コンテンツセキュリティがサポートする機能
WELF Logging for Content Security 機能
コンテンツセキュリティ機能の WELF ロギングについて
コンテンツ セキュリティ機能は WELF 標準をサポートします。WELFリファレンスは、WebTrends業界標準のログファイル交換形式を定義しています。この形式のシステムログは、Firewall Suite 2.0以降、Firewall Reporting Center 1.0以降、およびSecurity Reporting Center 2.0以降と互換性があります。
WELF ログ ファイルはレコードで構成されます。各レコードは、ファイル内の 1 行です。レコードは常に時系列順です。最も古いレコードは、ファイル内の最初のレコードです。最新のレコードは、ファイルの最後のレコードです。WELFでは、ログファイル名やログファイルのローテーションポリシーに制限はありません。
各 WELF レコードはフィールドで構成されます。レコード ID フィールド (id=) は、レコードの最初のフィールドでなければなりません。他のすべてのフィールドは、任意の順序で表示できます。
以下は、WELF レコードの例です。
id=firewall time="2000-2-4 12:01:01" fw=192.168.0.238 pri=6 rule=3 proto=http
src=192.168.0.23 dst=6.1.0.36 rg=www.example.com/index.html op=GET result=0
rcvd=1426
WELF レコードの例のフィールドには、次の必須要素が含まれています (他のすべてのフィールドはオプションです)。
id(レコード識別子)time(日時)fw(ファイアウォールの IP アドレスまたは名前)pri(記録の優先順位)
例:コンテンツセキュリティ機能の WELF ロギングの設定
この例では、コンテンツ セキュリティ機能の WELF ログを構成する方法を示します。
必要条件
開始する前に、WELF ログ ファイルと記録の作成に使用するフィールドを確認します。 「コンテンツセキュリティの概要」を参照してください。
概要
WELF ログ ファイルはレコードで構成されます。各レコードは、ファイル内の 1 行です。レコードは常に時系列順です。最も古いレコードは、ファイル内の最初のレコードです。最新のレコードは、ファイルの最後のレコードです。WELFでは、ログファイル名やログファイルのローテーションポリシーに制限はありません。この例では、重大度レベルは緊急で、セキュリティ ログ ストリームの名前は utm-welf です。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security log source-address 1.2.3.4 stream utm-welf set security log source-address 1.2.3.4 stream utm-welf format welf set security log source-address 1.2.3.4 stream utm-welf format welf category content-security set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency set security log source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
コンテンツセキュリティ機能の WELF ログを設定するには:
セキュリティ ログの送信元 IP アドレスを設定します。
[edit security log] user@host# set source-address 1.2.3.4
手記:WELFロギングメッセージは、専用のWebTrendsサーバーに保存する必要があります。
セキュリティログ ストリームに名前を付けます。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf
ログメッセージの形式を設定します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf
送信されるログメッセージのカテゴリを設定します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security
送信されるログメッセージの重大度レベルを設定します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency
ログメッセージの送信先となる専用WebTrends Serverのホストアドレスを入力します。
[edit security log] user@host# set source-address 1.2.3.4 stream utm-welf format welf category content-security severity emergency host 5.6.7.8
業績
設定モードから、 show security log コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security log
stream utm-welf {
severity emergency;
format welf;
category content—
security;
host {
5.6.7.8;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
コンテンツセキュリティの明示的なプロキシ
コンテンツセキュリティは、コンテンツセキュリティ上の拡張Webフィルタリング(EWF)およびソフォスアンチウィルス(SAV)のクラウドベースの接続に明示的なプロキシの使用をサポートします。明示的なプロキシは、送信元デバイスのIDを隠蔽し、宛先デバイスとの接続を確立します。
- 明示的なプロキシについて
- Juniper Enhanced Serverでの明示的なプロキシの設定
- Juniper Enhanced Serverでの明示的なプロキシ設定の検証
- 明示的プロキシを使用した定義済みカテゴリのアップグレードおよびベースフィルター設定の設定
- 定義済みカテゴリーのアップグレードおよび基本フィルター設定の確認
- Sophos Antivirus Pattern Update の設定
- Sophosアンチウイルスパターンファイルのアップデートの確認
明示的なプロキシについて
明示的なプロキシは、送信元デバイスのIDを隠蔽し、Websense Threatseeker Cloud(TSC)サーバーと直接通信して、送信先デバイスとの接続を確立します。明示的なプロキシ設定は、ポート アドレスとダイレクト IP アドレスまたはホスト名で構成されます。
明示的なプロキシを使用するには、1 つ以上のプロキシ プロファイルを作成し、それらのプロファイルを参照します。
EWF では、明示的なプロキシは、階層で作成された
proxy-profileを参照security utm default-configuration web-filtering juniper-enhanced server構成されます。TSC サーバーとの接続が確立されます。EWF の事前定義されたカテゴリ アップグレードとベース フィルターでは、明示的なプロキシは、階層で作成された
proxy-profileを参照security utm custom-objects category-package proxy-profile構成されます。ソフトウェアをアップグレードすることなく、新しいEWFカテゴリをダウンロードして動的に読み込むことができます。proxy-profileカテゴリ ファイルがインストールされ、トラフィックの転送に使用されます。SRXシリーズファイアウォールはプロキシサーバーに CONNECT リクエストを送信し、SRXシリーズファイアウォールとTSCサーバーはHTTP接続を介して通信します。その後、プロキシサーバーは設定されたIPアドレスを識別し、許可リストに登録し、SRXシリーズファイアウォールがプロキシ経由でクラウド内のTSCサーバーにトラフィックを送信できるようにすることが期待されます。プロキシフィルタリング後、実際のTSCサーバーへの接続が作成されます。
Sophos Antivirus (SAV) では、階層で作成された
proxy-profileを参照して明示的なプロキシsecurity utm default-configuration anti-virus sophos-engine pattern-update設定されます。 utmd プロセスは、クラウド上の SAV パターンアップデートサーバではなく、プロキシホストに接続します。
EWF では、プロキシ プロファイルがコンテンツ セキュリティ Webフィルタリング構成で構成されている場合、TSC サーバー接続は、クラウド上のコンテンツ セキュリティ サーバーではなく、プロキシ ホストと確立されます。
SAV では、プロキシプロファイルが設定されている場合、 utmd プロセスはクラウド上の SAV パターン更新サーバーではなく、プロキシホストに接続します。
proxy-profileが構成されている場合、プロキシサーバー認証はサポートされません。
Juniper Enhanced Serverでの明示的なプロキシの設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
ホストとポート情報を使用してプロキシプロファイルを作成し、ジュニパー拡張サーバーでそれを参照して、コンテンツセキュリティクラウドサーバーへの接続を確立します。
以下の設定は、ジュニパー拡張サーバーで明示的なプロキシを設定する方法を示しています。
Results
設定モードから、 show security and show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
default-configuration {
web-filtering {
type juniper-enhanced;
juniper-enhanced {
server {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 192.0.2.1;
port 3128;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
Juniper Enhanced Serverでの明示的なプロキシ設定の検証
目的
Juniper拡張サーバー上の明示的なサーバーのステータスを表示します。
アクション
動作モードから、 show security utm web-filtering status コマンドを入力します。
user@host> show security utm web-filtering statusUTM web-filtering status: Server status: Juniper Enhanced using Websense server UP
意味
このコマンドは、Websense Threatseeker Cloud(TSC)を使用して、拡張Webフィルタリング(EWF)のサーバステータスに関する情報を提供します。
明示的プロキシを使用した定義済みカテゴリのアップグレードおよびベースフィルター設定の設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
ホストとポートの情報を含むプロキシ プロファイルを作成し、定義済みのカテゴリ アップグレードとベース フィルターでそれを参照することで、ソフトウェアをアップグレードすることなく、新しい EWF カテゴリをダウンロードして動的に読み込みます。
次の構成は、定義済みのカテゴリのアップグレードと基本フィルターで明示的なプロキシを構成する方法を示しています。
Results
設定モードから、 show security and show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
custom-objects {
category-package {
proxy-profile proxy1;
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
定義済みカテゴリーのアップグレードおよび基本フィルター設定の確認
目的
拡張 Web フィルタリング(EWF)の定義済みカテゴリ パッケージのダウンロード、インストール、および更新ステータスを表示します。
アクション
動作モードから、 show security utm web-filtering category status CLI コマンドを入力して、Web フィルタリング カテゴリのステータスを確認します。
show security utm web-filtering category status CLIコマンドを実行する前に、request security utm web-filtering category download-install CLIコマンドを実行して結果を取得する必要があります。
user@host> show security utm web-filtering category status
UTM category status:
Installed version: 1
Download version: 0
Update status: Done
意味
このコマンドは、インストールおよびダウンロードされたカテゴリの数と更新ステータスに関する情報を提供します。
Sophos Antivirus Pattern Update の設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
ホストとポートの情報を使用してプロキシプロファイルを作成し、Sophos Antivirus (SAV) パターンファイルアップデートで参照します。 utmd プロセスは、クラウド上の SAV パターンアップデートサーバではなく、プロキシホストに接続します。
以下の設定は、SAV パターンアップデート時に明示的なプロキシを設定する方法を示しています。
Results
設定モードから、 show security と show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security
default-configuration {
anti-virus {
sophos-engine {
pattern-update {
proxy-profile proxy1;
}
}
}
}
[edit]
user@host# show services
proxy {
profile proxy1 {
protocol {
http {
host 203.0.113.1;
port 3128;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
Sophosアンチウイルスパターンファイルのアップデートの確認
目的
Sophos Antivirus (SAV) のアップデートパターンの状態を表示します。
アクション
動作モードから、 show security utm anti-virus status CLI コマンドを入力して、コンテンツ セキュリティのアンチウィルス ステータスを確認します。
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2018-08-02 00:00:00
Update server: https://host2.example.com/SAV/
Interval: 1000 minutes
Pattern update status: next update in 979 minutes
Pattern update via proxy server: 203.0.113.1:3128
Last result: already have latest database
Anti-virus signature version: 1.13 (1.02)
Scan engine type: sophos-engine
Scan engine information: last action result: No error
意味
このコマンドは、Sophos Antivirus (SAV) パターンファイルのアップデートサーバー、アップデートステータス、アンチウィルスシグネチャのバージョン、アンチウィルスエンジンタイプ、アンチウイルスエンジン情報に関する情報を提供します。
コンテンツセキュリティの統合ポリシー
統合ポリシーの理解 [コンテンツセキュリティ]
SRXシリーズファイアウォールで統合ポリシーがサポートされるようになり、従来のセキュリティポリシー内で動的なレイヤー7アプリケーションをきめ細かく制御および実施できるようになりました。
統合ポリシーは、既存の5タプルまたは6タプルの一致条件(ユーザー ファイアウォールを使用)とともに、動的アプリケーションを一致条件として使用して、時間の経過に伴うアプリケーションの変更を検出できるセキュリティポリシーです。統合ポリシーを使用すると、トランジットトラフィックに一連のルールを適用できます。一致基準、すなわち、送信元ゾーン、宛先ゾーン、送信元アドレス、宛先アドレス、およびアプリケーション名を使用します。これにより、一致ポリシーが発生する可能性があります。
統合ポリシー構成は、すべてのアプリケーションファイアウォール(AppFW)機能を処理し、ネットワークからのアプリケーショントラフィックを許可またはブロックするファイアウォールポリシーを構成するタスクを簡素化します。統合ポリシーの一環として、新しい動的アプリケーション ポリシー一致条件がSRXシリーズファイアウォールに追加され、管理者はレイヤー7アプリケーションの動作をより効果的に制御できます。
コンテンツセキュリティでレイヤー7のアプリケーションベースのポリシーに対応するために、 [edit security utm default-configuration] コマンドが導入されました。特定のコンテンツ セキュリティ機能プロファイル設定でパラメータが設定されていない場合は、コンテンツ セキュリティのデフォルト設定の対応するパラメータが適用されます。
さらに、動的アプリケーションが識別される前に発生する最初のポリシー検索フェーズで、異なるコンテンツセキュリティプロファイルを含む複数のポリシーが潜在ポリシーリストに存在する場合、SRXシリーズファイアウォールは、より明示的な一致が発生するまでデフォルトのコンテンツセキュリティプロファイルを適用します。
デフォルトのコンテンツ セキュリティ セキュリティポリシーについて
工場出荷時のデフォルト設定で、新しい定義済みのデフォルトのコンテンツセキュリティポリシーを使用して、デフォルトのコンテンツセキュリティ設定を提供できます。この定義済みのグローバルコンテンツセキュリティポリシーは、デフォルトのコンテンツセキュリティ設定プロファイルから設定を継承します。
既存のコンテンツセキュリティポリシーが定義されている場合、既存のセキュリティポリシー設定に基づいてトラフィックを評価するために引き続き使用されます。
ポリシー検索が実行されると、既存のコンテンツセキュリティポリシーがグローバルポリシーの前に評価されます。コンテンツセキュリティセッションの作成プロセス中に、潜在的なポリシーリストに複数のコンテンツセキュリティポリシーが存在する場合、事前に定義されたコンテンツセキュリティのデフォルトポリシーが利用されます。
定義済みのコンテンツセキュリティのデフォルトポリシーパラメータは、 [edit security utm default-configuration] 階層レベルに含まれています。これらのパラメータは、Webフィルタリング、コンテンツフィルタリング、アンチウィルス、アンチスパムプロファイルで使用できます。コンテンツ セキュリティ機能プロファイル(Webフィルタリング、コンテンツ フィルタリング、ウイルス対策、スパム対策)が設定されていない場合は、定義済みのグローバル コンテンツ セキュリティ設定のパラメータが適用されます。
定義済みのコンテンツセキュリティのデフォルトポリシーは、 [edit groups junos-defaults security utm]で使用できます。Webフィルタリング、コンテンツフィルタリング、アンチウィルス、アンチスパムの特定のパラメータを変更できます。また、Webフィルタリング、コンテンツフィルタリング、アンチウィルス、アンチスパム機能プロファイルのデフォルトのコンテンツセキュリティプロファイルパラメータを [edit security utm default-configuration]で変更することもできます。
Junos OS リリース 23.1R1 以降、統合ポリシーに記載されている URLカテゴリに一致するトラフィックのセキュリティ ログが有効になりました。このリリースの前には、システムは、統合ポリシーで言及された URLカテゴリに一致するトラフィックのセキュリティ ログを生成しませんでした。
参照
シャーシクラスタのコンテンツセキュリティサポート
コンテンツ セキュリティは、アクティブ/アクティブ シャーシ クラスタおよびアクティブ/バックアップ シャーシ クラスタ設定でサポートされています。詳細については、次のトピックを参照してください。
アクティブ/アクティブ シャーシ クラスタのコンテンツ セキュリティ サポートについて
コンテンツ セキュリティには、シャーシ クラスタ設定の各デバイスのライセンスが必要です。ソフトウェアライセンスの購入方法については、ジュニパーネットワークスの営業担当者( https://www.juniper.net/in/en/contact-us/ )にお問い合わせください。詳細については、 ライセンスガイドを参照してください。
アクティブ/アクティブ シャーシ クラスターでは、以下のコンテンツ セキュリティ機能がすべてサポートされます。
スパム フィルタリング
コンテンツ フィルタリング
ソフォスのアンチウイルススキャン
拡張Webフィルタリング
ローカル Web フィルタリング
Websense リダイレクト Web フィルタリング
オンボックス/Avira AV
コンテンツ セキュリティは、Junos OS リリース 19.4R1 以降のアクティブ/アクティブ シャーシ クラスタ設定をサポートします。アクティブ/アクティブ クラスタは、両方のクラスタ ノードで同時にインターフェイスをアクティブにできるクラスタです。これは、データプレーン冗長グループが複数存在する場合、つまり冗長グループ1以上がある場合や、ローカル(非reth)インターフェイスがクラスタノードで使用されている場合に当てはまります。
拡張 Web フィルタリング クラウド接続はフェールオーバーをサポートしていないため、古い接続が廃止されると、新しい接続が自動的に作成されます。
アクティブ/バックアップシャーシクラスタのコンテンツセキュリティサポートについて
コンテンツ セキュリティには、シャーシ クラスタ設定の各デバイスのライセンスが必要です。ソフトウェアライセンスの購入方法については、ジュニパーネットワークスの営業担当者( https://www.juniper.net/in/en/contact-us/)にお問い合わせください。
シャーシクラスタでは、次のコンテンツセキュリティ機能がサポートされています。
コンテンツ フィルタリング
URL(Web)フィルタリング
スパム フィルタリング
ファイルベースのアンチウィルススキャン
ソフォスのアンチウィルススキャン
アクティブ/アクティブ クラスタは、両方のクラスタ ノードで同時にインターフェイスをアクティブにできるクラスタです。これは、複数のデータプレーン冗長グループがある場合、つまり冗長グループ1以上がある場合、またはローカル(非reth)インターフェイスがクラスタノードで使用されている場合に当てはまります。
複数のデータプレーン冗長グループが設定されている場合、すべての冗長グループが単一ノードでアクティブである場合にのみ、コンテンツセキュリティが機能します。冗長グループの 1 つが別のノードに自動的にフェイルオーバーした場合、コンテンツ セキュリティは機能しません。
参照
許可リスト
URL 許可リストは、特定のカテゴリにリストされているすべての URL を定義して、常にスキャン プロセスをバイパスします。許可リストには、SSL プロキシ処理の対象から除外するホスト名が含まれます。詳細については、次のトピックを参照してください。
- MIME 許可リストについて
- 例:アンチウィルス スキャンをバイパスするための MIME 許可リストの設定
- URL許可リストについて
- アンチウィルススキャンをバイパスするためのURL許可リストの設定(CLI手順)
MIME 許可リストについて
ゲートウェイ デバイスは、MIME (Multipurpose Internet Mail Extension) タイプを使用して、ウイルス対策スキャンをバイパスするトラフィックを決定します。MIME 許可リストは、MIME タイプのリストを定義し、1 つまたは複数の MIME エントリを含めることができます。
MIME エントリでは、大文字と小文字が区別されません。空のMIMEは無効なエントリであり、MIMEリストに表示しないでください。MIME エントリが / 文字で終わっている場合、プレフィックスのマッチングが行われます。それ以外の場合は、完全一致が発生します。
MIME タイプ アンチウィルス スキャン バイパスを設定するために使用される MIME リストには 2 種類あります。
mime-allowlist list:アンチウィルス スキャンをバイパスできる MIME タイプの包括的なリストです。
例外リスト—例外リストは、mime許可リストから一部の MIME タイプを除外するためのリストです。このリストは、mime-allowlist にある MIME タイプのサブセットです。
例えば、mime-allowlist にエントリ
video/が含まれていて、例外リストにエントリvideo/x-shockwave-flashが含まれている場合、これら 2 つのリストを使用すると、「video/」MIME タイプオブジェクトをバイパスできますが、「video/x-shockwave-flash」MIME タイプはバイパスできません。MIME-許可リストのエントリには、次のような制限があることに注意してください。
MIME リスト内の MIME アイテムの最大数は 50 です。
各 MIME エントリの最大長は 40 バイトに制限されています。
MIME リスト名文字列の最大長は 40 バイトに制限されています。
例:アンチウィルス スキャンをバイパスするための MIME 許可リストの設定
この例では、アンチウィルス スキャンをバイパスするように MIME 許可リストを構成する方法を示します。
必要条件
開始する前に、MIME タイプ アンチウィルス スキャン バイパスの設定に使用する MIME リストのタイプを決定します。 MIME 許可リストについてを参照してください。
概要
この例では、avmime2 と ex-avmime2 という MIME リストを作成し、それらにパターンを追加します。
構成
プロシージャ
手順
アンチウィルススキャンをバイパスするように MIME 許可リストを設定するには:
MIME リストを作成し、リストにパターンを追加します。
[edit] user@host# set security utm custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml] user@host# set security utm custom-objects mime-pattern ex-avmime2 value [video/quicktime-inappropriate]
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
URL許可リストについて
URL 許可リストは、特定のカテゴリにリストされているすべての URL を定義して、常にスキャン プロセスをバイパスします。許可リストには、SSL プロキシ処理の対象から除外するホスト名が含まれています。また、金融サイトや銀行サイトを免除する法的要件もあります。このような除外は、URL許可リストでこれらのホスト名に対応するURLカテゴリを設定することで実現されます。スキャンを必要としない URL がある場合は、対応するカテゴリをこの許可リストに追加できます。
Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、許可リスト機能が拡張され、SSL フォワードプロキシの許可リスト設定に、コンテンツ セキュリティがサポートする URL カテゴリが含まれるようになりました。詳細については、『 セキュリティデバイスのアプリケーションセキュリティユーザーガイド』を参照してください。
Junos OS リリース 17.4R1 以降、許可リスト機能が拡張され、SSL フォワードプロキシの許可リスト設定で、コンテンツセキュリティがサポートするカスタム URL カテゴリがサポートされるようになりました。
アンチウィルススキャンをバイパスするためのURL許可リストの設定(CLI手順)
URL許可リストを設定するには、次のCLI設定ステートメントを使用します。
security utm custom-objects {
custom-url-category { ; set of list
name url-category-name; #mandatory
value url-pattern-name;
}
}
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。