このページの目次
ソフォス アンチウィルス プロテクション
ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持し、検索パフォーマンスを向上させます。ソフォスのウイルス対策スキャンは、完全なファイルベースのウイルス対策機能に代わる、CPU への負荷の少ない代替手段として提供されています。詳細については、次のトピックを参照してください。
ソフォス アンチウィルス対策の概要
Sophos Antivirusは、クラウド内のアンチウィルスソリューションです。ウイルスパターンファイルとマルウェアデータベースは、ソフォス (Sophos Extensible List) サーバーが管理する外部サーバーに配置されているため、ジュニパーデバイスに大規模なパターンデータベースをダウンロードして管理する必要はありません。Junos OS リリース 23.1R1 より前のバージョンでは、ソフォスのウイルス対策スキャナはローカル内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持し、検索パフォーマンスを向上させていました。
Juniper Content Securityが処理する大量のトラフィックはHTTPベースであるため、URI(Unified Resource Identifier)チェックを使用して、悪意のあるコンテンツがエンドポイントクライアントまたはサーバーに到達するのを効果的に防ぐことができます。HTTP トラフィックに対しては、URI ルックアップ、真のファイルタイプ検出、およびファイル チェックサムルックアップのチェックが実行されます。次のアプリケーション層プロトコルがサポートされています: HTTP、FTP、SMTP、POP3、および IMAP。
ファイルベースのフルアンチウィルス機能は、Junos OSリリース15.1X49-D10およびJunos OSリリース17.3R1以降ではサポートされていません。以前のリリースでは、ソフォスのアンチウィルススキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU への負荷の少ない代替として提供されています。ソフォスは完全なウイルス対策と同じプロトコルをサポートし、ほぼ同じように機能します。ただし、メモリフットプリントが小さく、メモリの少ないローエンドデバイスと互換性があります。
Junos OS リリース 15.1X49-D100 以降、HTTP、HTTPS、FTP、SMTP、POP3、IMAP プロトコルの IPv6 パススルートラフィックは、コンテンツセキュリティのソフォスのアンチウィルス、Web フィルタリング、コンテンツフィルタリングのセキュリティ機能でサポートされています。
Junos OSリリース12.3X48-D35およびJunos OSリリース17.3R1以降、コンテンツセキュリティソフォスのアンチウィルス(SAV)シングルセッションのスループットが向上し、TCPプロキシ転送が最適化されています。
Junos OS リリース 19.4R1 以降、アンチウィルス機能は、暗黙的および明示的な SMTPS、IMAPS、POP3S プロトコルをサポートし、明示的なパッシブ モードの FTPS のみをサポートしています。
暗黙モード:セキュアチャネルを使用してSSL/TLS暗号化ポートに接続します。
明示モード - 最初にセキュリティで保護されていないチャネルに接続し、次に STARTTLS コマンドを発行して通信を保護します。POP3S の場合は、STLS コマンドを使用します。
Junos OS リリース 23.1R1 以降、コンテンツセキュリティは新しいアンチウィルス Sophos Live Protection バージョン 2.0 をサポートします。Sophos Antivirusの新しいバージョンでは、デバイス/サーバー間通信にHTTPS接続を使用します。HTTPS 接続の場合は、SSL 開始プロファイルを作成し、そのプロファイルをソフォスのエンジンのデフォルト設定に追加する必要があります。
関連項目
ソフォスのウイルス対策機能
ソフォスのアンチウイルスには、次の主な機能があります。
Sophos antivirus expanded MIME decoding support—ソフォスのアンチウイルスは、HTTP、POP3、SMTP、および IMAP のデコードサポートを提供します。MIME デコードのサポートには、サポートされているプロトコルごとに次のものが含まれます。
マルチパートおよびネストされたヘッダーのデコード
件名フィールドでの Base64 デコード、印刷された引用のデコード、エンコードされた単語のデコード
Sophos antivirus supports HTTPS traffic—Junos OS リリース 12.3X48-D25 および Junos OS リリース 17.3R1 以降、SSL フォワードプロキシ経由のソフォスのアンチウィルスは HTTPS トラフィックをサポートしています。SSL フォワードプロキシ経由のソフォスのアンチウィルスは、SRX シリーズのファイアウォールを通過する HTTPS トラフィックを傍受することでこれを実現します。SRXシリーズファイアウォールからのセキュリティチャネルは、クライアントとSRXシリーズファイアウォール間の1つのSSLチャネルと、SRXシリーズファイアウォールとHTTPSサーバー間の別のSSLチャネルに分割されます。SSL フォワード プロキシは、両方のチャネルの端末として機能し、クリアテキスト トラフィックをコンテンツ セキュリティに転送します。コンテンツセキュリティは、クリアテキストトラフィックからURLとファイルチェックサム情報を抽出します。ソフォスのウイルス対策スキャナは、リクエストをブロックするか許可するかを決定します。
SSL フォワード プロキシは、クライアント認証をサポートしていません。サーバでクライアント認証が必要な場合、コンテンツセキュリティはトラフィックをバイパスします。コンテンツセキュリティは、以下の条件下でHTTPSトラフィックをバイパスします。
SSL プロキシがクライアントからの最初のハンドシェイク パケットを解析しない場合、SSL フォワード プロキシはトラフィックをバイパスします。
互換性の問題のためにクライアントおよびサーバーとの SSL プロキシー・ハンドシェークが不完全な場合、接続が切断されます。
システムリソースが少ない場合、SSL フォワードプロキシは新しい接続を処理できず、Sophos antivirus がトラフィックをバイパスします。
HTTPS トラフィックが SSL 転送プロキシの許可リストにヒットすると、SSL 転送プロキシとソフォスのウイルス対策がトラフィックをバイパスします。
Sophos antivirus scan result handling- ソフォスのアンチウィルス(TCP)を使用すると、ウイルスが検出されてデータコンテンツが削除されると、トラフィックは正常に閉じられます。
次のフェイル モード オプションがサポートされています: コンテンツ サイズ、既定、エンジン未準備、リソース不足、タイムアウト、および多すぎる要求。次のアクションを設定できます: ブロック、ログと許可、および許可。ソフォスでサポートされているオプションのフェイルモード処理は、完全なウイルス対策の場合とほとんど同じです。
Sophos Uniform Resource Identifier checking- ソフォスは、アンチスパムのリアルタイム NULL ルートリスト (RBL) ルックアップに似た URI(統一リソース識別子)チェックを提供します。URI チェックは、HTTP トラフィックの URI コンテンツをソフォスのデータベースと照合して分析し、マルウェアや悪意のあるコンテンツを特定する方法です。マルウェアは主に静的であるため、チェックサムメカニズムを使用してマルウェアを特定し、パフォーマンスを向上させます。チェックサムを使用できるファイルには、.exe、.zip、.rar、.swf、.pdf、および .ole2 (doc および xls) があります。
HTTPトラフィックがない内部ネットワークを保護しているジュニパーネットワークスのデバイスがある場合、または外部からアクセスできないWebサーバーがある場合は、URIチェックをオフにすることをお勧めします。Web サーバーが外部からアクセスできない場合、Sophos URI データベースにある URI 情報がサーバーに含まれている可能性はほとんどありません。URI チェックはデフォルトでオンになっています。
Junos OS リリース 18.4R1 以降、URI チェックはデフォルトでオフになっています。
関連項目
ソフォスのウイルス対策データファイルのアップデートについて
Sophos Antivirusは、定期的にアップデートする必要がある少数のデータファイルセットを使用します。これらのデータファイルには、ガイドスキャンロジックに関する情報のみが含まれており、完全なパターンデータベースは含まれていません。重要なウイルス、URI チェック、マルウェア、ワーム、トロイの木馬、スパイウェアに対する保護を含むメインパターンデータベースは、ソフォスが管理するリモートのソフォス拡張リストサーバーにあります。
ソフォスのデータファイルは HTTP または HTTPS 経由でアップデートされ、手動でアップデートすることも、自動的に更新するようにスケジュールすることもできます。ソフォスのアンチウィルスを使用:
署名データベースの自動更新間隔は、デフォルトで 1 日1回です。この間隔は変更できます。
データ ファイルの更新中にウイルス スキャン機能が中断されることはありません。更新が失敗した場合、既存のデータ ファイルは引き続き使用されます。
デフォルトでは、ソフォスのウイルス対策データファイルのアップデート用の URL は http://update.juniper-updates.net/SAV/ です。
ソフォスのウイルス対策スキャン機能は、別途ライセンスされるサブスクリプションサービスです。ウイルス対策ライセンスキーの有効期限が切れると、パターン検索データベースがリモートのソフォスのサーバー上にあるため、機能が動作しなくなります。ライセンスを更新するための 30 日間の猶予期間があります。
関連項目
Sophos AntivirusとKaspersky Antivirusの比較
カスペルスキーおよびエクスプレスアンチウイルス機能は、Junos OSリリース15.1x49-D10およびJunos OSリリース17.3R1以降ではサポートされていません。以前のリリースでは、Sophos AntivirusはJuniper Expressアンチウィルスによく似ており、フルアンチウィルス機能と類似点があります。
Juniper Expressやフルアンチウィルスソリューションとは異なり、ソフォスのウイルス対策およびマルウェアデータベースは、リモートのSophos Extensible Listサーバーのグループに保存されます。クエリは DNS プロトコルを使用して実行されます。ソフォスはこれらのサーバーを保守しているため、ジュニパーデバイスに大規模なパターンデータベースをダウンロードして管理する必要はありません。データベースがリモートであり、新しいウイルスの発生に迅速に対応できるためです。ウイルス対策データベースにはサイズ制限はありませんが、スキャン ファイルのサイズには制限があります。
手記:Sophos Antivirusは、定期的にアップデートする必要がある一連のデータファイルを使用します。これらは典型的なウイルスパターンファイルではありません。これらは、ウイルススキャンロジックをガイドするのに役立つ小さなファイルのセットです。データ ファイルを手動でダウンロードすることも、自動ダウンロードを設定することもできます。
ソフォスは、カスペルスキー アンチウイルスと同じ事前スクリーニング検出を提供していません。ソフォスでは、ソフォスのエンジンの一部であり、オンとオフを切り替えることができない同様のソリューションを提供しています。
ソフォスのウイルス対策スキャン機能は、別途ライセンスされるサブスクリプションサービスです。また、パターン検索データベースはソフォスが管理するリモートサーバー上にあるため、ウイルス対策ライセンスキーの有効期限が切れると、機能は動作しなくなります。ライセンスを更新するための 30 日間の猶予期間があります。
関連項目
ソフォス アンチウイルス 設定の概要
Sophos Antivirusはコンテンツセキュリティ機能セットの一部であるため、最初にコンテンツセキュリティオプション (カスタムオブジェクト) を設定し、Sophos Feature を設定してから、コンテンツセキュリティポリシーとセキュリティポリシーを作成します。セキュリティポリシーは、デバイスによって転送されるすべてのトラフィックを制御し、コンテンツセキュリティポリシーは、トラフィックのスキャンに使用するパラメータを指定します。コンテンツセキュリティポリシーは、一連のプロトコルを 1 つ以上のコンテンツセキュリティ機能プロファイル (この場合は Sophos アンチウイルスを含む) にバインドするためにも使用されます。
Sophos Antivirusを設定するには、以下のタスクを完了する必要があります。
- コンテンツセキュリティのカスタムオブジェクトと MIME リストを設定します。 例: Sophos Antivirusのカスタムオブジェクトを設定するを参照してください。
- ソフォスのウイルス対策機能プロファイルを設定します。 例: ソフォスのウイルス対策機能プロファイルの設定を参照してください。
- コンテンツセキュリティポリシーを設定します。 例: Sophos アンチウィルスコンテンツセキュリティポリシーの設定
- セキュリティポリシーを設定します。 例: Sophos Antivirusファイアウォールのセキュリティポリシーの設定を参照してください。
Sophos アンチウィルスライブプロテクション バージョン 2.0 を設定するには、 例: Sophos アンチウィルスライブプロテクション バージョン 2.0 を設定するを参照してください。
HTTPS トラフィックをサポートするように SSL フォワードプロキシ経由の Sophos アンチウィルスを設定するには、 コンテンツセキュリティで SSL プロキシを設定するを参照してください。
例:Sophos Antivirusカスタムオブジェクトの設定
この例では、Sophos Antivirusで使用するコンテンツセキュリティグローバルカスタムオブジェクトを作成する方法を示します。
必要条件
開始する前に、コンテンツセキュリティのカスタムオブジェクトに関するページを参照してください。 コンテンツセキュリティの概要を参照してください。
概要
MIME リストを構成します。これには、ウイルス対策スキャン用の MIME 許可リストと MIME 例外リストの作成が含まれます。この例では、MIME タイプが quicktime-不適切である場合を除き、QuickTime ビデオのスキャンをバイパスします。
構成
プロシージャ
GUI クイックコンフィグレーション
手順
MIME リストを構成するには:
タスクバーの [ 設定 ] タブをクリックし、[ セキュリティ>UTM>カスタム オブジェクト] を選択します。
[MIME パターン一覧] タブをクリックし、[追加] をクリックします。
[MIME パターン名] ボックスに「 avmime2」と入力します。
[MIME パターン値] ボックスに 「ビデオ/クイックタイム」と入力し、[ 追加] をクリックします。
[MIME パターン値] ボックスに「 image/x-portable-anympa」と入力し、[ 追加] をクリックします。
「MIME パターン値」ボックスに 「x-world/x-vrml」と入力し、「 追加」をクリックします。
手順
MIME 例外リストを構成するには:
タスクバーの [ 設定 ] タブをクリックし、[ セキュリティ>UTM>カスタム オブジェクト] を選択します。
[MIME パターン リスト] タブをクリックし、[追加] を選択します。
[MIME パターン名] ボックスに「 exception-avmime2」と入力します。
[MIME パターン値] ボックスに「 video/quicktime-inappropriate 」と入力し、[ 追加] をクリックします。
手順
ウイルス対策スキャンでバイパスする URL またはアドレスの URL パターン リスト (許可リスト) を構成します。URL パターン リストを作成したら、カスタム URL カテゴリ リストを作成し、それにパターン リストを追加します。
URL パターン リストを使用してカスタム URL カテゴリ リストを作成するため、カスタム URL カテゴリ リストを設定する前に、URL パターン リストのカスタム オブジェクトを設定する必要があります。
URL パターンファイルの許可リストを設定するには:
タスクバー の 設定 タブ をクリックし、 セキュリティ>UTM>カスタムオブジェクト を選択します。
[ URL パターン リスト ] タブをクリックし、[ 追加] をクリックします。
[URL パターン名] ボックスに「 urlist2」と入力します。
「URL パターン値」ボックスに「 http://example.net」と入力します。(URLの代わりにサーバーのIPアドレスを使用することもできます。
手順
設定を保存します。
[ OK ] をクリックして構成を確認し、構成の候補として保存します。
デバイスの設定が完了したら、 アクション>コミット をクリックします。
URL パターンのワイルドカードのサポート - ワイルドカードのルールは次のとおりです: \*\.[]\?* すべてのワイルドカード URL の前に http:// を付ける必要があります。"*" を使用できるのは、URL の先頭に "." が続く場合のみです。URL の末尾に "?" のみを使用できます。
次のワイルドカード構文がサポートされています: http://*。example.net, http://www.example.ne?, http://www.example.n??.次のワイルドカード構文はサポートされていません: *.example.net , www.example.ne?, http://*example.net, http://*。
手順
CLI を使用してアンチウィルス保護を設定するには、次の順序でカスタム オブジェクトを作成する必要があります。
MIME 許可リストを作成します。
[edit security utm] user@host# set custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml]
MIME 例外リストを作成します。
[edit security utm] user@host# set custom-objects mime-pattern exception-avmime2 value [video/quicktime-inappropriate]
バイパスする URL またはアドレスの URL パターンリスト(許可リスト)を設定します。URL パターン リストを作成したら、カスタム URL カテゴリ リストを作成し、それにパターン リストを追加します。URL パターンリストカスタムオブジェクトを設定するには、リスト名を作成し、次のように値を追加します。URL パターンリストを使用してカスタム URL カテゴリリストを作成する場合、カスタム URL カテゴリリストを設定する前に、URL パターンリストカスタムオブジェクトを設定する必要があります。
[edit security utm] user@host# set custom-objects url-pattern urllist2 value [http://www. example.net 192.168.1.5]
手記:URL パターンのワイルドカードのサポート - ワイルドカードのルールは次のとおりです: \*\.[]\?* すべてのワイルドカード URL の前に http:// を付ける必要があります。"*" を使用できるのは、URL の先頭に "." が続く場合のみです。URL の末尾に "?" のみを使用できます。
次のワイルドカード構文がサポートされています: http://*。example.net, http://www.example.ne?, http://www.example.n??.次のワイルドカード構文はサポートされていません: *.example.net , www.example.ne?, http://*example.net, http://*。
前に作成した URL パターン リスト urllist2 を使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。
[edit security utm] user@host# set custom-objects custom-url-category custurl2 value urllist2
例: ソフォスのウイルス対策機能プロファイルの設定
この例では、ウイルススキャンに使用するパラメータを定義するソフォスのウイルス対策プロファイルを設定する方法を示します。
必要条件
始める前に:
ソフォスのウイルス対策ライセンスをインストールします。 インストールおよびアップグレードガイドを参照してください。
コンテンツセキュリティのカスタムオブジェクトを設定します。 例: Sophos Antivirusのカスタムオブジェクトを設定するを参照してください。
概要
次の設定では、ソフォス製品をウイルス対策エンジンとして定義し、データファイルの更新間隔、管理者への通知オプション、フォールバックオプション、ファイルサイズの制限などのパラメータを設定します。
[edit security utm feature-profile]階層レベルは、Junos OSリリース18.2R1では非推奨です。詳細については、「コンテンツ セキュリティの概要」を参照してください。
構成
プロシージャ
GUI クイックコンフィグレーション
手順
次の例は、ソフォスのカスタムプロファイルを作成する方法を示しています。ジュニパーネットワークスの事前設定済みプロファイルを使用する場合は、コンテンツセキュリティポリシーで junos-sophos-av-defaults という名前のプロファイルを使用します。 例: Sophos アンチウィルスコンテンツセキュリティポリシーの設定を参照してください。
エンジンタイプを選択して設定します。Sophos Antivirusを設定するため、sophos-engine を設定します。
手順
タスクバー の 設定 タブ をクリックし、 セキュリティ>UTM>アンチウイルス を選択します。
「 グローバルオプション 」タブをクリックし、「 ソフォス」をクリックします。
[ OK] をクリックし、変更をコミットします。
手順 1 で行ったように [ウイルス対策のグローバル オプション] 画面に戻り、次のパラメーターを設定します。
手順
MIME 許可リストの一覧で、[ 例外-avmime2] を選択します。
[URL 許可リスト] リストで [ custurl2] を選択します。
[パターンファイルの更新間隔 (秒)] ボックスに「 2880」と入力します。
ボックスに、SophosAdmin の電子メールデータファイル更新通知を受信する電子メールアドレスを入力します。例えば - admin@ example.net。
「カスタムメッセージの件名」ボックスに、「 ソフォスデータファイルが更新されました」と入力します。
[ OK ] をクリックして構成を確認し、構成の候補として保存します。
ソフォスエンジンのプロファイルを設定し、パラメータを設定します。
手順
タスクバー の 設定 タブ をクリックし、 セキュリティ>UTM>アンチウイルス を選択します。[ 追加] をクリックします。
[プロファイルの追加] ボックスで、[ メイン ] タブをクリックします。
「プロファイル名」ボックスに sophos-prof1 と入力します。
[トリクル タイムアウト] ボックスに「 180」と入力します。
トリクル オプションを有効にする場合は、ウイルス対策スキャン中にトリクルによってファイルの一部がクライアントに送信される可能性があることを理解しておくことが重要です。一部のコンテンツがクライアントによって受信され、ファイルが完全にスキャンされる前にクライアントが感染する可能性があります。
URI チェックはデフォルトでオンになっています。オフにするには、[URI] チェック ボックスで [はい ] をオフにします。
[コンテンツ サイズの制限] ボックスに「 20000」と入力します。
[スキャン エンジンのタイムアウト] ボックスに「 1800」と入力します。
フォールバック設定を構成する には、[フォールバック設定] タブをクリックします。この例では、すべてのフォールバック オプションが log と permit に設定されています。[既定のアクション]、[コンテンツ サイズ]、[エンジンの準備ができていません]、[タイムアウト]、[リソース不足]、[要求が多すぎます] の [ ログと許可 ] をクリックします。
[ 通知オプション ] タブをクリックして、通知オプションを構成します。フォールバック ブロックとフォールバック非ブロック アクションの両方、およびウイルス検出の通知を構成できます。
手順
フォールバック設定の通知を構成するには:
[通知の種類] で [ プロトコル] をクリックします。
[メール送信者に通知] で [ はい] をクリックします。
[カスタム メッセージ] ボックスに、「 フォールバック ブロック アクションが発生しました」と入力します。
[カスタム メッセージの件名] ボックスに、「 ウイルス対策フォールバック警告***」と入力します。
ウイルス検出の通知オプションを設定するには、 通知オプションの続き タブをクリックします。
手順
[通知の種類] オプション ボタンで、[ プロトコル] を選択します。
[メール送信者に通知] オプション ボタンで、[ はい] を選択します。
[カスタム メッセージ] ボックスに、「 ウイルスが検出されました」と入力します。
[カスタム メッセージの件名] ボックスに、「 ウイルスが検出されました」と入力します。
[ OK ] をクリックして構成を確認し、構成の候補として保存します。
デバイスの設定が完了したら、 アクション>コミット をクリックします。
手順
CLI を使用してソフォスのアンチウィルス機能プロファイルを設定するには、次の手順に従います。
次の例は、ソフォスのカスタムプロファイルを作成する方法を示しています。ジュニパーネットワークスの事前設定済みプロファイルを使用する場合は、コンテンツセキュリティポリシーで junos-sophos-av-defaults という名前のプロファイルを使用します。 例: Sophos アンチウィルスコンテンツセキュリティポリシーの設定を参照してください。
エンジンタイプを選択して設定します。Sophos Antivirusを設定する場合は、sophos-engine を設定します。
[edit] user@host# set security utm default-configuration anti-virus type sophos-engine
設定をコミットします。
データ ファイルを更新する時間間隔を選択します。既定のウイルス対策パターンファイルの更新間隔は 1440 分 (24 時間ごと) です。この既定値のままにするか、変更するかを選択できます。必要に応じて、手動更新を強制することもできます。デフォルトを 24 時間ごとから 48 時間ごとに変更するには:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update interval 2880
プロキシサーバーの詳細を使用してネットワークデバイスを設定し、リモートサーバーからパターンファイルのアップデートをダウンロードします:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update proxy
ほとんどの場合、パターン・データベースを更新するために URL を変更する必要はありません。このオプションを変更する必要がある場合は、次のコマンドを使用します。
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update url http://www.example.net/test-download
データ ファイルが更新されたときに、指定した管理者に通知するようにデバイスを構成できます。これは、カスタム メッセージとカスタム件名を含む電子メール通知です。
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update email-notify admin-email admin@example.net custom-message “Sophos antivirus data file was updated” custom-message-subject “AV data file updated”
フォールバック オプションの一覧を、ブロック、ログと許可、または許可として構成します。既定の設定は [ログと許可] です。既定の設定を使用することも、変更することもできます。
コンテンツ サイズ アクションを構成します。この例では、コンテンツ サイズを超えた場合、実行されるアクションは block です。
まず、sophos-prof1 という名前のプロファイルを作成します。
[edit security utm feature-profile anti-virus] user@host# set profile sophos-prof1
ブロックするコンテンツ サイズのフォールバック オプションを構成します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options content-size block
既定のフォールバック オプションを [ログと許可] に構成します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options default log-and-permit
ウイルス対策エンジンの準備ができていない場合は、ログと許可を構成します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options engine-not-ready log-and-permit
デバイスのリソースが不足している場合のログアンドパーミットを設定します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options out-of-resources log-and-permit
ウイルススキャンのタイムアウトが発生した場合のログアンド許可を設定します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options timeout log-and-permit
ウイルスエンジンが処理するリクエストが多すぎる場合は、ログアンドパーミットを設定します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options too-many-requests log-and-permit
通知オプションを設定します。フォールバック ブロック、フォールバック非ブロック アクション、およびウイルス検出の通知を構成できます。
この手順では、フォールバック ブロック アクションのカスタム メッセージを構成し、プロトコルのみのアクションの通知を管理者と送信者に送信します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set notification-options fallback-block custom-message ***Fallback block action occurred*** custom-message-subject Antivirus Fallback Alert notify-mail-sender type protocol-only allow email administrator-email admin@example.net
プロトコルのみのウイルス検出の通知を設定し、通知を送信します。
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host#set notification-options virus-detection type protocol-only notify-mail-sender custom-message-subject ***Virus detected*** custom-message Virus has been detected
コンテンツ サイズ パラメーターを構成します。
content-size 値を構成する場合、場合によっては、プロトコル ヘッダーでコンテンツ サイズを使用できるため、スキャン要求が送信される前に max-content-size フォールバックが適用されることに注意してください。ただし、多くの場合、コンテンツ サイズはプロトコル ヘッダーで提供されません。このような場合、TCP ペイロードはウイルス対策スキャナーに送信され、ペイロードの最後まで蓄積されます。累積ペイロードが最大コンテンツサイズ値を超えると、max-content-sizeフォールバックが適用されます。デフォルトのフォールバックアクションはログと許可であるため、このオプションをブロックに変更すると、そのようなパケットは破棄され、ブロックメッセージがクライアントに送信されます。
この例では、コンテンツ サイズが 20 MB を超えると、パケットはドロップされます。
[edit security utm default-configuration anti-virus] user@host# set scan-options content-size-limit 20000
URI チェックはデフォルトでオンになっています。URI チェックをオフにするには:
[edit security utm default-configuration anti-virus] user@host# set scan-options no-uri-check
スキャン操作のタイムアウト設定を 1800 秒に設定します。
[edit security utm default-configuration anti-virus] user@host# set scan-options timeout 1800
ソフォスの拡張リストサーバーには、スキャン操作用のウイルスおよび不正プログラムのデータベースが含まれています。これらのサーバーの応答タイムアウトを 3 秒 (デフォルトは 2 秒) に設定します。
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-timeout 3
Sophos Extensible List サーバーの再試行オプションを 2 回 (デフォルトは 1) に設定します。
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-retry 2
トリクル設定を 180 秒に設定します。トリクルを使用する場合は、タイムアウト パラメーターも設定できます。トリクルは HTTP にのみ適用されます。HTTP トリクルは、ファイル転送中またはウイルス対策スキャン中に HTTP クライアントまたはサーバーがタイムアウトするのを防ぐために使用されるメカニズムです。
トリクル オプションを有効にする場合は、ウイルス対策スキャン中にトリクルによってファイルの一部がクライアントに送信される可能性があることに注意してください。したがって、ファイルが完全にスキャンされる前に、一部のコンテンツがクライアントによって受信される可能性があります。
[edit security utm default-configuration anti-virus] user@host# set trickling timeout 180
MIME バイパス リストと例外リストを使用するようにウイルス対策モジュールを構成します。独自のカスタムオブジェクトリストを使用することも、junos-default-bypass-mimeというデバイスに同梱されているデフォルトリストを使用することもできます。この例では、前に設定したリストを使用します。
[edit security utm default-configuration anti-virus] user@host# set mime-whitelist list avmime2 [edit security utm feature-profile anti-virus] user@host# set mime-whitelist list exception-avmime2
URL バイパス リストを使用するようにウイルス対策モジュールを構成します。URL 許可リストを使用している場合、これは以前にカスタムオブジェクトとして設定したカスタム URL カテゴリです。URL 許可リストは、HTTP トラフィックに対してのみ有効です。この例では、前に設定したリストを使用します。
[edit security utm default-configuration anti-virus] user@host# set url-whitelist custurl2
検証
現在のウイルス対策の状態に関する情報の取得
目的
アクション
動作モードから、 show security utm anti-virus status コマンドを入力してアンチウィルスの状態を表示します。
user@host>show security utm anti-virus status
意味
アンチウィルス キーの有効期限 - ライセンス キーの有効期限。
更新サーバー - データ ファイル更新サーバーの URL。
間隔 - デバイスが更新サーバーからデータ ファイルを更新する期間 (分単位)。
パターンファイルのアップデートステータス - データファイルが次に更新されるタイミングが分単位で表示されます。
最後の結果 - 最終更新の結果。すでに最新バージョンを使用している場合は、
already have latest databaseが表示されます。
ウイルス対策署名のバージョン - 現在のデータ ファイルのバージョン。
スキャン エンジンの種類 - 現在実行中のウイルス対策エンジンの種類。
スキャン エンジン情報 - 現在のスキャン エンジンで最後に発生したアクションの結果。
例:Sophos アンチウィルスコンテンツセキュリティポリシーの設定
この例では、Sophos アンチウィルスのコンテンツセキュリティポリシーを作成する方法を示しています。
必要条件
コンテンツセキュリティポリシーを作成する前に、カスタムオブジェクトとソフォス機能プロファイルを作成します。
-
コンテンツセキュリティのカスタムオブジェクトと MIME リストを設定します。 例: Sophos Antivirusのカスタムオブジェクトを設定するを参照してください。
ソフォスのウイルス対策機能プロファイルを設定します。 例: ソフォスのウイルス対策機能プロファイルの設定を参照してください。
概要
ウイルス対策機能プロファイルを作成したら、ウイルス対策スキャン プロトコルのコンテンツ セキュリティ ポリシーを設定し、このポリシーを機能プロファイルにアタッチします。この例では、 http-profile ステートメントで示されるように、HTTP のウイルス スキャンが行われます。別のプロファイルを作成するか、プロファイルに他のプロトコル (imap-profile、pop3-profile、smtp-profile など) を追加することで、他のプロトコルもスキャンできます。
構成
プロシージャ
GUI クイックコンフィグレーション
手順
Sophos アンチウィルスのコンテンツセキュリティポリシーを設定するには、次の手順に従います。
タスクバー の 設定 タブ をクリックし、 セキュリティ>ポリシー>UTM ポリシー を選択します。次に、[ 追加] をクリックします。
[ メイン ] タブをクリックします。[ポリシー名] ボックスに「 utmp3」と入力します。
[ アンチウイルスプロファイル] タブをクリックします。HTTP プロファイルリストで sophos-prof1 を選択します。
[ OK ] をクリックして構成を確認し、構成の候補として保存します。
デバイスの構成が完了したら、[ アクション] > [コミット] を選択します。
手順
Sophos アンチウィルスのコンテンツセキュリティポリシーを設定するには、次の手順に従います。
-
編集セキュリティのコンテンツセキュリティ階層に移動します。
[edit] user@host# edit security utm
-
コンテンツセキュリティポリシー utmp3 を作成し、http-profile sophos-prof1 に添付します。上記のステートメントの sophos-prof1 を junos-sophos-av-default に置き換えることで、デフォルトのソフォス機能プロファイル設定を使用できます。
[edit security utm] user@host# set utm-policy utmp3 anti-virus http-profile sophos-prof1
例:Sophos Antivirusファイアウォールのセキュリティポリシーの設定
この例では、Sophos Antivirusのセキュリティポリシーを作成する方法を示しています。
必要条件
セキュリティポリシーを作成する前に、カスタムオブジェクト、ソフォス機能プロファイル、およびコンテンツセキュリティポリシーを作成します。
-
コンテンツセキュリティのカスタムオブジェクトと MIME リストを設定します。 例: Sophos Antivirusのカスタムオブジェクトを設定するを参照してください。
ソフォスのウイルス対策機能プロファイルを設定します。 例: ソフォスのウイルス対策機能プロファイルの設定を参照してください。
-
コンテンツセキュリティポリシーを設定します。 例: Sophos アンチウィルスコンテンツセキュリティポリシーの設定を参照してください。
概要
例: Sophos Antivirus機能プロファイルの設定で定義した機能プロファイル設定を使用して、untrust ゾーンからtrustゾーンへのトラフィックを Sophos antivirus でスキャンするファイアウォールセキュリティポリシーを作成します。[アプリケーション構成の一致] が any に設定されているため、すべてのアプリケーションの種類がスキャンされます。
構成
プロシージャ
GUI クイックコンフィグレーション
手順
Sophos Antivirusのセキュリティポリシーを設定するには、次の手順に従います。
任意の送信元アドレスまたは宛先アドレスに一致するように信頼しないポリシーを設定し、スキャンして
anyするアプリケーションを選択します。手順
タスク バー の 構成 タブ をクリックし、 セキュリティ >ポリシー> FW ポリシー を選択します。次に、 [ 追加] を選択します。
[ポリシー名] ボックスに「 p3」と入力します。
[ポリシー アクション] ボックスで、[ 許可] を選択します。
[ゾーンから] ボックスの一覧で、[ 信頼しない] を選択します。
[宛先ゾーン] ボックスの一覧で、[ 信頼] を選択します。
[送信元アドレス] ボックスと [宛先アドレス] ボックスで、[一致] が [any] に設定されていることを確認します。
「アプリケーション」ボックスで、「アプリケーション/セット」リストから いずれか を選択し、「一致」リストに移動します。
-
utmp3という名前のコンテンツセキュリティポリシーをファイアウォールセキュリティポリシーにアタッチします。これにより、一致するトラフィックがソフォスのウイルス対策機能によってスキャンされます。
手順
-
「ポリシーの編集」ボックスで、「 アプリケーション・サービス 」タブをクリックします。
-
「コンテンツセキュリティポリシー」リストで、「 utmp3」を選択します。
-
[ OK ] をクリックして構成を確認し、構成の候補として保存します。
デバイスの構成が完了したら、[ アクション] > [コミット] を選択します。
手順
Sophos Antivirusのセキュリティポリシーを設定するには、次の手順に従います。
untrust to trustポリシーを、任意の送信元アドレスに一致するように設定します。
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match source-address any
任意の宛先アドレスに一致するように信頼しないポリシーを設定します。
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match destination-address any
信頼しないポリシーを、任意のアプリケーションの種類に一致するように構成します。
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match application any
-
utmp3という名前のコンテンツセキュリティポリシーをファイアウォールセキュリティポリシーにアタッチします。これにより、一致するトラフィックがソフォスのウイルス対策機能によってスキャンされます。
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 then permit application-services utm-policy utmp3
例: Sophos アンチウィルスライブプロテクション バージョン 2.0 の設定
この設定例を使用して、デバイスで Sophos アンチウィルスライブプロテクションバージョン 2.0 を設定し、確認します。ソフォスのアンチウィルスは、クラウド内のアンチウィルスソリューションです。ソフォス (Sophos Extensible List) サーバーによって管理されている外部サーバー上のウイルスパターンファイルおよびマルウェアデータベースは、デバイスを分離して保護します。Junos OS リリース 23.1R1 以降、コンテンツセキュリティは Sophos アンチウィルスライブプロテクションバージョン 2.0 に対応しています。新しいバージョンのウイルス対策では、HTTPS プロトコルを使用して SRX シリーズファイアウォールとソフォスのサーバー間の通信を行います。
| 可読性スコア |
|
| 読書の時間 |
15分未満。 |
| 設定時間 |
1時間未満。 |
- 前提条件の例
- 始める前に
- 機能概要
- トポロジの概要
- トポロジーの図
- 被試験デバイス(DUT)のステップバイステップの構成
- 検証
- 付録 1: すべてのデバイスでコマンドを設定する
- 付録2:DUTでの構成出力の表示
前提条件の例
| ハードウェア要件 | SRXシリーズファイアウォールとvSRX仮想ファイアウォール |
| ソフトウェア要件 | Junos OS リリース 23.1R1 以降 |
| ライセンス要件 | Sophos アンチウィルスライブプロテクション バージョン 2.0 ライセンス
|
始める前に
| 利点 |
ソフォス (Sophos Extensible List) サーバーによって管理されている外部サーバー上のウイルスパターンファイルおよびマルウェアデータベースは、デバイスを分離して保護します。 SRX シリーズファイアウォールとソフォスのサーバー間に HTTPS ベースのセキュアな接続を提供します。 |
| 役立つリソース: |
|
| もっと知る |
|
| 実地体験 |
|
| 詳細情報 |
|
機能概要
表 2 に、この例で導入した構成コンポーネントの概要を示します。
| プロファイル |
|
| 開始プロファイル | SRX シリーズファイアウォール上のソフォスのサーバー設定には、SSL 開始プロファイル ( この開始プロファイルは、SRX シリーズファイアウォールがソフォスのサーバーとの HTTPS セッションを開始してパケットを確認できるようにするために必須です。SSL 初期化プロファイルは、ソフォスのサーバーとの間のパケットの暗号化と復号化も行います。 |
| プロキシプロファイル | SSLプロキシプロファイルである |
| 機能プロファイル |
機能プロファイル 異なるコンテンツ セキュリティ ポリシーに対して複数の機能プロファイルを持つことができます。 |
| 檄 |
|
| コンテンツセキュリティポリシー |
コンテンツ セキュリティ ポリシー content_security_p1 は、ウイルス対策プロトコル(HTTP、FTP、SMTP、POP3、および IMAP)を定義し、このポリシーをセキュリティ機能プロファイル |
| セキュリティ ポリシー |
2 つのセキュリティ ポリシー(
|
| セキュリティ ゾーン |
|
|
|
ホスト (クライアント) ゾーンのネットワーク セグメント。 |
|
|
移行先サーバー (Web サービス) ゾーンのネットワーク セグメント。 |
|
|
SRX シリーズファイアウォールがソフォスのサーバーとやり取りするネットワークセグメント。 |
| プロトコル |
|
| HTTPS |
HTTPS セッションは、クライアントと Web サーバー、および SRX シリーズファイアウォールとソフォスのサーバーの間で確立されます。 |
| 一次検証タスク |
|
トポロジの概要
この例では、クライアントはSRXシリーズファイアウォールを介してWebサービスへのリクエストを開始します。SRX シリーズのファイアウォールはリクエストを受信すると、ソフォスのサーバーに接続して Web サービスの信頼性を確認します。ソフォスのアンチウィルスバージョン 2.0 は、SRX シリーズファイアウォールからソフォスのサーバー通信に HTTPS 接続を使用します。ソフォスのサーバーから受信した応答に基づいて、SRX シリーズファイアウォールはコンテンツセキュリティポリシーで定義されたトラフィックを許可またはブロックします。
| トポロジー コンポーネント | の役割 | 機能 |
|---|---|---|
| クライアント | 要求 Web サービス | SRXシリーズファイアウォールを介して、WebサーバーとのHTTPSセッションを開始します。 |
| SRX シリーズ ファイアウォール | ジュニパーネットワークスのファイアウォール | ソフォスのウイルス対策サーバーとの HTTPS セッションを開始します。また、クライアントのパケットの暗号化と復号化も行います。 |
| ソフォスのサーバー | ウイルス対策サーバー | SRXシリーズファイアウォールから受信したコンテンツを認証します。 |
| ウェブサーバー | Web サービス プロバイダ | クライアントの要求に応答します。 |
トポロジーの図
被試験デバイス(DUT)のステップバイステップの構成
-
デバイスインターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.254/24 user@host# set ge-0/0/1 unit 0 family inet address 203.0.113.254/24
-
デバイスで Sophos アンチウィルスを有効にします。ソフォスのアンチウイルスがチェックするトラフィックの転送モードと種類を設定します。
[edit security] user@host# set utm default-configuration anti-virus type sophos-engine user@host# set utm default-configuration anti-virus forwarding-mode inline-tap user@host# set utm default-configuration anti-virus scan-options no-uri-check
-
SRX シリーズファイアウォール上のソフォスのサーバー設定に追加する SSL 開始プロファイルを定義します。
[edit services] user@host# set ssl initiation profile ssl_init_prof client-certificate content_security_cert user@host# set ssl initiation profile ssl_init_prof actions ignore-server-auth-failure
-
SSL 初期化プロファイルをソフォスのサーバー設定に含めます。この設定は、SRX シリーズファイアウォールがソフォスのサーバーとの HTTPS セッションを開始してパケットを確認できるようにするために必須です。また、開始プロファイルは、ソフォスのサーバーとの間のパケットの暗号化と復号化も行います。
[edit security] user@host# set utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof
-
セキュリティ ポリシーに適用する SSL プロキシ プロファイルを定義します。SLLプロキシプロファイルにより、SRXシリーズファイアウォールはパケットを復号化して、アプリケーションをさらに処理することができます。
[edit services] user@host# set ssl proxy profile ssl_pr1 root-ca content_security_cert user@host# set ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
-
機能プロファイルを定義して、ソフォスのアンチウイルスがチェックするトラフィックのタイプを示すために、プロファイルをコンテンツセキュリティポリシーに添付します。異なるコンテンツ セキュリティ ポリシーに対して複数の機能プロファイルを定義できます。
[edit security] user@host# set utm feature-profile anti-virus profile content_security_sav_fp
-
セキュリティ ゾーンを定義します。
[edit security zones] user@host# set security-zone untrust description untrust user@host# set security-zone untrust host-inbound-traffic system-services all user@host# set security-zone untrust host-inbound-traffic protocols all user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone trust description trust user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone internet description internet
-
コンテンツセキュリティポリシーを定義し、ソフォスのサーバーがチェックするトラフィックのタイプを示す機能プロファイルを添付します。
[edit security utm] user@host# set utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp
-
セキュリティ ポリシーを定義し、異なるセキュリティ ゾーン間のトラフィックに適用する一致条件を設定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone trust policy p1 match destination-address any user@host# set from-zone trust to-zone trust policy p1 match application any user@host# set from-zone trust to-zone trust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 user@host# set from-zone trust to-zone trust policy p1 then permit application-services utm-policy content_security_p1 user@host# set from-zone trust to-zone trust policy trust_to_internet match source-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match destination-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match application any user@host# set from-zone trust to-zone trust policy trust_to_internet then permit user@host# set default-policy permit-all
検証
この例で機能を検証するために使用される show コマンドのリストを提供します。
| コマンド | 検証タスク |
|---|---|
| セキュリティUTMアンチウイルスのステータスを表示 | デバイスにインストールされているアンチウイルスの種類とステータスを表示します。 |
| show security UTM anti-virus statistics(セキュリティUTMアンチウイルスの統計情報を表示) | デバイス上のアンチウイルスのパフォーマンス統計を表示します。 |
ウイルス対策スキャン エンジンの種類の確認
目的
デバイスにインストールされているウイルス対策スキャン エンジンの種類を確認します。
アクション
動作モードから、 show security utm anti-virus status を入力して、インストールされているアンチウイルスのステータスを表示します。
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2024-02-23 16:00:00
Forwarding-mode: continuous delivery
Scan engine type: sophos-engine
Scan engine information: running
意味
サンプル出力では、お使いのデバイスでソフォスのアンチウイルスが使用可能であることを確認します。
ウイルス対策スキャン エンジンのパフォーマンス検証
目的
デバイスのウイルス対策スキャン エンジンのパフォーマンスを確認します。
アクション
動作モードから、 show security utm anti-virus statistics を入力して、デバイスのアンチウイルスのパフォーマンス統計を表示します。
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
2 1 1 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
意味
サンプル出力 Threat-found 値は、ウイルス対策が 1 つの脅威を検出したことを示しています。その他の統計値は安全です。
付録 1: すべてのデバイスでコマンドを設定する
すべてのデバイスでコマンド出力を設定します。
set security utm default-configuration anti-virus type sophos-engine set security utm default-configuration anti-virus forwarding-mode inline-tap set security utm default-configuration anti-virus scan-options no-uri-check set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof set security utm feature-profile anti-virus profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp set security zones security-zone untrust description untrust set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust description trust set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone internet description internet set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 set security policies from-zone trust to-zone untrust policy p1 then permit application-services utm-policy content_security_p1 set security policies from-zone trust to-zone internet policy trust_to_internet match source-address any set security policies from-zone trust to-zone internet policy trust_to_internet match destination-address any set security policies from-zone trust to-zone internet policy trust_to_internet match application any set security policies from-zone trust to-zone internet policy trust_to_internet then permit set security policies default-policy permit-all set services ssl initiation profile ssl_init_prof client-certificate content_security-cert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl proxy profile ssl_pr1 root-ca content_security-cert set services ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
付録2:DUTでの構成出力の表示
DUTにコマンド出力を表示します。
設定モードから、 show security utm、 show interfaces、 show security zones、 show security policies、および show services ssl コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show security utm
default-configuration {
anti-virus {
type sophos-engine;
forwarding-mode {
inline-tap;
}
scan-options {
no-uri-check;
}
sophos-engine {
server {
ssl-profile ssl_init_prof;
}
}
}
}
utm-policy P1 {
anti-virus {
http-profile junos-sophos-av-defaults;
}
}
utm-policy content_security_p1 {
anti-virus {
http-profile content_security_sav_fp;
ftp {
upload-profile content_security_sav_fp;
download-profile content_security_sav_fp;
}
smtp-profile content_security_sav_fp;
pop3-profile content_security_sav_fp;
imap-profile content_security_sav_fp;
}
}
user@host# show show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.254/24;
}
}
}
user@host# show security zones
security-zone untrust {
description untrust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
description trust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone internet {
description internet;
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl_pr1;
}
utm-policy content_security_p1;
}
}
}
}
}
from-zone trust to-zone internet {
policy trust_to_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@host# show services ssl
initiation {
profile ssl_init_prof {
client-certificate content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
proxy {
profile ssl_pr1 {
root-ca content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
ソフォスのウイルス対策データファイルの管理
始める前に:
ソフォスのウイルス対策ライセンスをインストールします。 Installation and Upgrade Guideを参照してください。
ソフォス製品をデバイスのウイルス対策機能として設定します。 例: ソフォスのウイルス対策機能プロファイルの設定を参照してください。ウイルス対策エンジンの種類を設定するには、
set security utm feature-profile anti-virus type sophos-engineステートメントを実行します。
この例では、4320分ごと(3日ごと)にデータファイルを自動的に更新するようにセキュリティデバイスを設定します。既定のデータ ファイル更新間隔は 1440 分 (24 時間ごと) です。
ソフォスのデータファイルを自動的に更新するには:
[edit security utm feature-profile anti-virus] user@host# set sophos-engine pattern-update interval 4320
次のコマンドは、CLI操作モードから実行されます。
データファイルを手動で更新するには:
user@host> request security utm anti-virus sophos-engine pattern-update
データファイルを手動でリロードするには:
user@host> request security utm anti-virus sophos-engine pattern-reload
データファイルを手動で削除するには:
user@host> request security utm anti-virus sophos-engine pattern-delete
データファイルのバージョンも表示されるウイルス対策のステータスを確認するには:
user@host> show security utm anti-virus status
プロキシサーバーのステータスを確認するには:
user@host> show security utm anti-virus status
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。