Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

J-Web Content Security Antivirusを使用したウイルス攻撃の防止

コンテンツセキュリティアンチウィルス保護と、J-Webを使用してSRXシリーズファイアウォールへのウイルス攻撃を防止するためにコンテンツセキュリティアンチウィルスを設定する方法について説明します。SRXシリーズファイアウォールのコンテンツセキュリティアンチウィルス機能は、ネットワークトラフィックをスキャンして、ウイルス攻撃からネットワークを保護し、ウイルスの拡散を防ぎます。

コンテンツ セキュリティ アンチウイルスの概要

サイバーセキュリティの脅威が進化し、より巧妙になっている今日の世界では、ウイルス攻撃からネットワークを保護することが極めて重要になっています。ウイルス、ワーム、およびマルウェアは、ファイルの損傷や削除、個人データのハッキング、システム パフォーマンスへの影響、ハード ディスクの再フォーマット、コンピューターを使用した他のコンピューターへのウイルスの送信など、望ましくない悪意のある行為を実行します。コンテンツセキュリティウイルス対策ソフトウェアは、このようなセキュリティの脅威に対する防御の最前線として機能し、ネットワークへのウイルスの拡散を防ぎます。ウイルス攻撃、望ましくないコンピューターマルウェア、スパイウェア、ルートキット、ワーム、フィッシング攻撃、スパム攻撃、トロイの木馬などからネットワークを保護します。

ウイルス対策ソフトウェアとウィルスパターンデータベースが最新であることを常に確認してください。

手記:

Junos OS 22.2R1以降:

  • J-Web GUI では、UTM という用語は「コンテンツ セキュリティ」に置き換えられています。

  • Junos CLIコマンドでは、コンテンツセキュリティを表す従来の用語UTMを引き続き使用します。

ジュニパーネットワークスは、以下のコンテンツセキュリティアンチウィルスソリューションを提供しています。

  • デバイス上のアンチウィルス保護

    オンデバイスアンチウイルスは、オンボックスソリューションです。デバイス上のアンチウィルス検索エンジンは、デバイスにローカルに保存されているウイルスパターンデータベースにアクセスしてデータをスキャンします。これは、別途ライセンスされたサブスクリプションサービスを通じて利用できる完全なファイルベースのウイルス対策スキャン機能を提供します。

    手記:

    • デバイス上のExpressまたはKasperskyスキャンエンジンは、Junos OS リリース15.1X49-D10以降ではサポートされていません。ただし、Junos OS リリース 12.3X48 には引き続き適用できます。

    • Junos OS リリース 18.4R1 以降、SRXシリーズファイアウォールは、Avira オンデバイス アンチウィルス スキャン エンジンをサポートしています。

    • Avira オンデバイス アンチウィルス スキャン エンジンは、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550 HM デバイスではサポートされていません。

  • ソフォスのウイルス対策

    Sophosアンチウイルスは、クラウド内のアンチウイルスソリューションです。ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォス (Sophos Extensible List) サーバーが管理する外部サーバー上にあります。また、ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して、外部リストサーバーからのクエリ応答を維持します。ソフォスのアンチウィルススキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU負荷の少ないソリューションです。

コンテンツセキュリティアンチウイルスの利点

  • デバイス上のウイルス対策ソリューション:

    • インターネットサーバーに接続せずに、アプリケーショントラフィックをローカルでスキャンし、アプリケーショントラフィックにウイルスが含まれているかどうかを照会します。

    • パターンデータベースがローカルに保存され、スキャンエンジンがデバイス上にあるため、処理の遅延が最小限に抑えられます。

  • ソフォスのアンチウィルスソリューション:

    • ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォスが管理する外部サーバー上にあるため、ジュニパー製デバイス上で大規模なパターンファイルデータベースをダウンロードして維持することを回避できます。

    • ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持するため、検索パフォーマンスが向上します。

    • Uniform Resource Identifier(URI)チェック機能を使用して、悪意のあるコンテンツがエンドポイントのクライアントまたはサーバーに到達するのを効果的に防止します。

アンチウィルスワークフロー

スコープ

ジュニパーWeb(J-Web)デバイスマネージャーは、SRXシリーズファイアウォールでコンテンツセキュリティアンチウィルスソリューションをサポートします。この例では、ソフォスのウイルス対策保護を使用して次のことを行います。

  1. サーバー(10.102.70.89)からコンピューターへのHTTPおよびFTPトラフィックをスキャンして、ウイルス攻撃を検出します。

  2. トラフィックのスキャン中にウイルスが見つかった場合に表示されるカスタム メッセージ Virus Found! を定義します。

  3. AV スキャンがスキップされる許可リスト URL (http://10.102.70.89) を作成します。

    手記:

    サンプル URL にルーティングできる必要があることを前提としています。

始める前に

  • ソフォスのウイルス対策ライセンスをインストールします。 インストールおよびアップグレードガイド ライセンス管理ガイド、および ライセンスガイドを参照してください。

  • この例で使用するSRXシリーズファイアウォールがJunos OS リリース22.2R1を実行していることを確認します。

    手記:

    Junos OS 22.2R1以降:

    • J-Web GUI では、UTM という用語は「コンテンツ セキュリティ」に置き換えられています。

    • Junos CLIコマンドでは、コンテンツセキュリティを表す従来の用語UTMを引き続き使用します。

位相幾何学

この例で使用されたトポロジーは、インターネットとサーバーにアクセスできるコンテンツセキュリティ対応のSRXシリーズファイアウォールに接続されたPCで構成されています。J-Web を使用して、この簡単なセットアップでサーバーに送信された HTTP 要求と FTP 要求をスキャンします。次に、ソフォスのウイルス対策保護を使用して、インターネットから PC へのウイルス攻撃を防ぎます。

Network diagram showing interaction between PC in Zone Trust, SRX Series device as firewall, and server in Zone Internet with IP 10.102.70.89.

ビデオ

J-Web を使用してコンテンツ セキュリティ アンチウイルスを構成する方法については、次のビデオを参照してください。

Sneak Peek – J-Web コンテンツ セキュリティ アンチウィルスの構成手順

Step-by-step guide for configuring antivirus with Sophos Engine: Select engine, configure URL list, create profile, apply to policy, assign policy, verify download.

アクション

ステップ1

ソフォスのエンジンを「デフォルト設定」で設定します。

ここでは、まず「デフォルト設定」でデフォルトエンジンをソフォスとして定義します。

ステップ 2

アンチウイルスカスタムオブジェクトを設定します。

ここでは、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (許可リスト) を定義します。URL パターン リストを作成したら、カスタム URLカテゴリ リストを作成し、それにパターン リストを追加します。

ステップ 3

ソフォスのエンジンを使用してウイルス対策機能プロファイルを設定します。

デフォルト設定の後、機能プロファイルでウイルス スキャンに使用するパラメータを定義します。

手記:

ウイルス対策プロファイルを作成する前に、DNS サーバーを構成する必要があります。

DNSサーバを設定するには、[デバイス管理]>[基本設定]>[システムアイデンティティ>DNSサーバ]に移動します。

ステップ 4

ソフォスアンチウイルスのコンテンツセキュリティポリシーを作成し、アンチウイルス機能プロファイルをコンテンツセキュリティポリシーに適用します。

ここでは、コンテンツセキュリティポリシーを使用して、一連のプロトコル (HTTP など) を Sophos Content Security 機能プロファイルにバインドします。別のプロファイルを作成するか、imap-profile、pop3-profile、smtp-profile などの他のプロトコルをプロファイルに追加することで、他のプロトコルもスキャンできます。

ステップ 5

ソフォスアンチウイルスのセキュリティポリシーを作成し、コンテンツセキュリティポリシーをセキュリティポリシーに割り当てます。

ここでは、セキュリティ ファイアウォールと機能プロファイルの設定を使用して、trustゾーン(trust)からuntrustゾーン(インターネット)へのトラフィックをスキャンします。

ステップ 6

許可リスト URL (http://10.102.70.89) から URL にアクセスし、10.102.70.89 サーバーで使用できるテスト ウイルス ファイル (eicar.txt) をダウンロードしてみてください。

ステップ1:ウイルス対策のデフォルト設定を更新する

現在地(J-Web UI): セキュリティ サービス > Content Security > Default Configuration.

このステップでは、 Sophos Engine をデフォルトのエンジンタイプとして設定します。

既定のウイルス対策プロファイルを更新するには:

  1. [アンチウイルス]タブで、編集アイコン(鉛筆)をクリックしてデフォルト設定を編集します。

    [アンチウイルス]ページが表示されます。見る。

  2. 表 1 の「アクション」列にリストされているタスクを実行します。
    表 1: 既定の構成設定

    アクション

    種類

    ウイルス対策の Sophos Engine の種類を選択します。

    URL ホワイトリスト

    [ なし] を選択します。

    MIME ホワイトリスト

    リスト

    [ なし] を選択します。

    例外

    [ なし] を選択します。
    図1:デフォルトのアンチウイルス構成 Configuration interface for antivirus system with Sophos Engine selected; no URL or MIME whitelists or exceptions set; MIME patterns note included.
  3. [OK] をクリックして、新しいデフォルト設定を保存します。

ステップ 2: ウイルス対策カスタム オブジェクトを構成する

ステップ 2a: バイパスする URL パターン リストを構成する

この手順では、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (セーフリスト) を定義します。

現在地(J-Web UI): セキュリティ サービス > コンテンツセキュリティ > カスタムオブジェクト

URL のセーフリストを設定するには、次の手順を実行します。

  1. URL パターンリスト」タブをクリックします。
  2. 追加アイコン(+)をクリックして、URLパターンリストを追加します。

    [Add URL パターン List] ページが表示されます。 図 2 を参照してください。

  3. 表 2 の「アクション」列にリストされているタスクを実行します。
    表 2:URL パターン リストの設定

    アクション

    名前

    av-url-pattern」と入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 29 文字を使用できます。

    価値

    1. [+] をクリックして URL パターン値を追加します。

    2. http://10.102.70.89」と入力します。

    3. Blue checkmark symbol indicating confirmation or completion.チェックマークアイコンをクリックします。
    図 2: URL パターン リストの追加 User interface for adding URL pattern list with name av-url-pattern and selected value http://10.102.70.89. Options to add or delete values and confirm with Ok button.
  4. [OK] をクリックして、URL パターン リストの構成を保存します。

よく出来ました!設定の結果は次のとおりです。

Gray box showing URL pattern list name av-url-pattern with allowed URL http://10.102.70.89 and vertical text jn-000549. Web interface for managing security-related custom objects; shows URL Pattern tab with item av-url-pattern and value http://10.102.70.89.

手順 2b: 許可する URL を分類する

次に、作成した URL パターンを URLカテゴリ リストに割り当てます。カテゴリ リストは、マッピングのアクションを定義します。たとえば、 セーフリスト カテゴリを許可する必要があります。

現在地: セキュリティ サービス > Content Security > Custom Objects.

URL を分類するには:

  1. [URL カテゴリ リスト(URL Category List)] タブをクリックします。
  2. 追加アイコン(+)をクリックして、URLカテゴリリストを追加します。

    [Add URL Category List] ページが表示されます。 図 3 を参照してください。

  3. 表 3 の「アクション」列にリストされているタスクを実行します。
    表 3:URL カテゴリ リストの設定

    アクション

    名前

    セーフリストに登録された URL パターンのURLカテゴリリスト名として「 av-url 」と入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 59 文字を使用できます。

    URL パターン

    [使用可能(Available)] 列から URL パターン値 [av-url-pattern ] を選択し、右矢印をクリックして URL パターン値を [選択済み(Selected)] 列に移動します。これにより、URL パターン値 av-url-pattern が URLカテゴリ リスト av-url に関連付けられます。
    図 3: [Add URL Category List] User interface for adding a URL category list in a web filtering tool. Name field contains av-url. No available URL patterns. Selected pattern: av-url-pattern. Buttons: Create New URL Pattern, Ok, Cancel. Arrows for moving items between lists.
  4. [OK] をクリックして、カテゴリ リストの構成を保存します。

    よく出来ました!設定の結果は次のとおりです。

    Handshake icon in green circle. URL category: av-url. URL pattern list: av-url-pattern. Code: jn-0000550. Configuration interface for Custom Objects in content filtering system with URL Category tab selected displaying entry av-url with value av-url-pattern.

ステップ3:アンチウイルスプロファイルの作成

You are here: セキュリティ サービス > Content Security > Antivirus Profiles.

このステップでは、新しいコンテンツセキュリティアンチウィルスプロファイルを作成し、作成したURLオブジェクト(パターンとカテゴリ)をプロファイルに参照し、通知の詳細を指定します。

新しいウイルス対策プロファイルを作成するには、次の手順を実行します。

  1. 追加アイコン(+)をクリックして、新しいウイルス対策プロファイルを追加します。

    [Create Antivirus Profiles] ページが表示されます。 図 4 を参照してください。

  2. 表 4 の「アクション」列にリストされているタスクを実行します。
    表 4:アンチウイルスプロファイル設定

    アクション
    全般

    名前

    新しいウイルス対策プロファイルの「 av-profile 」と入力します。

    手記:

    最大 29 文字を使用できます。

    URL許可リスト

    リストから [av-url ] を選択します。
    フォールバックオプション

    コンテンツ サイズ

    [ログと許可] を選択します。

    デフォルトアクション

    [ログと許可] を選択します。
    通知オプション

    ウイルス検出

    [ メール送信に通知] を選択します。

    通知のタイプ

    [ メッセージ] を選択します。

    カスタムメッセージの件名

    ***Antivirus Alert***」と入力します。

    カスタムメッセージ

    Virus Found !」と入力します。
    図4:アンチウイルスプロファイルの作成一般設定 User interface for creating antivirus profiles with sections for General Information including name and URL whitelist and MIME Whitelist settings. Current step is General.
    図5:アンチウイルスプロファイルの作成通知設定 User interface for antivirus profile creation focusing on Notification Options. Options include Fallback Deny and Non-Deny notifications, Virus Detection checked, Notification Type dropdown set to Message, Custom Message Subject set to Antivirus Alert, and Custom Message set to Virus Found. Navigation buttons Cancel, Back, Finish at the bottom.
  3. 終了」をクリックします。設定の概要を確認し、[OK] をクリックして設定を保存します。
  4. 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。

    よく出来ました!設定の結果は次のとおりです。

    Gray banner with white text Antivirus profile name: av-profile, handshake icon in green circle, text jn-0000551 on right.

手順 4: コンテンツ セキュリティポリシーにアンチウイルスプロファイルを適用する

ウイルス対策機能プロファイルを作成したら、ウイルス対策スキャン プロトコルのコンテンツ セキュリティ ポリシーを構成し、このポリシーを 「手順 3: アンチウイルスプロファイルの作成」で作成したウイルス対策プロファイルにアタッチします。この例では、HTTP トラフィックと FTP トラフィックをスキャンしてウイルスを検出します。

現在地: セキュリティ サービス > コンテンツ セキュリティ > コンテンツ セキュリティ ポリシー

コンテンツセキュリティポリシーを作成するには:

  1. 追加アイコン(+)をクリックします。

    「コンテンツセキュリティポリシーの作成」ページが表示されます。

  2. 表 5 の「アクション」列にリストされているタスクを実行します。
    表 5: コンテンツ セキュリティ ポリシー設定の作成

    アクション
    全般

    名前

    コンテンツセキュリティポリシーの名前として「 av-policy 」と入力し、「 次へ」をクリックします。

    手記:

    最大 29 文字を使用できます。
    ウイルス 対策

    HTTP

    リストから [av-profile ] を選択し、[ OK] をクリックします。

    FTPアップロード

    リストから [av-profile ] を選択します。

    FTPダウンロード

    リストから [av-profile ] を選択し、ページの終わりまで [ 次へ ] をクリックします。
  3. 終了」をクリックします。設定の概要を確認し、[OK] をクリックして変更を保存します。
  4. 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。

    もうすぐです!設定の結果は次のとおりです。

    Gray banner with handshake icon; text: Content Security policy name: av-policy; vertical text: jn-000553. Configuration interface showing Content Security Policies with av-policy for antivirus on HTTP, FTP Upload, and FTP Download. Web Filtering and Antispam are unconfigured.

手順 5: コンテンツ セキュリティポリシーをセキュリティ ファイアウォール ポリシーに割り当てる

このステップでは、アンチウイルスプロファイル設定を使用して、trust ゾーン (trust) から untrust ゾーン (インターネット) に通過するトラフィックを Sophos antivirus がスキャンするようにするファイアウォールセキュリティポリシーを作成します。

コンテンツ セキュリティ構成を、trust ゾーンからインターネット ゾーンへのセキュリティ ポリシーにまだ割り当てていません。フィルタリング アクションは、一致条件として機能するセキュリティ ポリシー ルールにコンテンツ セキュリティ ポリシーを割り当てた後にのみ実行されます。

手記:

セキュリティ ポリシー ルールが許可されている場合、SRXシリーズファイアウォールは以下を実行します。

  1. HTTP 接続をインターセプトし、(HTTP 要求内の) 各 URL または IP アドレスを抽出します。

    手記:

    HTTPS接続の場合、ウイルス対策はSSLフォワードプロキシを介してサポートされます。

  2. [アンチウイルス(セキュリティ サービス > コンテンツ セキュリティ > デフォルト設定)の下にあるユーザー設定のセーフリスト内の URL を検索します。その後、URL がユーザー設定のセーフリストに含まれている場合、デバイスはその URL を許可します。

  3. アンチウイルスプロファイルで構成されたデフォルトのアクションに基づいて、URLを許可またはブロックします(カテゴリが構成されていない場合)。

現在地: セキュリティポリシーとオブジェクト > セキュリティポリシー.

コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:

  1. 追加アイコン(+)をクリックします。
  2. 表 6 の「アクション」列にリストされているタスクを実行します。
    表 6: ルール設定

    アクション
    全般

    ルール名

    セキュリティ ポリシー ルール名として「 av-security-policy 」と入力します。このルールは、av-urlカテゴリリスト内のURLを許可します。

    ルールの説明

    セキュリティポリシールールの説明を入力し、「 次へ」をクリックします。

    送信元ゾーン

    1. [+] をクリックします。

      [ソースの選択(Select Sources)] ページが表示されます。

    2. [ゾーン(Zone)]:リストから 信頼 を選択します。

    3. [アドレス(Addresses)]:このフィールドはデフォルト値の [any] のままにします。

    4. [OK] をクリックします。

    ゾーンと宛先

    1. [+] をクリックします。

      [Select Destination] ページが表示されます。

    2. [ゾーン(Zone)]:リストから [インターネット(Internet )] を選択します。

    3. [アドレス(Addresses)]:このフィールドはデフォルト値の [any] のままにします。

    4. [サービス(Services)]:このフィールドはデフォルト値の [any] のままにします。

    5. [OK] をクリックします。

    アクション

    リストから [許可 ] を選択します。

    先進のセキュリティ

    1. [+] をクリックします。

      [高度なセキュリティの選択] ページが表示されます。

    2. [コンテンツ セキュリティ(Content Security)]:リストから [av-policy ] を選択します。

    3. [OK] をクリックします。

    手記:

    [ Security Policies & Objects ] > [ Zones/Screens ] に移動して、ゾーンを作成します。ゾーンの作成は、このドキュメントの範囲外です。
  3. チェックマークアイコンBlue checkmark symbol indicating confirmation or completion.をクリックして、変更を保存します。

    よく出来ました!設定の結果は次のとおりです。

    Security policies configuration interface for managing network traffic rules, including zones, addresses, applications, services, and actions. Content Security Policy configuration snippet showing security rule allowing unrestricted traffic from zone trust to zone internet. Rule action is permit.
  4. コミット アイコン (上部のバナーの右側) をクリックし、[コミット] を選択します。

    「successful-commit」メッセージが表示されます。

    万丈!これで、ウイルス攻撃のトラフィックをスキャンする準備が整いました。

手順 6: コンテンツ セキュリティ アンチウイルスが動作していることを確認する

目的

設定したコンテンツセキュリティアンチウイルスが、インターネットサーバーからのウイルス攻撃を防ぎ、許可リストサーバーからのトラフィックを許可していることを確認します。

アクション

  1. PC を使用して、http://10.102.70.89 に HTTP 要求を送信します。

    よく出来ました!http://10.102.70.89 サーバーにアクセスできます。

  2. PC を使用して、10.102.70.89 サーバーに FTP リクエストを送信し、eicar.txtファイルをダウンロードします。eicar.txtファイルは、10.102.70.89サーバーで使用できるテストウイルスファイルです。

    すみません!SRXシリーズファイアウォールがファイルのダウンロードをブロックし、「 アンチウイルスアラート***- ウイルスが見つかりました!」というカスタムブロックメッセージを送信しました。

    以下は、eicar.txtファイルをダウンロードしようとすると、SRXシリーズ Firewallがウイルス警告を送信した場合の出力例です。

    次に、脅威を検出した場合のアンチウイルスの統計出力の例を示します。

【今後の予定】

あなたが望むなら

そうしたら

コンテンツ セキュリティ アンチウィルスの詳細と統計を監視する

J-Webで、>セキュリティ サービス>コンテンツセキュリティ>アンチウイルスを監視するに移動します。

許可およびブロックされたURLに関するレポートを生成および表示する

レポートを生成して表示するには、次のようにします。

  1. J-Web UI にログインし、[Monitor > Reports] をクリックします。

    [レポート(Reports)] ページが表示されます。

  2. 次の定義済みレポート名のいずれかを選択します。

    • 脅威評価レポート

    • ブロックされたウイルス

    手記:

    同時に複数のレポートを生成することはできません。

  3. レポートの生成」をクリックします。

    [レポート タイトル] ページが表示されます。

  4. 必要な情報を入力し、「 保存」をクリックします。

    レポートが生成されます。

詳しくは、コンテンツセキュリティ機能についての記事をご覧ください。

コンテンツセキュリティユーザーガイドを参照してください

設定出力の例

このセクションでは、この例で定義された Web サイトからのウイルス攻撃をブロックする構成の例を示します。

[edit security utm] 階層レベルで、以下のコンテンツセキュリティ設定を行います。

[edit security utm]階層レベルでのカスタムオブジェクトの作成:

[edit security utm] 階層レベルでのアンチウイルス プロファイルの作成:

コンテンツセキュリティポリシーの作成:

[edit security policies]階層レベルでのセキュリティポリシーのルールを作成します。