IPS ポリシーについて
侵入防御システム(IPS)ポリシーを使用すると、IPS対応デバイスを通過するネットワークトラフィックに、さまざまな攻撃検知および防御技術を選択的に適用できます。ポリシー オプションには、次の 2 種類があります。
グループ ポリシー:デバイスのグループに設定をプッシュする場合に、このオプションを選択します。グループ ポリシーのルールを作成できます。
グループ ポリシーのデバイスの割り当て中に、現在のドメインと子ドメイン (親の表示が有効になっている) のデバイスのみが一覧表示されます。親ビューが無効になっている子ドメイン内のデバイスはリストされません。グローバルドメインのすべてのグループポリシーが子ドメインに表示されるわけではありません。グローバルドメインのグループポリシー(すべてのデバイスポリシーを含む)は、その子ドメインの親ビューが無効になっている場合、子ドメインに表示されません。子ドメインのデバイスが割り当てられているグローバルドメインのグループポリシーのみが子ドメインに表示されます。グローバル ドメインにグループ ポリシーがあり、D1 ドメインとグローバル ドメインの両方のデバイスが割り当てられている場合、グローバル ドメインのこのグループ ポリシーのみが D1 ドメイン デバイスと共に D1 ドメインに表示されます。グローバル ドメインの他のデバイス、つまりデバイス例外ポリシーは、D1 ドメインに表示されません。
子ドメインからグローバルドメインのグループポリシーを編集することはできません。これは、[すべてのデバイス] ポリシーにも当てはまります。ポリシーの変更、ポリシーの削除、スナップショットの管理、スナップショット ポリシー、ポリシー ロックの取得もできません。同様に、グローバル ドメインから D1 ドメインのデバイス例外ポリシーでこれらのアクションを実行することはできません。現在のドメインのグループ ポリシーに優先順位を付けることができます。他のドメインのグループ ポリシーは表示されません。
デバイス ポリシー:デバイスごとに一意の IPS ポリシー設定をプッシュする場合は、このオプションを選択します。デバイス IPS ポリシーのデバイス ルールを作成できます。
Security Director は、論理システムまたはテナント システムを他のセキュリティ デバイスと同様に表示し、論理システムまたはテナント システムのセキュリティ設定の所有権を取得します。Security Director では、各論理システムまたはテナント システムは、固有のセキュリティ デバイスとして管理されます。
デバイス ポリシーのデバイス割り当て中に、現在のドメインのデバイスのみが一覧表示されます。
Security Directorがルート論理システムを検出すると、ルートLSYSはデバイス内の他のユーザーLSYSおよびTSYSをすべて検出します。
IPSポリシーはルールベースで構成され、各ルールベースにはルールセットが含まれます。ゾーン、ネットワーク、アプリケーションに基づいて、トラフィックの一部を一致させるポリシールールを定義し、そのトラフィックに対してアクティブまたはパッシブな予防措置を講じることができます。
IPSルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出することにより、ネットワークを攻撃から保護します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。
免除ルールベースは、IPSルールベースと連携して機能します。除外ルールを作成する前に、IPS ルールベースにルールが必要です。トラフィックが IPS ルールベースのルールに一致する場合、IPS ポリシーは、指定されたアクションを実行するか、イベントのログレコードを作成する前に、除外ルールベースに対してトラフィックを照合しようとします。IPS ポリシーが、送信元または宛先のペアと、除外ルールベースで指定された攻撃オブジェクトに一致するトラフィックを検出すると、そのトラフィックは自動的に攻撃検知から除外されます。
以下の条件で免除ルールベースを設定します。
誤検知または無関係なログ レコードを生成する 1 つ以上の攻撃オブジェクトを含む攻撃オブジェクト グループを IPS ルールで使用する場合。
特定の送信元、宛先、または送信元と宛先のペアを IPS ルールの一致から除外する場合。これにより、IPS が不要なアラームを生成するのを防ぎます。
1 つ以上のルールベースにルールを追加して IPS ポリシーを作成した後、ポリシーを公開または更新できます。IPSポリシーが割り当てられたセキュリティデバイスのリストを表示することもできます。このリストは、デバイスごとに割り当てられたすべての IPS ポリシーとルールの詳細を表示するのに役立ちます。
統合型および標準ファイアウォールポリシーに対するIPSポリシーのサポート
Junos Space Security Directorリリース19.3以降、IPSポリシーを標準および統合ファイアウォールポリシーに割り当てることができます。ファイアウォールポリシー内のIPSポリシーのサポート:
明示的な送信元、宛先、またはアプリケーションがIPSポリシーで定義されていない限り、すべてのIPS一致は標準または統合ファイアウォールポリシー内で処理されるようになります。
一致はファイアウォールポリシーで行われるため、送信元アドレスまたは宛先アドレス、送信元と宛先を除くゾーン、またはアプリケーションを設定する必要はありません。ただし、IPS ポリシーで一致条件を設定して、さらに細分性を高めることができます。
ファイアウォールポリシーの最初の一致は、単一または複数のポリシー一致となる可能性があります。セッションインタレストチェックの一環として、一致したルールのいずれかにIPSポリシーが存在する場合、IPSが有効になります。
Junos OSリリース18.2を搭載したデバイスでは、ファイアウォールポリシールールで単一のIPSポリシーがサポートされています。Junos OSリリース18.3以降のデバイスでは、ファイアウォールポリシールールで複数のIPSポリシーがサポートされています。
従来のファイアウォール ポリシー(5 タプルの一致条件または動的アプリケーションを「なし」として構成)と統合ポリシー(6 タプルの一致条件)を設定した場合、従来のファイアウォール ポリシーは、統一されたポリシーの前に、最初にトラフィックを照合します。
動的アプリケーションを一致条件の 1 つとする統合ポリシーを設定すると、IPS ポリシーの設定に関連する追加の手順が不要になります。すべての IPS ポリシー設定は、統一ファイアウォール ポリシー内で処理され、特定のセッションに対する攻撃や侵入を検出するように IPS ポリシーを設定するタスクを簡素化します。
Junos OS リリース 18.2 以降では、IPS ポリシーの CLI 設定は、IPS ポリシーがアタッチされている標準ファイアウォール ポリシーまたは統合ファイアウォール ポリシーとともに生成されます。
統合ファイアウォールポリシーと標準ファイアウォールポリシーのための複数のIPSポリシー
SRXシリーズデバイスが標準および統合ファイアウォールポリシーで構成されている場合、複数のIPSポリシーを設定し、そのうちの1つをデフォルトポリシーとして設定できます。セッションに複数の IPS ポリシーが設定されていて、ポリシーの競合が発生した場合、デバイスはそのセッションにデフォルトの IPS ポリシーを適用するため、ポリシーの競合が解決されます。
ファイアウォールポリシーで2つ以上のIPSポリシーを設定している場合は、デフォルトのIPSポリシーを設定する必要があります。
動的アプリケーションが識別される前に行われる最初のセキュリティー・ポリシー・ルックアップ・フェーズでは、複数の潜在的なポリシーが一致する可能性があります。一致したセキュリティ ポリシーの少なくとも 1 つに IPS ポリシーが設定されている場合、セッションで IPS が有効になります。
潜在的なポリシー リストに IPS ポリシーが 1 つだけ設定されている場合、その IPS ポリシーがセッションに適用されます。潜在的なポリシー リスト内のセッションに複数の IPS ポリシーが構成されている場合、SRX シリーズ デバイスはデフォルト IPS ポリシーとして構成された IPS ポリシーを適用します。
論理システムにおける IPS
Junos Space Security Directorリリース20.1R1以降、IPSポリシーにより、論理システム(LSYS)を通過するネットワークトラフィックに対して、さまざまな攻撃検出および防止技術を選択的に適用できるようになりました。
ルート レベルで IPS ポリシーを設定できます。LSYS の IPS ポリシーの設定は、LSYS 用に設定されていないデバイス上での IPS ポリシーの設定に似ています。これには、カスタム攻撃オブジェクトの構成を含めることができます。ルート LSYS にインストールされている IPS ポリシー テンプレートは、すべての LSYS に表示され、使用されます。LSYSにバインドされたセキュリティプロファイルでIPSポリシーを指定します。複数の IPS ポリシーを設定できますが、LSYS は一度に 1 つのアクティブな IPS ポリシーしか設定できません。ユーザー LSYS の場合、同じ IPS ポリシーを複数のユーザー LSYS にバインドするか、各ユーザー LSYS に固有の IPS ポリシーをバインドできます。
セキュリティ ポリシーで複数の IPS ポリシーを設定した場合、デフォルトの IPS ポリシーの設定は必須です。IPS ポリシーがユーザー LSYS に対して設定されていない場合は、設定されているデフォルトの IPS ポリシーが使用されます。
ルート レベルで IPS 署名ライセンスをインストールする必要があります。ルート レベルで IPS を有効にすると、デバイス上の任意の LSYS で使用できます。単一のIPSセキュリティパッケージが、ルートレベルでデバイス上のすべてのLSYSにインストールされます。ダウンロードとインストールのオプションは、ルートレベルでのみ実行できます。同じバージョンのIPS攻撃データベースがすべてのLSYSで共有されています。
Junos OSリリース18.3以降を実行するデバイスは、論理システムのIPSをサポートしています。
ファイアウォールポリシーでIPSポリシーを設定し、IPSポリシーが設定されているファイアウォールポリシーをインポートするには、 イン フォーカスガイドを参照してください。