Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Sophos アンチウィルス保護

Sophos アンチウイルス スキャナは、ローカル内部キャッシュを使用して外部リスト サーバーからのクエリ応答を維持し、ルックアップ パフォーマンスを向上させます。Sophos アンチウイルス スキャンは、ファイルベースの完全アンチウィルス機能に代わる CPU 負荷の少ない代替手段として提供されます。詳細については、以下のトピックを参照してください。

Sophos アンチウィルス保護の概要

Sophos アンチウィルスは、クラウド内のアンチウィルス ソリューションです。ウィルスパターンとマルウェアデータベースは、Sophos(Sophos Extensible List)サーバーが管理する外部サーバー上に配置されているため、ジュニパーデバイスで大規模なパターンデータベースをダウンロードして管理する必要はありません。Junos OS リリース 23.1R1 以前は、Sophos アンチウイルス スキャナーはローカル内部キャッシュを使用して外部リスト サーバーからのクエリ応答を維持し、ルックアップ パフォーマンスを向上させました。

ジュニパーコンテンツセキュリティによって処理される大量のトラフィックはHTTPベースであるため、ユニフォームリソース識別子(URI)チェックを使用して、悪意のあるコンテンツがエンドポイントクライアントまたはサーバーに到達するのを効果的に防ぎます。HTTP トラフィックに対して実行されるチェックは、URI ルックアップ、真のファイル タイプ検出、ファイル チェックサム ルックアップです。HTTP、FTP、SMTP、POP3、IMAP のアプリケーション レイヤー プロトコルがサポートされています。

ファイルベースの完全なウィルス対策機能は、Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 以降ではサポートされていません。以前のリリースでは、sophos アンチウイルス スキャンは、ファイルベースの完全アンチウィルス機能に代わる CPU を消費する代わりとして提供されています。Sophos は、フル ウィルス対策と同じプロトコルとほとんど同じ方法で機能します。ただし、メモリフットプリントが小さく、メモリが少ないローエンドデバイスと互換性があります。

Junos OSリリース15.1X49-D100以降、HTTP、HTTPS、FTP、SMTP、POP3のIPv6パススルートラフィックは、Sophosアンチウィルス、Webフィルタリング、コンテンツセキュリティのコンテンツフィルタリングセキュリティ機能に対応しています。

Junos OS リリース 12.3X48-D35 および Junos OS リリース 17.3R1 以降、tcp-proxy 転送を最適化するために、SAV(Content Security Sophos アンチウイルス)シングル セッション スループットが増加しました。

Junos OS リリース 19.4R1 以降、アンチウィルス機能は暗黙的および明示的な SMTPS、IMAPS、POP3S プロトコルをサポートし、明示的なパッシブ モード FTPS のみをサポートします。

暗示的モード—セキュアチャネルを使用してSSL/TLS暗号化ポートに接続します。

明示的モード—まず保護されていないチャネルに接続し、次に STARTTLS コマンドを発行して通信を保護します。POP3S では、STLS コマンドを使用します。

Junos OS リリース 23.1R1 以降、コンテンツ セキュリティは新しいアンチウィルス Sophos Live Protection バージョン 2.0 をサポートしています。Sophos アンチウイルスの新バージョンでは、デバイスとサーバー間の通信に HTTPS 接続が使用されます。HTTPS 接続では、SSL 初期化プロファイルを作成し、プロファイルを Sophos エンジンのデフォルト設定に追加する必要があります。

Sophos アンチウィルス機能

Sophosアンチウイルスには、以下の主な機能があります。

  • Sophos antivirus expanded MIME decoding supportSophos アンチウイルスは、HTTP、POP3、SMTP、IMAP のデコードをサポートしています。MIMEデコードのサポートには、サポートされているプロトコルごとに以下が含まれます。

    • マルチパートとネストされたヘッダー デコード

    • 対象領域におけるベース64デコード、プリント・クォート・デコード、エンコード・ワード・デコード

  • Sophos antivirus supports HTTPS trafficJunos OS リリース 12.3X48-D25 および Junos OS リリース 17.3R1 以降、SSL フォワード プロキシーを介した Sophos アンチウイルスは HTTPS トラフィックをサポートしています。SSLフォワードプロキシを介したS sophosアンチウイルスは、SRXシリーズファイアウォールを通過するHTTPSトラフィックを傍受することで、そうします。SRX シリーズ ファイアウォールからのセキュリティ チャネルは、クライアントと SRX シリーズ ファイアウォールの間の 1 つの SSL チャネルと、SRX シリーズ ファイアウォールと HTTPS サーバー間の別の SSL チャネルとして分割されます。SSLフォワードプロキシは、両方のチャネルの端末として機能し、クリアテキストトラフィックをコンテンツセキュリティに転送します。Content Security は、URL とファイルチェックサム情報をクリアテキスト トラフィックから抽出します。Sophos アンチウイルス スキャナは、リクエストをブロックするか許可するかを決定します。

    SSLフォワードプロキシーは、クライアント認証をサポートしていません。サーバーでクライアント認証が必要な場合、Content Securityはトラフィックをバイパスします。Content Security は、以下の条件で HTTPS トラフィックをバイパスします。

    • SSL プロキシがクライアントからの最初のハンドシェイク パケットを解析しない場合、SSL フォワード プロキシーはトラフィックをバイパスします。

    • 互換性の問題でクライアントとサーバーとの SSL プロキシ ハンドシェイクが不完全な場合、接続は切断されます。

    • システム リソースが低い場合、SSL フォワード プロキシーは新しい接続を処理できず、Sophos アンチウイルスはトラフィックをバイパスします。

    • HTTPS トラフィックが SSL フォワード プロキシーの許可リストに入った場合、SSL フォワード プロキシーと Sophos アンチウイルスはトラフィックをバイパスします。

  • Sophos antivirus scan result handlingSophosアンチウイルスを使用すると、ウィルスが検出され、データコンテンツがドロップされると、TCPは正常にトラフィックを閉じられます。

    以下のフェイルモードオプションとして、コンテンツサイズ、デフォルト、エンジン未対応、リソース不足、タイムアウト、および多すぎるリクエストがサポートされています。ブロック、ログと許可、および許可のアクションを設定できます。Sophos でサポートされているオプションのフェイル モードでの処理は、フル ウィルス対策の場合とほとんど同じです。

  • Sophos Uniform Resource Identifier checking—Sophos は、アンチスパムリアルタイム NULL ルート リスト(RBL)ルックアップと同様の、統一リソース識別子(URI)チェックを提供します。URI チェックは、HTTP トラフィック内の URI コンテンツを Sophos データベースに対して分析し、マルウェアや悪意のあるコンテンツを特定する方法です。マルウェアは主に静的であるため、チェックサム メカニズムを使用してマルウェアを特定し、パフォーマンスを向上させます。チェックサムを使用できるファイルには、.exe、.zip、.rar、.swf、.pdf、.ole2(doc および xls)が含まれています。

    HTTP トラフィックがない内部ネットワークや、外部からアクセスできない Web サーバーを持つジュニパーネットワークスのデバイスが内部ネットワークを保護している場合は、URI チェックをオフにすることもできます。Web サーバーが外部からアクセスできない場合、Sophos URI データベース内の URI 情報が含まれている可能性は低いです。URI チェックはデフォルトでオンになっています。

    Junos OS リリース 18.4R1 以降では、URI チェックはデフォルトでオフになっています。

Sophos アンチウイルス データ ファイルの更新について

Sophosアンチウイルスは、定期的に更新する必要がある小さなデータファイルセットを使用します。これらのデータ ファイルには、スキャン ロジックをガイドする情報のみが含まれており、完全なパターン データベースは含まれていません。重要なウィルス、URI チェック、マルウェア、ワーム、トロイの木馬、スパイウェアに対する保護を含む主なパターン データベースは、Sophos が管理するリモート Sophos Extensible List サーバーにあります。

Sophos データ ファイルは HTTP または HTTPS 経由で更新され、手動で更新することも、自動的に更新するようにスケジュールすることもできます。Sophos アンチウイルスを使用:

  • 署名データベースの自動更新間隔は、デフォルトでは 1 日に 1 回です。この間隔は変更できます。

  • データ ファイルの更新中にウィルス スキャン機能が中断することはありません。更新に失敗した場合、既存のデータファイルは引き続き使用されます。

  • デフォルトでは、Sophos アンチウイルス データ ファイル更新用の URL は http://update.juniper-updates.net/SAV/

メモ:

Sophos アンチウィルス スキャン機能は、個別にライセンスされたサブスクリプション サービスです。アンチウィルス ライセンス キーが期限切れになると、パターン ルックアップ データベースがリモートの Sophos サーバー上にあるため、機能は機能しなくなります。ライセンスを更新するための30日間の猶予期間があります。

Sophos Antivirus と Kaspersky Antivirus の比較

Kaspersky および Express アンチウイルス機能は、Junos OS リリース 15.1x49-D10 および Junos OS リリース 17.3R1 以降ではサポートされていません。以前のリリースでは、Sophos Antivirus は Juniper Express Antivirus によく似ていて、フル アンチウイルス機能と類似しています。

  • Juniper Express およびフル アンチウイルス ソリューションとは異なり、Sophos のアンチウィルスおよびマルウェア データベースは、リモートの Sophos Extensible List サーバーのグループに保存されます。クエリーは、DNS プロトコルを使用して実行されます。Sophosはこれらのサーバーを管理しているため、ジュニパーデバイスで大きなパターンデータベースをダウンロードして保守する必要はありません。データベースはリモートで、新たなウイルスの流行に迅速に対応できるからです。ウィルス対策データベースにはサイズ制限はありませんが、スキャン ファイルのサイズには制限があります。

    メモ:

    Sophosアンチウイルスは、定期的に更新する必要がある一連のデータファイルを使用します。これらは、典型的なウイルスパターンファイルではありません。ウィルス スキャンロジックをガイドするのに役立つ小さなファイルのセットです。データ ファイルを手動でダウンロードすることも、自動ダウンロードを設定することもできます。

  • Sophos は、Kaspersky Antivirus と同じプリスクリーン検出を提供しません。Sophos は、Sophos エンジンの一部であり、オン/オフを切り替えることができない類似のソリューションを提供します。

  • Sophos アンチウィルス スキャン機能は、個別にライセンスされたサブスクリプション サービスです。また、パターン ルックアップ データベースは Sophos が管理するリモート サーバー上に配置されているため、アンチウィルス ライセンス キーが期限切れになると、機能は機能しなくなります。ライセンスを更新するための30日間の猶予期間があります。

Sophos アンチウィルス構成の概要

Sophos アンチウイルスは Content Security 機能セットの一部であるため、最初に Content Security オプション(カスタム オブジェクト)を設定し、Sophos 機能を設定してから、Content Security ポリシーとセキュリティ ポリシーを作成します。セキュリティ ポリシーは、デバイスによって転送されるすべてのトラフィックを制御し、Content Security ポリシーはトラフィックのスキャンに使用するパラメーターを指定します。また、Content Security ポリシーは、一連のプロトコルを 1 つ以上の Content Security 機能プロファイル(この場合は Sophos アンチウイルスなど)にバインドするためにも使用されます。

Sophos アンチウイルスを設定するには、以下のタスクを完了する必要があります。

  1. Content Security カスタム オブジェクトと MIME リストを構成します。例:Sophos Antivirusカスタムオブジェクトの設定
  2. Sophos アンチウィルス機能プロファイルを設定します。例 : Sophos アンチウイルス機能プロファイルの設定を参照してください。
  3. コンテンツセキュリティポリシーを設定します。「例:Sophos Antivirus Content Security Policiesの設定
  4. セキュリティ ポリシーを設定します。例 : Sophos アンチウィルス ファイアウォール セキュリティ ポリシーの設定を参照してください。

例:Sophosアンチウィルスカスタムオブジェクトの設定

この例では、Sophos アンチウイルスで使用する Content Security グローバル カスタム オブジェクトを作成する方法を示します。

要件

開始する前に、Content Security カスタム オブジェクトについてお読みください。 「コンテンツ セキュリティの概要」を参照してください。

概要

MIME リストを構成します。これには、ウィルス対策スキャン用の MIME 許可リストと MIME 例外リストの作成が含まれます。この例では、MIME タイプが quicktime-inappropriate でない限り、QuickTime ビデオのスキャンをバイパスします。

構成

手順

GUI クイックコンフィギュレーション
手順

MIME リストを構成するには::

  1. タスクバーの [ 構成 ] タブをクリックし、[ セキュリティ>UTM>Custom オブジェクト] を選択します。

  2. [ MIME パターン リスト ] タブをクリックし、[ 追加] をクリックします。

  3. [MIME パターン名] ボックスに avmime2 と入力します。

  4. [MIME パターン値] ボックスに 「video/quicktime」と入力し、[ 追加] をクリックします。

  5. [MIME パターン値] ボックスに 「image/x-portable-anympa」と入力し、[ 追加] をクリックします。

  6. [MIME パターン値] ボックスに 「x-world/x-vrml」と入力し、[ 追加] をクリックします。

手順

MIME 例外リストを構成するには::

  1. タスクバーの [ 構成 ] タブをクリックし、[ セキュリティ>UTM>Custom オブジェクト] を選択します。

  2. [MIME パターン リスト] タブをクリックし、[追加] を選択します。

  3. [MIME パターン名] ボックスに exception-avmime2 と入力します。

  4. [MIME パターン値] ボックスに 「video/quicktime-inappropriate 」と入力し、[ 追加] をクリックします。

手順

アンチウィルス スキャンによってバイパスされる URL またはアドレスの URL パターン リスト(許可リスト)を設定します。URL パターン リストを作成した後、カスタム URL カテゴリ リストを作成し、パターン リストをそれに追加します。

メモ:

URL パターン リストを使用してカスタム URL カテゴリ リストを作成するため、カスタム URL カテゴリ リストを構成する前に、URL パターン リストのカスタム オブジェクトを構成する必要があります。

URLパターン許可リストを設定するには:

  1. タスクバーの [ 構成 ] タブをクリックし、[ セキュリティ>UTM>Custom オブジェクト] を選択します。

  2. [ URL パターン リスト ] タブをクリックし、[ 追加] をクリックします。

  3. [URL パターン名] ボックスに urlist2 と入力します。

  4. [URL パターン値] ボックスに「 http://example.net」と入力します。(URLの代わりにサーバーのIPアドレスを指定することもできます)。

手順

設定を保存します。

  1. [OK] をクリックして構成を確認し、その構成を候補の構成として保存します。

  2. デバイスの設定が完了したら、[ アクション>Commit] をクリックします。

メモ:

URL パターン ワイルドカードのサポート - ワイルドカード ルールは次のとおりです 。\*\.[]\?* では、すべてのワイルドカード URL の前に http:// する必要があります。「*」は、URL の先頭にあり、その後に「.」が続く場合にのみ使用できます。URL の末尾にのみ「?」を使用できます。

以下のワイルドカード構文がサポートされています:http://*example.net、http://www.example.ne?http://www.example.n?.以下のワイルドカード構文はサポートされていません。*.example.net 、 www.example.ne?、http://*example.net、http://*

手順

CLI を使用してアンチウィルス保護を設定するには、カスタム オブジェクトを次の順序で作成する必要があります。

  1. MIME 許可リストを作成します。

    MIME 例外リストを作成します。

  2. バイパスしたいURLまたはアドレスのURLパターンリスト(許可リスト)を設定します。URL パターン リストを作成した後、カスタム URL カテゴリ リストを作成し、パターン リストをそれに追加します。URLパターンリストのカスタムオブジェクトを設定するには、リスト名を作成し、次のように値を追加します。URL パターン リストを使用してカスタム URL カテゴリ リストを作成する場合、カスタム URL カテゴリ リストを構成する前に、URL パターン リストのカスタム オブジェクトを構成する必要があります。

    メモ:

    URL パターン ワイルドカードのサポート - ワイルドカード ルールは次のとおりです 。\*\.[]\?* では、すべてのワイルドカード URL の前に http:// する必要があります。「*」は、URL の先頭にあり、その後に「.」が続く場合にのみ使用できます。URL の末尾にのみ「?」を使用できます。

    以下のワイルドカード構文がサポートされています:http://*example.net、http://www.example.ne?http://www.example.n?.以下のワイルドカード構文はサポートされていません。*.example.net 、 www.example.ne?、http://*example.net、http://*

  3. 前に作成した URL パターン リスト urllist2 を使用して、カスタム URL カテゴリ リストカスタム オブジェクトを構成します。

検証

Sophosアンチウィルスのカスタムオブジェクト設定の確認

目的

Sophos Antivirus カスタム オブジェクトの設定を確認するには、 コマンドを show security utm custom-objects 入力します。

アクション

動作モードから コマンドを show security utm custom-objects 入力して、Sophos Antivirusカスタムオブジェクトの設定を確認します。

例:Sophos アンチウィルス機能プロファイルの設定

この例では、ウィルス スキャンに使用するパラメーターを定義する Sophos アンチウィルス プロファイルを設定する方法を示します。

要件

開始する前に、以下を行います。

概要

以下の構成では、Sophos をアンチウィルス エンジンとして定義し、データ ファイルの更新間隔、管理者向けの通知オプション、フォールバック オプション、ファイル サイズ制限などのパラメーターを設定します。

メモ:

[edit security utm feature-profile] Junos OSリリース18.2R1では、階層レベルは非推奨です。詳細については、コンテンツ セキュリティの概要を参照してください。

構成

手順

GUI クイックコンフィギュレーション
手順

次の例では、カスタムの Sophos プロファイルを作成する方法を示しています。ジュニパーネットワークスの事前設定プロファイルを使用する場合は、Content Securityポリシーでjunos-sophos-av-defaultsという名前のプロファイルを使用します。 例:Sophosアンチウイルスコンテンツセキュリティポリシーの設定を参照してください。

  1. エンジン タイプを選択して設定します。Sophosアンチウイルスを設定する場合は、sophos-engineを設定します。

    手順
    1. タスクバーの [ 構成 ] タブをクリックし、[ セキュリティ>UTM>Anti-Virus] を選択します。

    2. [ グローバル オプション] タブをクリックし、[ Sophos] をクリックします。

    3. [OK] をクリックし、変更をコミットします。

  2. 手順 1 の手順に従ってウィルス対策グローバル オプション画面に戻り、以下のパラメーターを設定します。

    手順
    1. MIME 許可リストの一覧で、 exception-avmime2 を選択します。

    2. URL 許可リストリストで 、custurl2 を選択します。

    3. 「パターン更新間隔(sec)」ボックスに 「2880」と入力します。

    4. このボックスに、SophosAdmin の電子メール データ ファイル更新通知を受け取る電子メール アドレスを入力します。例えば、 - admin@ example.net。

    5. 「カスタムメッセージの件名」ボックスに「 Sophos Data File Updated」と入力します。

    6. [OK] をクリックして構成を確認し、その構成を候補の構成として保存します。

  3. sophos-engine のプロファイルを設定し、パラメータを設定します。

    手順
    1. タスクバーの [ 構成 ] タブをクリックし、[ Security>UTM>Anti-Virus] を選択します。[ 追加] をクリックします。

    2. [プロファイルの追加] ボックスで、[ メイン ] タブをクリックします。

    3. [プロファイル名] ボックスに sophos-prof1 と入力します。

    4. [トリクリング タイムアウト] ボックスに 「180」と入力します。

      トリクリング オプションを有効にする場合、トリクリングはアンチウィルス スキャン中にファイルの一部をクライアントに送信する可能性があることを理解することが重要です。クライアントがコンテンツの一部を受信し、ファイルが完全にスキャンされる前にクライアントが感染する可能性があります。

    5. URI チェックはデフォルトでオンになっています。オフにするには、[URI] チェック ボックスで [ はい ] をオフにします。

    6. [コンテンツ サイズ制限] ボックスに 「20000」と入力します。

    7. [スキャン エンジンのタイムアウト] ボックスに「 1800」と入力します。

  4. フォールバック設定タブをクリックして 、フォールバック設定を構成 します。この例では、すべてのフォールバック オプションがログと許可に設定されています。[ ログ] をクリックし、次の項目を許可します。デフォルト アクション、コンテンツ サイズ、エンジン準備なし、タイムアウト、リソース不足、要求の数が多すぎます。

  5. [通知オプション] タブをクリックして 、通知オプション を構成します。フォールバック ブロックとフォールバック ノンブロッキング アクションとウィルス検出の両方の通知を構成できます。

    手順

    フォールバック設定の通知を構成するには:

    1. [通知の種類] で、[ プロトコル] をクリックします。

    2. [メール送信者に通知] で、[ はい] をクリックします。

    3. 「カスタム メッセージ」ボックスに「 フォールバック ブロックアクションが発生しました」と入力します。

    4. 「カスタム メッセージの件名」ボックスに 「***アンチウィルス フォールバック アラート***」と入力します。

  6. ウィルス検出の通知オプションを構成するには、 通知オプション cont... タブをクリックします。

    手順
    1. [通知タイプ] オプション ボタンで、[ プロトコル] を選択します。

    2. [メール送信者に通知] オプション ボタンで、[ はい] を選択します。

    3. [カスタム メッセージ] ボックスに「 ウィルスが検出されました」と入力します。

    4. 「カスタム メッセージの件名」ボックスに 「***ウィルス検出***」と入力します。

  7. [OK] をクリックして構成を確認し、その構成を候補の構成として保存します。

  8. デバイスの設定が完了したら、[ アクション>Commit] をクリックします。

手順

CLI を使用して Sophos アンチウィルス機能プロファイルを設定するには、次の手順に従います。

次の例では、カスタムの Sophos プロファイルを作成する方法を示しています。ジュニパーネットワークスの事前設定プロファイルを使用する場合は、Content Securityポリシーでjunos-sophos-av-defaultsという名前のプロファイルを使用します。 例:Sophosアンチウイルスコンテンツセキュリティポリシーの設定を参照してください。

  1. エンジン タイプを選択して設定します。Sophosアンチウイルスを設定するため、sophos-engineを設定します。

  2. 設定をコミットします。

  3. データファイルを更新する時間間隔を選択します。デフォルトのウィルス対策パターン更新間隔は 1440 分(24 時間ごと)です。このデフォルトのままにするか、変更することもできます。必要に応じて手動更新を強制することもできます。デフォルトを 24 時間ごとから 48 時間ごとに変更するには、

  4. プロキシサーバーの詳細を使用してネットワークデバイスを構成し、リモートサーバーからパターン更新をダウンロードします。

  5. ほとんどの場合、パターン データベースを更新するために URL を変更する必要はありません。このオプションを変更する必要がある場合は、次のコマンドを使用します。

  6. データ ファイルが更新されたときに、指定された管理者に通知するようにデバイスを設定できます。これは、カスタムメッセージとカスタム件名を含む電子メール通知です。

  7. フォールバック オプションのリストをブロック、ログ、許可、または許可として構成します。デフォルト設定は log-and-permit です。デフォルト設定を使用することも、変更することもできます。

    コンテンツサイズアクションを設定します。この例では、コンテンツ サイズを超えた場合、実行されるアクションはブロックされます。

    まず sophos-prof1 という名前のプロファイルを作成します。

    ブロックするコンテンツ サイズフォールバックオプションを設定します。

    ログアンド permit にデフォルトのフォールバック オプションを設定します。

    アンチウィルス エンジンの準備が整っていない場合は、log-and-permit を設定します。

    デバイスがリソース不足の場合は、log-and-permitを設定します。

    ウィルス スキャンのタイムアウトが発生した場合にログと許可を設定します。

    ウィルス エンジンが処理する要求が多すぎる場合は、log-and-permit を設定します。

  8. 通知オプションを設定します。フォールバック ブロック、フォールバック ノンブロッキング アクション、ウィルス検出の通知を構成できます。

    このステップでは、フォールバック ブロック アクション用のカスタム メッセージを構成し、プロトコルのみのアクションに関する通知を管理者と送信者に送信します。

  9. プロトコルのみのウィルス検出の通知を設定し、通知を送信します。

  10. コンテンツサイズパラメータを設定します。

    コンテンツサイズ値を設定する場合は、プロトコルヘッダーでコンテンツサイズが利用可能な場合があるため、スキャン要求が送信される前に最大コンテンツサイズフォールバックが適用されるように注意してください。ただし、多くの場合、コンテンツ サイズはプロトコル ヘッダーでは提供されません。このような場合、TCP ペイロードはアンチウィルス スキャナーに送信され、ペイロードの最後まで蓄積されます。累積ペイロードが最大コンテンツ サイズ値を超えた場合、最大コンテンツ サイズフォールバックが適用されます。デフォルトのフォールバックアクションはログと許可であるため、このオプションを変更して、そのようなパケットをドロップして、ブロックメッセージをクライアントに送信することができます。

    この例では、コンテンツ サイズが 20 MB を超えると、パケットがドロップされます。

  11. URI チェックはデフォルトでオンになっています。URI チェックをオフにするには:

  12. スキャン操作のタイムアウト設定を1800秒に設定します。

  13. Sophos Extensible List サーバーには、スキャン操作用のウィルスおよびマルウェアデータベースが含まれています。これらのサーバーの応答タイムアウトを 3 秒(デフォルトは 2 秒)に設定します。

  14. Sophos Extensible Listサーバー再試行オプションを2再試行(デフォルトは1)に設定します。

  15. トリクリング設定を180秒に設定します。トリクリングを使用する場合は、タイムアウトパラメータを設定することもできます。トリクリングは HTTP にのみ適用されます。HTTP トリクリングとは、ファイル転送中やウィルス対策スキャン中に HTTP クライアントやサーバーがタイムアウトしないようにするために使用されるメカニズムです。

    トリクリング オプションを有効にすると、トリクリングはウィルス対策スキャン中にファイルの一部をクライアントに送信する可能性があります。したがって、ファイルが完全にスキャンされる前に、クライアントが一部のコンテンツを受信している可能性があります。

  16. MIME バイパス リストと例外リストを使用するようにウィルス対策モジュールを構成します。独自のカスタムオブジェクトリストを使用することも、junos-default-bypass-mimeと呼ばれるデバイスに付属するデフォルトリストを使用することもできます。この例では、先ほど設定したリストを使用します。

  17. URLバイパスリストを使用するようにアンチウィルスモジュールを設定します。URL 許可リストを使用している場合、これは以前にカスタム オブジェクトとして設定したカスタム URL カテゴリです。URL 許可リストは HTTP トラフィックに対してのみ有効です。この例では、先ほど設定したリストを使用しています。

検証

現在のウィルス対策ステータスに関する情報の取得

目的
アクション

動作モードから、 コマンドを show security utm anti-virus status 入力してウィルス対策ステータスを表示します。

意味
  • アンチウィルス キーの有効期限日 — ライセンス キーの有効期限日。

  • 更新サーバー — データ ファイル更新サーバーの URL。

    • 間隔 — デバイスが更新サーバーからデータ ファイルを更新する時間(分)。

    • パターン更新ステータス — 次にデータ ファイルが更新されると、分で表示されます。

    • 最後の結果 — 最後に更新された結果。あなたは、すでに最新バージョンを持っている場合は、これが表示 already have latest databaseされます.

  • ウィルス対策署名バージョン — 現在のデータ ファイルのバージョン。

  • スキャン エンジン タイプ — 現在実行中のアンチウィルス エンジン タイプ。

  • スキャン エンジン情報 — 現在のスキャン エンジンで最後に発生したアクションの結果。

例:Sophosアンチウィルスコンテンツセキュリティポリシーの設定

この例では、Sophosアンチウイルス用のコンテンツセキュリティポリシーを作成する方法を示しています。

要件

Content Securityポリシーを作成する前に、カスタムオブジェクトと Sophos 機能プロファイルを作成します。

  1. Content Security カスタム オブジェクトと MIME リストを構成します。 「例: Sophos Antivirus カスタム オブジェクトの設定」を参照してください。

  2. Sophos アンチウィルス機能プロファイルを設定します。例 : Sophos アンチウイルス機能プロファイルの設定を参照してください。

概要

アンチウィルス機能プロファイルを作成した後、アンチウィルス スキャン プロトコルの Content Security ポリシーを設定し、このポリシーを機能プロファイルにアタッチします。この例では、 ステートメントで示 http-profile されているように、HTTPがウイルスをスキャンします。別のプロファイルを作成するか、imap-profile、pop3-profile、smtp-profile などの他のプロトコルをプロファイルに追加することで、他のプロトコルをスキャンすることもできます。

構成

手順

GUI クイックコンフィギュレーション
手順

Sophosアンチウイルス用のコンテンツセキュリティポリシーを設定するには、

  1. タスクバーの [ 構成 ] タブをクリックし、[ セキュリティ>ポリシー>UTM ポリシー] を選択します。次に[ 追加]をクリックします。

  2. [ メイン ] タブをクリックします。[ポリシー名] ボックスに utmp3 と入力します。

  3. [ ウィルス対策プロファイル ] タブをクリックします。HTTP プロファイルリストで sophos-prof1 を選択します。

  4. [OK] をクリックして構成を確認し、その構成を候補の構成として保存します。

  5. デバイスの設定が完了したら、[ アクション>Commit] を選択します。

手順

Sophosアンチウイルス用のコンテンツセキュリティポリシーを設定するには、

  1. セキュリティコンテンツセキュリティ階層の編集に移動します。

  2. Content Securityポリシーutmp3を作成し、http-profile sophos-prof1に添付します。前述のステートメントの sophos-prof1 を junos-sophos-av-default に置き換えることで、デフォルトの Sophos 機能プロファイル設定を使用できます。

検証

コンテンツセキュリティポリシー設定の確認

目的

コンテンツ セキュリティ ポリシーの設定を検証します。

アクション

動作モードから、 コマンドを show security utm utm-policy utmp3 入力します。

例:Sophosアンチウィルスファイアウォールセキュリティポリシーの設定

この例では、Sophosアンチウイルス用のセキュリティポリシーを作成する方法を示しています。

要件

セキュリティポリシーを作成する前に、カスタムオブジェクト、Sophos機能プロファイル、およびコンテンツセキュリティポリシーを作成します。

  1. Content Security カスタム オブジェクトと MIME リストを構成します。 「例: Sophos Antivirus カスタム オブジェクトの設定」を参照してください。

  2. Sophos アンチウィルス機能プロファイルを設定します。例 : Sophos アンチウイルス機能プロファイルの設定を参照してください。

  3. コンテンツセキュリティポリシーを設定します。 例:Sophosアンチウイルスコンテンツセキュリティポリシーの設定を参照してください。

概要

「例: Sophos アンチウイルス機能プロファイルの設定」で定義された機能プロファイル設定を使用して、untrust ゾーンから trust ゾーンへのトラフィックが Sophos アンチウイルスによってスキャンされるファイアウォール セキュリティ ポリシーを作成します。一致するアプリケーション構成が 任意に設定されているため、すべてのアプリケーション タイプがスキャンされます。

構成

手順

GUI クイックコンフィギュレーション
手順

Sophosアンチウイルスのセキュリティポリシーを設定するには:

  1. 信頼しないポリシーを構成して送信元アドレスまたは宛先アドレスと一致させ、スキャン any対象のアプリケーションを選択します。

    手順
    1. タスクバーの [ 構成 ] タブをクリックし、[ セキュリティ>ポリシー>FW ポリシー] を選択します。次に[追加]を選択 します

    2. [ポリシー名] ボックスに 「p3」と入力します。

    3. [ポリシーアクション]ボックスで、[ 許可]を選択します。

    4. [ゾーンから] ボックスの一覧で、[ untrust] を選択します。

    5. [ゾーンまで] ボックスの一覧で、[ 信頼] を選択します。

    6. [送信元アドレス] ボックスと [宛先アドレス] ボックスで、[Matched] が [任意] に設定されていることを確認します。

    7. [アプリケーション] ボックスの一覧から 任意のアプリケーション を選択し、一致した一覧に移動します。

  2. utmp3という名前のコンテンツセキュリティポリシーをファイアウォールセキュリティポリシーにアタッチします。これにより、Sophos アンチウィルス機能によって一致したトラフィックがスキャンされます。

    手順
    1. [ポリシーの編集] ボックスで、[ アプリケーション サービス ] タブをクリックします。

    2. [コンテンツ セキュリティ ポリシー] リストで、 utmp3 を選択します。

  3. [OK] をクリックして構成を確認し、その構成を候補の構成として保存します。

  4. デバイスの設定が完了したら、[ アクション>Commit] を選択します。

手順

Sophosアンチウイルスのセキュリティポリシーを設定するには:

  1. 信頼ポリシーが送信元アドレスと一致するように untrust を設定します。

  2. untrust を設定して、任意の宛先アドレスと一致するようにポリシーを信頼します。

  3. untrust を設定して、あらゆるアプリケーション タイプに一致するようにポリシーを信頼します。

  4. utmp3という名前のコンテンツセキュリティポリシーをファイアウォールセキュリティポリシーにアタッチします。これにより、Sophos アンチウィルス機能によって一致したトラフィックがスキャンされます。

検証

設定を確認するには、 コマンドを show security policies 入力します。

セキュリティ ポリシー設定の確認

目的

セキュリティ ポリシーの設定を確認するには、 コマンドを show security policies 入力します。

アクション

動作モードから、 コマンドを show security policies 入力します。

例:Sophos Antivirus Live Protection バージョン 2.0 の設定

この設定例を使用して、デバイスで Sophos アンチウイルス ライブ保護バージョン 2.0 を設定および検証します。Sophos アンチウイルスは、クラウド内のアンチウィルス ソリューションです。Sophos(Sophos Extensible List)サーバーが管理する外部サーバー上のウィルス パターンとマルウェアデータベースは、デバイスを分離して保護します。Junos OS リリース 23.1R1 以降、コンテンツ セキュリティは Sophos アンチウイルス ライブ保護バージョン 2.0 をサポートしています。新しいウィルス対策バージョンでは、HTTPS プロトコルを使用して SRX シリーズ ファイアウォールと Sophos サーバー間の通信を行います。

ヒント:
表 1:予測タイマー

可読性スコア

  • 読みやすさを実現:34

  • Flesch-Kincaid リーディング グレード レベル:11.9

読み取り時間

15 分未満。

設定時間

1時間以内。

前提条件の例

ハードウェア要件 SRX シリーズ ファイアウォールと vSRX 仮想ファイアウォール
ソフトウェア要件 Junos OS リリース 23.1R1 以降
ライセンス要件

Sophosアンチウイルスライブ保護バージョン2.0ライセンス

コマンドを show system license 使用して、デバイスに有効な Sophos アンチウイルス ライセンスがインストールされていることを確認します。アンチウィルス ライセンス キーが期限切れになると、パターン ルックアップ データベースがリモートの Sophos サーバー上にあるため、機能は機能しなくなります。

始める前に

利点

Sophos(Sophos Extensible List)サーバーが管理する外部サーバー上のウィルス パターンとマルウェアデータベースは、デバイスを分離して保護します。

SRX シリーズ ファイアウォールと Sophos サーバー間の HTTPS ベースのセキュアな接続を提供します。

役立つリソース:

詳細を知る

Sophos アンチウィルス保護

体験

vLab サンドボックス:ゾーン/ポリシー

詳細情報

コンテンツ セキュリティ アンチウイルス

機能概要

表 2 は、この例で導入された構成コンポーネントの概要を示しています。

表 2:Sophos Antivirus Functional の概要

プロファイル

初期化プロファイル

SRX シリーズ ファイアウォールの Sophos サーバー設定には、SSL 初期化プロファイル(ssl_init_prof)が含まれています。

SRXシリーズファイアウォールが、パケットをチェックするためのSOSサーバーとのHTTPSセッションを開始できるようにするためは、初期化プロファイルが必須です。SSL 初期化プロファイルは、Sophos サーバーとの間でパケットの暗号化と復号化も行います。

プロキシ プロファイル

SSL プロキシ プロファイルである は、 ssl_pr1クライアントが Web サーバーへの HTTPS セッションを開始する際に、SRX シリーズ ファイアウォールでパケットの暗号化解除を行い、アプリケーション サービスをさらに処理できるようにします。

機能プロファイル

機能プロファイル、 は、 content_security_sav_fpさまざまなコンテンツ セキュリティ ポリシーと一致条件を使用してファイアウォール セキュリティ ポリシー(p1)に適用されます。

コンテンツ セキュリティ ポリシーごとに複数の機能プロファイルを設定できます。

ポリシー

コンテンツ セキュリティ ポリシー

コンテンツ セキュリティ ポリシー 、 content_security_p1は、アンチウィルス プロトコル(HTTP、FTP、SMTP、POP3、IMAP)を定義し、このポリシーをセキュリティ機能プロファイルにアタッチして実装 content_security_sav_fpします。

セキュリティ ポリシー

2 つのセキュリティ ポリシー(p1 および trust_to_internet)には、セキュリティ ゾーン間のトラフィックに適用する単純な一致条件があります。

コンテンツセキュリティ content_security_p1 ポリシーとプロキシプロファイルを ssl_pr1 セキュリティポリシーのアプリケーションサービスに p1 アタッチします。

セキュリティ ゾーン

trust

ホスト(クライアント)ゾーンのネットワーク セグメント。

untrust

宛先サーバー(Web サービス)ゾーンのネットワーク セグメント。

internet

SRX シリーズ ファイアウォールが Sophos サーバーとやり取りするネットワーク セグメント。

プロトコル

HTTPS

HTTPS セッションは、クライアントと Web サーバー、SRX シリーズ ファイアウォール、Sophos サーバーの間で確立されます。
一次検証タスク
  • デバイスにインストールされているウィルス対策スキャン エンジンのタイプを確認します。

  • Sophos アンチウィルス エンジンの動作を確認します。

トポロジーの概要

この例では、クライアントはSRXシリーズファイアウォールを介してWebサービスへのリクエストを開始します。SRXシリーズファイアウォールがリクエストを受信すると、Sophosサーバーに問い合わせ、Webサービスの真正性を確認します。Sophos アンチウイルス バージョン 2.0 は、SRX シリーズ ファイアウォールと Sophos サーバー間の通信に HTTPS 接続を使用します。SRX シリーズ ファイアウォールは、Sophos サーバーから受信した応答に基づいて、コンテンツ セキュリティ ポリシーで定義されたトラフィックを許可またはブロックします。

トポロジー コンポーネント ロール 機能
クライアント Web サービスのリクエスト SRXシリーズファイアウォールを介してWebサーバーとのHTTPSセッションを開始します。
SRXシリーズファイアウォール ジュニパーネットワークスのファイアウォール SophosアンチウィルスサーバーとのHTTPSセッションを開始します。また、クライアントのパケットを暗号化および復号化します。
Sophos サーバー ウィルス対策サーバー SRX シリーズ ファイアウォールから受信したコンテンツを認証します。
Web サーバー Web サービス プロバイダ クライアントの要求に応答します。

トポロジーの図

図 1:Sophos Antivirus Live Protection Topology Sophos Antivirus Live Protection Topology

DUT(Device-Under-Test)の設定手順

メモ:

DUT の完全なサンプル構成については、以下を参照してください。

  1. デバイス インターフェイスを設定します。

  2. デバイスで Sophos アンチウイルスを有効にします。転送モードとトラフィックのタイプを設定すると、Sophos アンチウイルスがチェックする必要があります。

  3. SRX シリーズ ファイアウォールの Sophos サーバー設定に追加するための SSL 初期化プロファイルを定義します。

  4. SSL 初期化プロファイルを Sophos サーバー構成に含めます。この設定は、SRXシリーズファイアウォールが、パケットをチェックするためのSOSサーバーとのHTTPSセッションを開始できるようにするために必須です。また、初期化プロファイルは、Sophos サーバーとの間でパケットの暗号化と復号化を行います。

  5. セキュリティー・ポリシーに適用するための SSL プロキシー・プロファイルを定義します。SLL プロキシ プロファイルにより、SRX シリーズ ファイアウォールはパケットの暗号化解除を行い、さらにアプリケーションを処理できます。

  6. この機能プロファイルを定義して、Sophos アンチウイルスがチェックすべきトラフィックのタイプを示すために、そのプロファイルをコンテンツ セキュリティ ポリシーに添付します。コンテンツ セキュリティ ポリシーごとに複数の機能プロファイルを定義できます。

  7. セキュリティ ゾーンを定義します。

  8. コンテンツセキュリティポリシーを定義し、Sophosサーバーがチェックするトラフィックのタイプを示す機能プロファイルを添付します。

  9. セキュリティ ポリシーを定義し、異なるセキュリティ ゾーン間のトラフィックに適用する一致条件を設定します。

検証

この例の機能を検証するために使用する show コマンドのリストを提供します。

コマンド 検証タスク
show security utm アンチウィルス ステータス

デバイスにインストールされているウィルス対策のタイプとステータスを表示します。

show security utm アンチウィルス統計

デバイス上のウィルス対策のパフォーマンス統計を表示します。

アンチウィルス スキャン エンジン タイプの検証

目的

デバイスにインストールされているウィルス対策スキャン エンジン のタイプを確認します。

アクション

動作モードから、 を show security utm anti-virus status 入力して、インストールされているアンチウィルスのステータスを表示します。

意味

サンプル出力では、Sophos アンチウイルスがデバイスで使用可能であることを確認しています。

アンチウィルス スキャン エンジンのパフォーマンス検証

目的

デバイスでウィルス対策スキャン エンジンのパフォーマンスを確認します。

アクション

動作モードから、 を show security utm anti-virus statistics 入力すると、デバイス上のウィルス対策のパフォーマンス統計が表示されます。

意味

サンプル出力 Threat-found 値は、アンチウィルスが 1 つの脅威を検出したことを示しています。その他の統計値は安全です。

付録 1:すべてのデバイスでコマンドを設定する

すべてのデバイスでコマンド出力を設定します。

付録 2:DUT の設定出力を表示する

DUT のコマンド出力を表示します。

設定モードから、 、show security policiesshow interfacesshow security zonesおよび のコマンドをshow security utm入力して、設定をshow services ssl確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

例:SSL フォワード プロキシーを使用した Sophos アンチウイルス スキャナの設定

この例では、SRXシリーズファイアウォールを通過するHTTPSトラフィックをサポートするために、SSLフォワードプロキシ経由のS sophosアンチウイルスを設定する方法を示しています。

メモ:

Junos OS リリース 12.3X48-D25 および Junos OS リリース 17.3R1 以降、SSL フォワード プロキシーを介した Sophos アンチウイルスは HTTPS トラフィックをサポートしています。

要件

開始する前に、Sophos アンチウイルス機能について理解してください。 Sophosアンチウイルス機能を参照してください。

概要

この例では、HTTPSトラフィックをサポートするためにSSLフォワードプロキシ上でS sophosアンチウイルスを設定します。PKI 証明書の読み込み、自己署名 CA 証明書の生成、信頼できる CA リストの構成、ルート証明書を使用した SSL プロキシー プロファイルの構成、SSL フォワード プロキシーの有効化を行います。SSL フォワード プロキシーを介して Content Security を構成するには、まず送信元/宛先/アプリケーションを照合し、SSL プロキシー サービスを設定し、スキャンを実行して要求をブロックするか許可するかを判別します。

メモ:

[edit security utm feature-profile] Junos OSリリース18.2R1では、階層レベルは非推奨です。詳細については、コンテンツ セキュリティの概要を参照してください。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの edit CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

SSLフォワードプロキシを介してS sophos Antivirusを設定するには:

  1. デバイスで自己署名 CA 証明書を生成します。

  2. 信頼できる CA リストを設定します。

  3. ルート証明書を使用してSSLプロキシプロファイルを設定します。

  4. SSL フォワード プロキシーを有効にします。

結果

設定モードから、 、 、 show servicesコマンドを入力して設定をshow security utmshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

セキュリティ PKI ローカル証明書の検証

目的

セキュリティPKIローカル証明書を確認します。

アクション

コンフィグレーション モードから、 コマンドを show security pki local-certificate 入力します。

意味

サンプル出力では、PKI ローカル証明書 ssl-inspect-ca が設定されていることを確認します。

コンテンツ セキュリティアンチウィルス統計の検証

目的

コンテンツ セキュリティのアンチウィルス統計を検証します。

アクション

動作モードから、 コマンドを show security utm anti-virus statistics 入力します。

意味

サンプル出力には、Content Security アンチウィルス統計のリストが表示されます。

コンテンツ セキュリティアンチウィルス統計の詳細の検証

目的

Content Security アンチウィルス統計の詳細を検証します。

アクション

動作モードから、 コマンドを show security utm anti-virus statistics detail 入力します。

意味

サンプル出力は、ウィルス対策統計の詳細のリストを示しています。

コンテンツ セキュリティのウィルス対策ステータスの検証

目的

コンテンツ セキュリティのアンチウィルス ステータスを確認します。

アクション

動作モードから、 コマンドを show security utm anti-virus status 入力してウィルス対策ステータスを表示します。

意味
  • アンチウィルス キーの有効期限日 — ライセンス キーの有効期限日。

  • 更新サーバー — データ ファイル更新サーバーの URL。

    • 間隔 — デバイスが更新サーバーからデータ ファイルを更新する時間(分)。

    • 自動更新ステータス — データ ファイルの次回の自動更新を数分で表示します。

    • 最後の結果 — 最後にデータベースを更新した結果。

  • ウィルス対策署名バージョン — 現在のウィルス対策署名データ ファイルのバージョン。

  • スキャン エンジン タイプ — 現在実行中のウィルス対策スキャン エンジン タイプ。

  • スキャン エンジン情報 — 現在のスキャン エンジンで最後に発生したアクションの結果。

Sophos アンチウイルス データ ファイルの管理

開始する前に、以下を行います。

  • Sophos アンチウイルス ライセンスをインストールします。を参照してください。Installation and Upgrade Guide

  • デバイスのアンチウィルス機能として Sophos を設定します。例 : Sophos アンチウイルス機能プロファイルの設定を参照してください。ウィルス対策エンジンタイプを設定するには、 ステートメントを set security utm feature-profile anti-virus type sophos-engine 実行します。

この例では、データ ファイルを 4320 分ごとに(3 日ごとに)自動的に更新するようにセキュリティ デバイスを構成します。デフォルトのデータ ファイル更新間隔は 1440 分(24 時間ごと)です。

Sophos データ ファイルを自動的に更新するには、

メモ:

以下のコマンドは、CLI動作モードから実行されます。

データファイルを手動で更新するには、

データ ファイルを手動で再ロードするには、以下の手順にいます。

データ ファイルを手動で削除するには、以下の手順にいます。

ウィルス対策のステータスを確認するには、データファイルのバージョンも表示します。

プロキシ サーバーのステータスを確認するには、次の手順にしたがっています。

リリース履歴テーブル
リリース
説明
23.1R1
Junos OS リリース 23.1R1 以降、コンテンツ セキュリティは新しいアンチウィルス Sophos Live Protection バージョン 2.0 をサポートしています。Sophos アンチウイルスの新バージョンでは、デバイスとサーバー間の通信に HTTPS 接続が使用されます。HTTPS 接続では、SSL 初期化プロファイルを作成し、プロファイルを Sophos エンジンのデフォルト設定に追加する必要があります。
49-D100 x 15.1
Junos OSリリース15.1X49-D100以降、HTTP、HTTPS、FTP、SMTP、POP3のIPv6パススルートラフィックは、Sophosアンチウィルス、Webフィルタリング、コンテンツセキュリティのコンテンツフィルタリングセキュリティ機能に対応しています。
49-D10 x 15.1
ファイルベースの完全なウィルス対策機能は、Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 以降ではサポートされていません。
49-D10 x 15.1
Kaspersky および Express アンチウイルス機能は、Junos OS リリース 15.1x49-D10 および Junos OS リリース 17.3R1 以降ではサポートされていません。
48-D35 x 12.3
Junos OS リリース 12.3X48-D35 および Junos OS リリース 17.3R1 以降、tcp-proxy 転送を最適化するために、SAV(Content Security Sophos アンチウイルス)シングル セッション スループットが増加しました。
48-D25 x 12.3
Junos OS リリース 12.3X48-D25 および Junos OS リリース 17.3R1 以降、SSL フォワード プロキシーを介した Sophos アンチウイルスは HTTPS トラフィックをサポートしています。
48-D25 x 12.3
Junos OS リリース 12.3X48-D25 および Junos OS リリース 17.3R1 以降、SSL フォワード プロキシーを介した Sophos アンチウイルスは HTTPS トラフィックをサポートしています。