリングプロファイルではサポートされていません。カスタムカテゴリオプションを使用して機能を実現できます。
例:テナントシステムのコンテンツセキュリティの設定
この例では、テナントシステムでコンテンツセキュリティ機能アンチウィルス、アンチスパム、コンテンツフィルタリング、カスタムメッセージ、カスタムURLカテゴリ、Webフィルタリングを設定する方法を示します。テナントシステム管理者は、テナントシステムにコンテンツセキュリティ機能を割り当てる責任があります。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
テナントシステムで設定されたSRXシリーズファイアウォール
Junos OSリリース19.2R1以降のリリース。
始める前に:
テナントシステムの役割と機能を理解する。テナントシステムの概要を参照してください。
概要
テナントシステム管理者は、コンテンツセキュリティ機能であるアンチウィルス、アンチスパム、コンテンツフィルタリング、およびWebフィルタリングをテナントシステムに割り当てます。
この例では、テナントシステムのコンテンツセキュリティ機能を設定する方法を示しています。
設定
CLIクイックコンフィグレーション
この例を迅速に設定するには、プライマリ論理システムにプライマリ管理者としてログインし、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set tenants TSYS1 security utm custom-objects url-pattern cust-list value www.ask.com set tenants TSYS1 security utm custom-objects url-pattern cust-list value www.playboy.com set tenants TSYS1 security utm custom-objects url-pattern cust-list2 value www.baidu.com set tenants TSYS1 security utm custom-objects custom-url-category cust-list value cust-list set tenants TSYS1 security utm custom-objects custom-url-category cust-list2 value cust-list2 set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 default log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list action log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list2 action block set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 fallback-settings default log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Adult_Content action block set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Social_Web_Facebook action log-and-permit set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category cust-list action block set tenants TSYS1 security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
テナントシステムのコンテンツセキュリティの設定
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
テナントシステムにログインし、設定モードに入ります。
user@host> configure admin@host#
テナントシステムのカスタムオブジェクトを設定します。
[edit tenants TSYS1 security utm custom-objects] user@host# url-pattern cust-list value www.ask.com user@host# url-pattern cust-list value www.playboy.com user@host# url-pattern cust-list2 value www.baidu.com user@host# custom-url-category cust-list value cust-list user@host# custom-url-category cust-list2 value cust-list2
テナントシステムの機能プロファイル
web-filteringを設定します。[edit tenants TSYS1 security utm feature-profile] user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 default log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list action log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 category cust-list2 action block user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-local profile my_local1 fallback-settings default log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Adult_Content action block user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category Enhanced_Social_Web_Facebook action log-and-permit user@host# set tenants TSYS1 security utm feature-profile web-filtering juniper-enhanced profile ewf_my_profile1 category cust-list action block
-
テナントシステムのコンテンツセキュリティポリシーを設定します。
[edit tenants TSYS1 security utm ] user@host# set tenants TSYS1 security utm utm-policy utmpolicy1 web-filtering http-profile ewf_my_profile1
結果
設定モードから、
show tenants TSYS1 security utm custom-objectsコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。user@host# show tenants TSYS1 security utm custom-objects url-pattern { cust-list { value [ www.ask.com www.playboy.com ]; } cust-list2 { value www.baidu.com; } } custom-url-category { cust-list { value cust-list; } cust-list2 { value cust-list2; } }設定モードから、
show tenants TSYS1 security utm feature-profile web-filteringコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。user@host# show tenants TSYS1 security utm feature-profile web-filtering juniper-local { profile my_local1 { default log-and-permit; category { cust-list { action log-and-permit; } cust-list2 { action block; } } fallback-settings { default log-and-permit; } } } juniper-enhanced { profile ewf_my_profile1 { category { Enhanced_Adult_Content { action block; } Enhanced_Social_Web_Facebook { action log-and-permit; } cust-list { action block; } } } }
設定モードから、
show tenants TSYS1 security utmコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。user@host# show tenants TSYS1 security utm utm-policy utmpolicy1 { web-filtering { http-profile ewf_my_profile1; } }
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
Webフィルタリング設定の確認
目的
テナントシステムにWebフィルタリング機能が設定されていることを確認します。
アクション
動作モードから、 show security utm web-filtering statistics tenant TSYS1 コマンドを入力して、テナントシステムに設定されたWebフィルタリング機能の詳細を表示します。
user@host> show security utm web-filtering statistics tenant TSYS1
UTM web-filtering statistics:
Total requests: 19784932
white list hit: 0
Black list hit: 0
No license permit: 0
Queries to server: 19782736
Server reply permit: 18819472
Server reply block: 0
意味
出力には、テナントシステムのWebフィルタリング統計が表示されます。