Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

J-Web Content Security Antivirusを使用したウイルス攻撃の防止

概要 コンテンツセキュリティアンチウィルス保護と、J-Webを使用してSRXシリーズファイアウォールへのウイルス攻撃を防止するためにコンテンツセキュリティアンチウィルスを設定する方法について説明します。SRXシリーズファイアウォールのコンテンツセキュリティアンチウィルス機能は、ネットワークトラフィックをスキャンして、ウイルス攻撃からネットワークを保護し、ウイルスの拡散を防ぎます。

コンテンツ セキュリティ アンチウイルスの概要

サイバーセキュリティの脅威が進化し、より巧妙になっている今日の世界では、ウイルス攻撃からネットワークを保護することが極めて重要になっています。ウイルス、ワーム、およびマルウェアは、ファイルの損傷や削除、個人データのハッキング、システム パフォーマンスへの影響、ハード ディスクの再フォーマット、コンピューターを使用した他のコンピューターへのウイルスの送信など、望ましくない悪意のある行為を実行します。コンテンツセキュリティウイルス対策ソフトウェアは、このようなセキュリティの脅威に対する防御の最前線として機能し、ネットワークへのウイルスの拡散を防ぎます。ウイルス攻撃、望ましくないコンピューターマルウェア、スパイウェア、ルートキット、ワーム、フィッシング攻撃、スパム攻撃、トロイの木馬などからネットワークを保護します。

ウイルス対策ソフトウェアとウィルスパターンデータベースが最新であることを常に確認してください。

手記:

Junos OS 22.2R1以降:

  • J-Web GUI では、UTM という用語は「コンテンツ セキュリティ」に置き換えられています。

  • Junos CLIコマンドでは、コンテンツセキュリティを表す従来の用語UTMを引き続き使用します。

ジュニパーネットワークスは、以下のコンテンツセキュリティアンチウィルスソリューションを提供しています。

  • デバイス上のアンチウィルス保護

    オンデバイスアンチウイルスは、オンボックスソリューションです。デバイス上のアンチウィルス検索エンジンは、デバイスにローカルに保存されているウイルスパターンデータベースにアクセスしてデータをスキャンします。これは、別途ライセンスされたサブスクリプションサービスを通じて利用できる完全なファイルベースのウイルス対策スキャン機能を提供します。

    手記:

    • デバイス上のExpressまたはKasperskyスキャンエンジンは、Junos OS リリース15.1X49-D10以降ではサポートされていません。ただし、Junos OS リリース 12.3X48 には引き続き適用できます。

    • Junos OS リリース 18.4R1 以降、SRXシリーズファイアウォールは、Avira オンデバイス アンチウィルス スキャン エンジンをサポートしています。

    • Avira オンデバイス アンチウィルス スキャン エンジンは、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550 HM デバイスではサポートされていません。

  • ソフォスのウイルス対策

    Sophosアンチウイルスは、クラウド内のアンチウイルスソリューションです。ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォス (Sophos Extensible List) サーバーが管理する外部サーバー上にあります。また、ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して、外部リストサーバーからのクエリ応答を維持します。ソフォスのアンチウィルススキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU負荷の少ないソリューションです。

コンテンツセキュリティアンチウイルスの利点

  • デバイス上のウイルス対策ソリューション:

    • インターネットサーバーに接続せずに、アプリケーショントラフィックをローカルでスキャンし、アプリケーショントラフィックにウイルスが含まれているかどうかを照会します。

    • パターンデータベースがローカルに保存され、スキャンエンジンがデバイス上にあるため、処理の遅延が最小限に抑えられます。

  • ソフォスのアンチウィルスソリューション:

    • ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォスが管理する外部サーバー上にあるため、ジュニパー製デバイス上で大規模なパターンファイルデータベースをダウンロードして維持することを回避できます。

    • ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持するため、検索パフォーマンスが向上します。

    • Uniform Resource Identifier(URI)チェック機能を使用して、悪意のあるコンテンツがエンドポイントのクライアントまたはサーバーに到達するのを効果的に防止します。

アンチウィルスワークフロー

スコープ

ジュニパーWeb(J-Web)デバイスマネージャーは、SRXシリーズファイアウォールでコンテンツセキュリティアンチウィルスソリューションをサポートします。この例では、ソフォスのウイルス対策保護を使用して次のことを行います。

  1. サーバー(10.102.70.89)からコンピューターへのHTTPおよびFTPトラフィックをスキャンして、ウイルス攻撃を検出します。

  2. トラフィックのスキャン中にウイルスが見つかった場合に表示されるカスタム メッセージ Virus Found! を定義します。

  3. AV スキャンがスキップされる許可リスト URL (http://10.102.70.89) を作成します。

    手記:

    サンプル URL にルーティングできる必要があることを前提としています。

始める前に

  • ソフォスのウイルス対策ライセンスをインストールします。 インストールおよびアップグレードガイド ライセンス管理ガイド、および ライセンスガイドを参照してください。

  • この例で使用するSRXシリーズファイアウォールがJunos OS リリース22.2R1を実行していることを確認します。

    手記:

    Junos OS 22.2R1以降:

    • J-Web GUI では、UTM という用語は「コンテンツ セキュリティ」に置き換えられています。

    • Junos CLIコマンドでは、コンテンツセキュリティを表す従来の用語UTMを引き続き使用します。

位相幾何学

この例で使用されたトポロジーは、インターネットとサーバーにアクセスできるコンテンツセキュリティ対応のSRXシリーズファイアウォールに接続されたPCで構成されています。J-Web を使用して、この簡単なセットアップでサーバーに送信された HTTP 要求と FTP 要求をスキャンします。次に、ソフォスのウイルス対策保護を使用して、インターネットから PC へのウイルス攻撃を防ぎます。

Topology

ビデオ

J-Web を使用してコンテンツ セキュリティ アンチウイルスを構成する方法については、次のビデオを参照してください。

Sneak Peek – J-Web コンテンツ セキュリティ アンチウィルスの構成手順

Sneak Peek – J-Web Content Security Antivirus Configuration Steps

アクション

ステップ1

ソフォスのエンジンを「デフォルト設定」で設定します。

ここでは、まず「デフォルト設定」でデフォルトエンジンをソフォスとして定義します。

ステップ 2

アンチウイルスカスタムオブジェクトを設定します。

ここでは、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (許可リスト) を定義します。URL パターン リストを作成したら、カスタム URLカテゴリ リストを作成し、それにパターン リストを追加します。

ステップ 3

ソフォスのエンジンを使用してウイルス対策機能プロファイルを設定します。

デフォルト設定の後、機能プロファイルでウイルス スキャンに使用するパラメータを定義します。

手記:

ウイルス対策プロファイルを作成する前に、DNS サーバーを構成する必要があります。

DNSサーバーを設定するには、[ デバイス管理]>[基本設定]>[システムID]>[DNSサーバー]に移動します。

ステップ 4

ソフォスアンチウイルスのコンテンツセキュリティポリシーを作成し、アンチウイルス機能プロファイルをコンテンツセキュリティポリシーに適用します。

ここでは、コンテンツセキュリティポリシーを使用して、一連のプロトコル (HTTP など) を Sophos Content Security 機能プロファイルにバインドします。別のプロファイルを作成するか、imap-profile、pop3-profile、smtp-profile などの他のプロトコルをプロファイルに追加することで、他のプロトコルもスキャンできます。

ステップ 5

ソフォスアンチウイルスのセキュリティポリシーを作成し、コンテンツセキュリティポリシーをセキュリティポリシーに割り当てます。

ここでは、セキュリティ ファイアウォールと機能プロファイルの設定を使用して、trustゾーン(trust)からuntrustゾーン(インターネット)へのトラフィックをスキャンします。

ステップ 6

許可リスト URL (http://10.102.70.89) から URL にアクセスし、10.102.70.89 サーバーで使用できるテスト ウイルス ファイル (eicar.txt) をダウンロードしてみてください。

ステップ1:ウイルス対策のデフォルト設定を更新する

現在地(J-Web UI): セキュリティ サービス>Content Security>Default Configuration.

このステップでは、 Sophos Engine をデフォルトのエンジンタイプとして設定します。

既定のウイルス対策プロファイルを更新するには:

  1. [アンチウイルス]タブで、編集アイコン(鉛筆)をクリックしてデフォルト設定を編集します。

    [アンチウイルス]ページが表示されます。見る。

  2. 表 1 の「アクション」列にリストされているタスクを実行します。
    表 1: 既定の構成設定

    アクション

    種類

    ウイルス対策の Sophos Engine の種類を選択します。

    URL ホワイトリスト

    [ なし] を選択します。

    MIME ホワイトリスト

    リスト

    [ なし] を選択します。

    例外

    [ なし] を選択します。
    図1:デフォルトのアンチウイルス構成 Default Antivirus Configuration
  3. [OK] をクリックして、新しいデフォルト設定を保存します。

ステップ 2: ウイルス対策カスタム オブジェクトを構成する

ステップ 2a: バイパスする URL パターン リストを構成する

この手順では、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (セーフリスト) を定義します。

現在地(J-Web UI): セキュリティ サービス>Content Security>Custom Objects

URL のセーフリストを設定するには、次の手順を実行します。

  1. URL パターンリスト」タブをクリックします。
  2. 追加アイコン(+)をクリックして、URLパターンリストを追加します。

    [Add URL パターン List] ページが表示されます。 図 2 を参照してください。

  3. 表 2 の「アクション」列にリストされているタスクを実行します。
    表 2:URL パターン リストの設定

    アクション

    名前

    av-url-pattern」と入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 29 文字を使用できます。

    価値

    1. [+] をクリックして URL パターン値を追加します。

    2. http://10.102.70.89」と入力します。

    3. チェックマークアイコンをクリックします。
    図 2: URL パターン リストの追加 Add URL Pattern List
  4. [OK] をクリックして、URL パターン リストの構成を保存します。

よく出来ました!設定の結果は次のとおりです。

手順 2b: 許可する URL を分類する

次に、作成した URL パターンを URLカテゴリ リストに割り当てます。カテゴリ リストは、マッピングのアクションを定義します。たとえば、 セーフリスト カテゴリを許可する必要があります。

現在地: セキュリティ サービス>Content Security>Custom Objects.

URL を分類するには:

  1. [URL カテゴリ リスト(URL Category List)] タブをクリックします。
  2. 追加アイコン(+)をクリックして、URLカテゴリリストを追加します。

    [Add URL Category List] ページが表示されます。 図 3 を参照してください。

  3. 表 3 の「アクション」列にリストされているタスクを実行します。
    表 3:URL カテゴリ リストの設定

    アクション

    名前

    セーフリストに登録された URL パターンのURLカテゴリリスト名として「 av-url 」と入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 59 文字を使用できます。

    URL パターン

    [使用可能(Available)] 列から URL パターン値 [av-url-pattern ] を選択し、右矢印をクリックして URL パターン値を [選択済み(Selected)] 列に移動します。これにより、URL パターン値 av-url-pattern が URLカテゴリ リスト av-url に関連付けられます。
    図 3: [Add URL Category List] Add URL Category List
  4. [OK] をクリックして、カテゴリ リストの構成を保存します。

    よく出来ました!設定の結果は次のとおりです。

ステップ3:アンチウイルスプロファイルの作成

You are here: セキュリティ サービス>Content Security>Antivirus Profiles.

このステップでは、新しいコンテンツセキュリティアンチウィルスプロファイルを作成し、作成したURLオブジェクト(パターンとカテゴリ)をプロファイルに参照し、通知の詳細を指定します。

新しいウイルス対策プロファイルを作成するには、次の手順を実行します。

  1. 追加アイコン(+)をクリックして、新しいウイルス対策プロファイルを追加します。

    [Create Antivirus Profiles] ページが表示されます。 図 4 を参照してください。

  2. 表 4 の「アクション」列にリストされているタスクを実行します。
    表 4:アンチウイルスプロファイル設定

    アクション
    全般

    名前

    新しいウイルス対策プロファイルに「 av-profile 」と入力します。

    手記:

    最大 29 文字を使用できます。

    URL許可リスト

    リストから [av-url ] を選択します。
    フォールバックオプション

    コンテンツ サイズ

    [ログと許可] を選択します。

    デフォルトアクション

    [ログと許可] を選択します。
    通知オプション

    ウイルス検出

    [ メール送信に通知] を選択します。

    通知のタイプ

    [ メッセージ] を選択します。

    カスタムメッセージの件名

    ***Antivirus Alert***」と入力します。

    カスタムメッセージ

    Virus Found !」と入力します。
    図4:アンチウイルスプロファイルの作成一般設定 Create Antivirus Profile General Settings
    図5:アンチウイルスプロファイルの作成通知設定 Create Antivirus Profile Notification Settings
  3. 終了」をクリックします。設定の概要を確認し、[OK] をクリックして設定を保存します。
  4. 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。

    よく出来ました!設定の結果は次のとおりです。

手順 4: コンテンツ セキュリティポリシーにアンチウイルスプロファイルを適用する

ウイルス対策機能プロファイルを作成したら、ウイルス対策スキャン プロトコルのコンテンツ セキュリティ ポリシーを構成し、このポリシーを 「手順 3: アンチウイルスプロファイルの作成」で作成したウイルス対策プロファイルにアタッチします。この例では、HTTP トラフィックと FTP トラフィックをスキャンしてウイルスを検出します。

You are here: セキュリティ サービス>Content Security>Content Security Policies.

コンテンツセキュリティポリシーを作成するには:

  1. 追加アイコン(+)をクリックします。

    「コンテンツセキュリティポリシーの作成」ページが表示されます。

  2. 表 5 の「アクション」列にリストされているタスクを実行します。
    表 5: コンテンツ セキュリティ ポリシー設定の作成

    アクション
    全般

    名前

    コンテンツセキュリティポリシーの名前として「 av-policy 」と入力し、「 次へ」をクリックします。

    手記:

    最大 29 文字を使用できます。
    ウイルス 対策

    HTTP

    リストから [av-profile ] を選択し、[ OK] をクリックします。

    FTPアップロード

    リストから [av-profile ] を選択します。

    FTPダウンロード

    リストから [av-profile ] を選択し、ページの終わりまで [ 次へ ] をクリックします。
  3. 終了」をクリックします。設定の概要を確認し、[OK] をクリックして変更を保存します。
  4. 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。

    もうすぐです!設定の結果は次のとおりです。

手順 5: コンテンツ セキュリティポリシーをセキュリティ ファイアウォール ポリシーに割り当てる

このステップでは、アンチウイルスプロファイル設定を使用して、trust ゾーン (trust) から untrust ゾーン (インターネット) に通過するトラフィックを Sophos antivirus がスキャンするようにするファイアウォールセキュリティポリシーを作成します。

コンテンツ セキュリティ構成を、trust ゾーンからインターネット ゾーンへのセキュリティ ポリシーにまだ割り当てていません。フィルタリング アクションは、一致条件として機能するセキュリティ ポリシー ルールにコンテンツ セキュリティ ポリシーを割り当てた後にのみ実行されます。

手記:

セキュリティ ポリシー ルールが許可されている場合、SRXシリーズファイアウォールは以下を実行します。

  1. HTTP 接続をインターセプトし、(HTTP 要求内の) 各 URL または IP アドレスを抽出します。

    手記:

    HTTPS接続の場合、ウイルス対策はSSLフォワードプロキシを介してサポートされます。

  2. アンチウイルス(セキュリティ サービス>Content Security>Default Configuration)で、ユーザーが設定したセーフリスト内のURLを検索します。その後、URL がユーザー設定のセーフリストに含まれている場合、デバイスはその URL を許可します。

  3. アンチウイルスプロファイルで構成されたデフォルトのアクションに基づいて、URLを許可またはブロックします(カテゴリが構成されていない場合)。

You are here: Security Policies & Objects>Security Policies.

コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:

  1. 追加アイコン(+)をクリックします。
  2. 表 6 の「アクション」列にリストされているタスクを実行します。
    表 6: ルール設定

    アクション
    全般

    ルール名

    セキュリティ ポリシー ルール名として「 av-security-policy 」と入力します。このルールは、av-urlカテゴリリスト内のURLを許可します。

    ルールの説明

    セキュリティポリシールールの説明を入力し、「 次へ」をクリックします。

    送信元ゾーン

    1. [+] をクリックします。

      [ソースの選択(Select Sources)] ページが表示されます。

    2. [ゾーン(Zone)]:リストから 信頼 を選択します。

    3. [アドレス(Addresses)]:このフィールドはデフォルト値の [any] のままにします。

    4. [OK] をクリックします。

    ゾーンと宛先

    1. [+] をクリックします。

      [Select Destination] ページが表示されます。

    2. [ゾーン(Zone)]:リストから [インターネット(Internet )] を選択します。

    3. [アドレス(Addresses)]:このフィールドはデフォルト値の [any] のままにします。

    4. [サービス(Services)]:このフィールドはデフォルト値の [any] のままにします。

    5. [OK] をクリックします。

    アクション

    リストから [許可 ] を選択します。

    先進のセキュリティ

    1. [+] をクリックします。

      [高度なセキュリティの選択] ページが表示されます。

    2. [コンテンツ セキュリティ(Content Security)]:リストから [av-policy ] を選択します。

    3. [OK] をクリックします。
    手記:

    [Security Policies & Objects>Zones/Screens] に移動してゾーンを作成します。ゾーンの作成は、このドキュメントの範囲外です。
  3. チェックマークアイコンをクリックして、変更を保存します。

    よく出来ました!設定の結果は次のとおりです。

  4. コミット アイコン (上部のバナーの右側) をクリックし、[コミット] を選択します。

    「successful-commit」メッセージが表示されます。

    万丈!これで、ウイルス攻撃のトラフィックをスキャンする準備が整いました。

手順 6: コンテンツ セキュリティ アンチウイルスが動作していることを確認する

目的

設定したコンテンツセキュリティアンチウイルスが、インターネットサーバーからのウイルス攻撃を防ぎ、許可リストサーバーからのトラフィックを許可していることを確認します。

アクション

  • ブラウザを開いて「 www.eicar.org」と入力し、ダウンロードボタンをクリックして、標準のHTTPプロトコルを使用してファイルをダウンロードします。

    すみません!SRXシリーズファイアウォールがファイルのダウンロードをブロックし、「 アンチウイルスアラート***- ウイルスが見つかりました!」というカスタムブロックメッセージを送信しました。

  • ブラウザを開いて「https://www.juniper.net」と入力し、ダウンロードアイコンをクリックして Junos OS Day One+のPDFをダウンロードします。

    よく出来ました!ファイルがシステムに正常にダウンロードされます。

  1. PC を使用して、http://10.102.70.89 に HTTP 要求を送信します。

    よく出来ました!http://10.102.70.89 サーバーにアクセスできます。

  2. PC を使用して、10.102.70.89 サーバーに FTP リクエストを送信し、eicar.txtファイルをダウンロードします。eicar.txtファイルは、10.102.70.89サーバーで使用できるテストウイルスファイルです。

    すみません!SRXシリーズファイアウォールがファイルのダウンロードをブロックし、「 アンチウイルスアラート***- ウイルスが見つかりました!」というカスタムブロックメッセージを送信しました。

    以下は、eicar.txtファイルをダウンロードしようとすると、SRXシリーズ Firewallがウイルス警告を送信した場合の出力例です。

    次に、脅威を検出した場合のアンチウイルスの統計出力の例を示します。

【今後の予定】

あなたが望むなら

そうしたら

コンテンツ セキュリティ アンチウィルスの詳細と統計を監視する

J-Web で、[ 監視>セキュリティ サービス>コンテンツ セキュリティ>アンチウイルス] に移動します。

許可およびブロックされたURLに関するレポートを生成および表示する

レポートを生成して表示するには、次のようにします。

  1. J-Web UI にログインし、[ Monitor>Reports] をクリックします。

    [レポート(Reports)] ページが表示されます。

  2. 次の定義済みレポート名のいずれかを選択します。

    • 脅威評価レポート

    • ブロックされたウイルス

    手記:

    同時に複数のレポートを生成することはできません。

  3. レポートの生成」をクリックします。

    [レポート タイトル] ページが表示されます。

  4. 必要な情報を入力し、「 保存」をクリックします。

    レポートが生成されます。

詳しくは、コンテンツセキュリティ機能についての記事をご覧ください。

コンテンツセキュリティユーザーガイドを参照してください

設定出力の例

このセクションでは、この例で定義された Web サイトからのウイルス攻撃をブロックする構成の例を示します。

[edit security utm] 階層レベルで、以下のコンテンツセキュリティ設定を行います。

[edit security utm]階層レベルでのカスタムオブジェクトの作成:

[edit security utm] 階層レベルでのアンチウイルス プロファイルの作成:

コンテンツセキュリティポリシーの作成:

[edit security policies]階層レベルでのセキュリティポリシーのルールを作成します。