コンテンツ セキュリティでサポートされる機能
コンテンツ セキュリティ機能のための WELF ロギング
コンテンツ セキュリティ機能に関する WELF ロギングについて
コンテンツセキュリティ機能は、WELF標準をサポートしています。WELFリファレンスは、業界標準のログファイル交換形式のWebトレンドを定義します。この形式のシステム ロギングは、Firewall Suite 2.0 以降、Firewall Reporting Center 1.0 以降、および Security Reporting Center 2.0 以降と互換性があります。
WELFログファイルは、レコードで構成されています。各レコードは、ファイル内の 1 行です。記録は常に時系列で表示されます。最も早いレコードは、ファイル内の最初のレコードです。最も最近のレコードは、ファイル内の最後のレコードです。WELFは、ログファイル名やログファイルのローテーションポリシーに制限はありません。
各 WELF レコードは、フィールドで構成されています。レコード識別子フィールド(id=
)は、レコードの最初のフィールドである必要があります。その他のすべてのフィールドは、任意の順序で表示できます。
次に、WELF レコードの例を示します。
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0 rcvd=1426
WELF レコード例のフィールドには、以下の必須エレメントが含まれています(他のすべてのフィールドはオプションです)。
id
(レコード識別子)time
(日付/時刻)fw
(ファイアウォール IP アドレスまたは名前)pri
(記録の優先順位)
例:コンテンツセキュリティ機能に対する WELF ロギングの設定
この例では、コンテンツセキュリティ機能に対して WELF ロギングを設定する方法を示しています。
要件
開始する前に、WELF ログ・ファイルとレコードの作成に使用するフィールドを確認してください。 「コンテンツ セキュリティの概要」を参照してください。
概要
WELFログファイルは、レコードで構成されています。各レコードは、ファイル内の 1 行です。記録は常に時系列で表示されます。最も早いレコードは、ファイル内の最初のレコードです。最も最近のレコードは、ファイル内の最後のレコードです。WELFは、ログファイル名やログファイルのローテーションポリシーに制限はありません。この例では、重大度レベルは緊急で、セキュリティ ログ ストリームの名前は utm-welf
.
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
コンテンツセキュリティ機能用の WELF ロギングを設定するには:
セキュリティ ログの送信元 IP アドレスを設定します。
[edit security log] user@host# set source-address 1.2.3.4
メモ:WELF ロギング メッセージを専用の WebTrends サーバーに保存する必要があります。
セキュリティ ログ ストリームに名前を付けます。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
ログ メッセージの形式を設定します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
送信されるログ メッセージのカテゴリを設定します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
送信されるログ メッセージの重大度レベルを設定します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
ログ メッセージが送信される専用 WebTrends サーバーのホスト アドレスを入力します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
結果
設定モードから、 コマンドを入力して設定を show security log
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit
。
コンテンツセキュリティのための明示的なプロキシ
Content Securityは、コンテンツセキュリティ上のEWF(拡張Webフィルタリング)とSAV(Sophosアンチウイルス)のクラウドベース接続に明示的なプロキシの使用をサポートしています。明示的なプロキシは、送信元デバイスの ID を非表示にし、宛先デバイスとの接続を確立します。
- 明示的なプロキシについて
- ジュニパー拡張サーバーでの明示的なプロキシの設定
- ジュニパー拡張サーバーでの明示的なプロキシ設定の検証
- 明示的なプロキシを使用した事前定義済みカテゴリーのアップグレードとベースフィルターの設定の設定
- 事前定義されたカテゴリーのアップグレードと基本フィルター構成の検証
- Sophos アンチウィルス パターンアップデートの設定
- Sophos アンチウィルス パターン更新の検証
明示的なプロキシについて
明示的なプロキシは、送信元デバイスのIDを非表示にし、Websense Threatseeker Cloud(TSC)サーバーと直接通信し、宛先デバイスとの接続を確立します。明示的なプロキシ設定は、ポートアドレスと直接IPアドレスまたはホスト名で構成されています。
明示的なプロキシを使用するには、1 つ以上のプロキシ プロファイルを作成し、これらのプロファイルを参照します。
EWFでは、明示的プロキシは 階層で
security utm default-configuration web-filtering juniper-enhanced server
作成proxy-profile
された を参照して設定されます。この接続は、TSC サーバーとの接続が確立されています。EWF事前定義済みカテゴリーのアップグレードと基本フィルターでは、作成された階層を参照して明示的なプロキシが
proxy-profile
security utm custom-objects category-package proxy-profile
設定されます。ソフトウェアをアップグレードすることなく、新しいEWFカテゴリーをダウンロードして動的に読み込むことができます。proxy-profile
カテゴリー・ファイルがインストールされ、トラフィックの転送に使用されます。SRXシリーズファイアウォールは CONNECT リクエストをプロキシサーバーに送信し、SRXシリーズファイアウォールとTSCサーバーはHTTP接続を介して通信します。その後、プロキシ サーバーは構成済みの IP アドレスを識別し、許可リストを作成し、SRX シリーズ ファイアウォールがプロキシを介してクラウド内の TSC サーバーにトラフィックを送信できるようにする必要があります。プロキシ フィルタリングの後、実際の TSC サーバーへの接続が作成されます。
Sophos Antivirus(SAV)では、明示的プロキシは 階層で
security utm default-configuration anti-virus sophos-engine pattern-update
作成proxy-profile
された を参照して設定されます。utmd プロセスは、クラウド上の SAV パターン更新サーバーではなく、プロキシ ホストに接続します。
EWFでは、Content Security Webフィルタリング設定でプロキシプロファイルが設定されている場合、TSCサーバー接続は、クラウド上のコンテンツセキュリティサーバーではなくプロキシホストとの接続が確立されます。
SAVでは、プロキシプロファイルが設定されている場合、 utmd プロセスはクラウド上のSAVパターン更新サーバーではなくプロキシホストに接続します。
が構成されている場合 proxy-profile
、プロキシサーバー認証はサポートされません。
ジュニパー拡張サーバーでの明示的なプロキシの設定
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ホストとポート情報を含むプロキシプロファイルを作成し、ジュニパー拡張サーバーで参照して、Content Securityクラウドサーバーへの接続を確立します。
以下の構成は、Juniper 拡張サーバーで明示的なプロキシを設定する方法を示しています。
Results
設定モードから、 および show services
コマンドを入力して設定をshow security
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security default-configuration { web-filtering { type juniper-enhanced; juniper-enhanced { server { proxy-profile proxy1; } } } }
[edit] user@host# show services proxy { profile proxy1 { protocol { http { host 192.0.2.1; port 3128; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
ジュニパー拡張サーバーでの明示的なプロキシ設定の検証
目的
ジュニパー拡張サーバー上の明示的なサーバーのステータスを表示します。
アクション
動作モードから、 コマンドを show security utm web-filtering status
入力します。
user@host> show security utm web-filtering status
UTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
意味
このコマンドは、Websense Threatseeker Cloud(TSC)を使用して、拡張Webフィルタリング(EWF)のサーバーステータスに関する情報を提供します。
明示的なプロキシを使用した事前定義済みカテゴリーのアップグレードとベースフィルターの設定の設定
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ホストとポート情報を含むプロキシプロファイルを作成し、事前に定義されたカテゴリーアップグレードとベースフィルターで参照し、ソフトウェアアップグレードなしで新しいEWFカテゴリーをダウンロードして動的に読み込みます。
以下の設定は、事前に定義されたカテゴリーアップグレードと基本フィルターで明示的プロキシを設定する方法を示しています。
Results
設定モードから、 および show services
コマンドを入力して設定をshow security
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security custom-objects { category-package { proxy-profile proxy1; } }
[edit] user@host# show services proxy { profile proxy1 { protocol { http { host 203.0.113.1; port 3128; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
事前定義されたカテゴリーのアップグレードと基本フィルター構成の検証
目的
事前定義されたカテゴリー・パッケージのダウンロード、インストール、および更新ステータスを EWF(拡張 Web フィルタリング)で表示します。
アクション
動作モードから、CLI コマンドを show security utm web-filtering category status
入力して、Web フィルタリング カテゴリのステータスを表示します。
CLI コマンドを実行する前に show security utm web-filtering category status
、CLI コマンドを request security utm web-filtering category download-install
実行して結果を取得する必要があります。
user@host> show security utm web-filtering category status UTM category status: Installed version: 1 Download version: 0 Update status: Done
意味
このコマンドは、インストールおよびダウンロードされたカテゴリーの数と更新ステータスに関する情報を提供します。
Sophos アンチウィルス パターンアップデートの設定
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ホストとポート情報を使用してプロキシプロファイルを作成し、Sophos Antivirus(SAV)パターンアップデートで参照してください。 utmd プロセスは、クラウド上の SAV パターン更新サーバーではなく、プロキシ ホストに接続します。
以下の設定は、SAVパターン更新で明示的プロキシを設定する方法を示しています。
Results
設定モードから、 および show services
コマンドを入力して設定をshow security
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host# show security default-configuration { anti-virus { sophos-engine { pattern-update { proxy-profile proxy1; } } } }
[edit] user@host# show services proxy { profile proxy1 { protocol { http { host 203.0.113.1; port 3128; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
Sophos アンチウィルス パターン更新の検証
目的
Sophos Antivirus(SAV)更新パターンステータスを表示します。
アクション
動作モードから、CLIコマンドを show security utm anti-virus status
入力して、コンテンツセキュリティのアンチウィルスステータスを表示します。
user@host> show security utm anti-virus status UTM anti-virus status: Anti-virus key expire date: 2018-08-02 00:00:00 Update server: https://host2.example.com/SAV/ Interval: 1000 minutes Pattern update status: next update in 979 minutes Pattern update via proxy server: 203.0.113.1:3128 Last result: already have latest database Anti-virus signature version: 1.13 (1.02) Scan engine type: sophos-engine Scan engine information: last action result: No error
意味
このコマンドは、Sophos Antivirus(SAV)パターン更新サーバー、更新ステータス、アンチウィルスシグネチャバージョン、アンチウィルスエンジンタイプ、およびアンチウィルスエンジン情報に関する情報を提供します。
コンテンツセキュリティのための統一されたポリシー
統合ポリシーの理解 [コンテンツ セキュリティ]
統合ポリシーが SRX シリーズ ファイアウォールでサポートされ、従来のセキュリティ ポリシー内で動的なレイヤー 7 アプリケーションをきめ細かく制御および適用できるようになりました。
統合ポリシーとは、動的アプリケーションを既存の 5 要素または 6 タプルの一致条件(ユーザー ファイアウォール付き)と一致条件として使用して、時間の経過に伴うアプリケーションの変更を検出するセキュリティ ポリシーです。統一ポリシーを使用することで、トランジット トラフィックに一連のルールを適用できます。送信元ゾーン、宛先ゾーン、送信元アドレス、宛先アドレス、アプリケーション名など、一致条件を使用します。これにより、一致ポリシーの可能性が生まれます。
統合ポリシー設定は、すべてのアプリケーション ファイアウォール(AppFW)機能を処理し、ネットワークからのアプリケーション トラフィックを許可またはブロックするファイアウォール ポリシーの設定作業を簡素化します。統合ポリシーの一部として、SRX シリーズ ファイアウォールに新しい動的アプリケーション ポリシー一致条件が追加され、管理者はレイヤー 7 アプリケーションの動作をより効果的に制御できます。
Content Securityでレイヤー7アプリケーションベースのポリシーに対応するために、 [edit security utm default-configuration]
コマンドが導入されます。特定の Content Security 機能プロファイル構成のパラメーターが構成されていない場合、Content Security のデフォルト構成の対応するパラメーターが適用されます。
さらに、動的アプリケーションが識別される前に発生する最初のポリシー 検索フェーズで、異なるコンテンツ セキュリティ プロファイルが含まれる可能性のあるポリシー リストに複数のポリシーが存在する場合、SRX シリーズ ファイアウォールは、より明示的な一致が行われるまでデフォルト のコンテンツ セキュリティ プロファイルを適用します。
デフォルトのコンテンツ セキュリティ ポリシーについて
事前定義された新しいデフォルトのコンテンツセキュリティポリシーは、工場出荷時のデフォルト設定で使用でき、デフォルトのコンテンツセキュリティ設定を提供します。この事前定義されたグローバルコンテンツセキュリティポリシーは、デフォルトのコンテンツセキュリティ設定プロファイルから設定を継承します。
既存の Content Security ポリシーが定義されている場合は、引き続き、既存のセキュリティ ポリシー設定に基づいてトラフィックを評価するために使用されます。
ポリシー ルックアップが実行されると、既存の Content Security ポリシーがグローバル ポリシーより前に評価されます。コンテンツ セキュリティ セッションの作成プロセス中に複数の Content Security ポリシーが潜在的なポリシー リストに存在する場合、事前定義された Content Security のデフォルト ポリシーが利用されます。
事前定義されたコンテンツセキュリティのデフォルトポリシーパラメーターは、 階層レベルに [edit security utm default-configuration]
含まれます。これらのパラメーターは、Web フィルタリング、コンテンツ フィルタリング、アンチウィルス、アンチスパム プロファイルで使用できます。コンテンツセキュリティ機能プロファイルが設定されていない場合(Webフィルタリング、コンテンツフィルタリング、アンチウィルス、アンチスパム)、事前定義されたグローバルコンテンツセキュリティ設定のパラメーターが適用されます。
事前定義されたコンテンツセキュリティのデフォルトポリシーは、 で [edit groups junos-defaults security utm]
使用できます。Web フィルタリング、コンテンツ フィルタリング、アンチウィルス、アンチスパムの特定のパラメーターを変更できます。また、Web フィルタリング、コンテンツ フィルタリング、アンチウィルス、およびアンチスパム機能プロファイルのデフォルト コンテンツ セキュリティ プロファイル [edit security utm default-configuration]
パラメーターを 変更することもできます。
「」も参照
シャーシ クラスタのコンテンツ セキュリティ サポート
コンテンツ セキュリティは、アクティブ/アクティブ シャーシ クラスターおよびアクティブ/バックアップ シャーシ クラスター構成でサポートされています。詳細については、以下のトピックを参照してください。
アクティブ/アクティブシャーシクラスターのコンテンツセキュリティサポートについて
コンテンツ セキュリティでは、シャーシ クラスタ設定の各デバイスにライセンスが必要です。ソフトウェア ライセンスの購入方法については、 https://www.juniper.net/in/en/contact-us/ のジュニパーネットワークスの営業担当者にお問い合わせいただくか、詳細については ライセンス ガイドをご覧ください。
以下のすべてのコンテンツ セキュリティ機能は、アクティブ/アクティブ シャーシ クラスタでサポートされています。
アンチスパム フィルタリング
コンテンツ フィルタリング
Sophos アンチウィルス スキャン
拡張 Web フィルタリング
ローカル Web フィルタリング
WebsenseリダイレクトWebフィルタリング
オンボックス/Avira AV
コンテンツ セキュリティは、Junos OS リリース 19.4R1 以降のアクティブ/アクティブ シャーシ クラスタ設定をサポートします。アクティブ/アクティブクラスターは、両方のクラスタノードで同時にインターフェイスをアクティブにできるクラスターです。これは、複数のデータ プレーン冗長性グループ、すなわち冗長性グループ 1 以上の場合、またはクラスタ ノードでローカル(非 reth)インターフェイスが使用されている場合に当てはまる。
拡張 Web フィルタリング クラウド接続はフェイルオーバーをサポートしていないため、古い接続が廃止された後に自動的に新しい接続が作成されます。
アクティブ/バックアップ シャーシ クラスタのコンテンツ セキュリティ サポートについて
コンテンツ セキュリティでは、シャーシ クラスタ設定の各デバイスにライセンスが必要です。ソフトウェア ライセンスの購入方法については、 https://www.juniper.net/in/en/contact-us/ のジュニパーネットワークスの営業担当者にお問い合わせください。
シャーシ クラスタでは、以下のコンテンツ セキュリティ機能がサポートされています。
コンテンツ フィルタリング
URL(Web)フィルタリング
アンチスパム フィルタリング
ファイルベースの完全アンチウィルス スキャン
Sophos アンチウィルス スキャン
アクティブ/アクティブクラスターは、両方のクラスタノードで同時にインターフェイスをアクティブにできるクラスタです。これは、複数のデータ プレーン冗長性グループ(冗長性グループ 1 以上)がある場合や、クラスタ ノードでローカル(非 reth)インターフェイスが使用されている場合に当てはまるものです。
複数のデータプレーン冗長グループが設定されている場合、Content Securityは、すべての冗長性グループが単一ノードでアクティブになっている場合にのみ機能します。冗長性グループの 1 つが自動的に別のノードにフェイルオーバーされた場合、Content Security は機能しません。
「」も参照
許可リスト
URL 許可リストは、特定のカテゴリーにリストされているすべての URL を定義し、常にスキャン・プロセスをバイパスします。許可リストには、SSL プロキシ処理の対象から免除したいホスト名が含まれます。詳細については、以下のトピックを参照してください。
- MIME 許可リストについて
- 例:MIME 許可リストを構成してアンチウィルス スキャンをバイパスする
- URL許可リストについて
- URL許可リストを設定してアンチウィルススキャンをバイパスする(CLI手順)
MIME 許可リストについて
ゲートウェイ デバイスは MIME(多目的インターネット メール拡張)タイプを使用して、アンチウィルス スキャンをバイパスするトラフィックを決定します。MIME 許可リストでは、MIME タイプのリストを定義し、1 つまたは複数の MIME エントリーを含めることができます。
MIME エントリーでは大文字と小文字が区別されません。空の MIME は無効なエントリであり、MIME リストに表示されるべきではありません。MIME エントリーの末尾に / 文字がある場合は、プレフィックスの一致が実行されます。それ以外の場合は、完全に一致します。
MIME タイプのアンチウィルス スキャンのバイパスを構成するために使用される MIME リストは 2 種類あります。
mime-allowlist list — これはアンチウィルス スキャンをバイパスできる MIME タイプの包括的なリストです。
例外リスト - 例外リストは、mime-allowlist リストから一部の MIME タイプを除外するためのリストです。このリストは、mime-allowlist にある MIME タイプのサブセットです。
たとえば、mime-allowlist にこのエントリが含まれており、
video/
例外リストにこの 2 つのリストを使用して、エントリvideo/x-shockwave-flash
が含まれている場合、「video/」MIME タイプでオブジェクトをバイパスすることはできますが、「video/x-shockwave-flash」MIME タイプはバイパスできません。mime-allowlist エントリーには以下のような制限があることに注意してください。
MIME リスト内の MIME アイテムの最大数は 50 です。
各 MIME エントリーの最大長は 40 バイトに制限されています。
MIME リスト名文字列の最大長は 40 バイトに制限されています。
例:MIME 許可リストを構成してアンチウィルス スキャンをバイパスする
この例では、MIME 許可リストを構成してアンチウィルス スキャンをバイパスする方法を示します。
要件
開始する前に、MIME タイプのアンチウィルス スキャンバイパスの構成に使用する MIME リストのタイプを決定します。 MIME 許可リストについてを参照してください。
概要
この例では、avmime2 と呼ばれる MIME リストと ex-avmime2 を作成し、パターンを追加します。
構成
手順
手順
MIME 許可リストがアンチウィルス スキャンをバイパスするように構成するには、
MIME リストを作成し、パターンをリストに追加します。
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
URL許可リストについて
URL 許可リストは、特定のカテゴリーにリストされているすべての URL を定義し、常にスキャン・プロセスをバイパスします。許可リストには、SSL プロキシ処理の対象から免除したいホスト名が含まれています。また、金融サイトや銀行サイトは免除される法的要件もあります。このような除外は、URL許可リストの下にあるホスト名に対応するURLカテゴリを設定することで達成されます。URL にスキャンが必要ない場合は、この許可リストに対応するカテゴリを追加できます。
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、許可リスト機能が拡張され、SSL フォワード プロキシーの許可リスト設定に Content Security でサポートされている URL カテゴリーが含まれます。詳細については、 セキュリティデバイス用アプリケーションセキュリティユーザーガイドを参照してください。
Junos OS リリース 17.4R1 以降、許可リスト機能が拡張され、SSL フォワード プロキシーの許可リスト設定で Content Security でサポートされるカスタム URL カテゴリーがサポートされます。
URL許可リストを設定してアンチウィルススキャンをバイパスする(CLI手順)
URL 許可リストを設定するには、以下の CLI 設定ステートメントを使用します。
security utm custom-objects { custom-url-category { ; set of list name url-category-name; #mandatory value url-pattern-name; } }