このページの目次
コンテンツセキュリティの概要
コンテンツセキュリティは、複数の脅威タイプから保護するために、複数のセキュリティ機能を1つのデバイスに統合することを表す用語です。コンテンツセキュリティの利点は、複数のセキュリティ機能のインストールと管理が合理化されることです。
コンテンツセキュリティソリューションの一部として、以下のセキュリティ機能が提供されています:
アンチスパム - この機能は、送信されたメッセージを検査して電子メール スパムを識別します。電子メールスパムは、通常、商業的、悪意のある、または詐欺的なエンティティによって送信される不要なメッセージで構成されます。デバイスは、スパムと見なされる電子メール メッセージを検出すると、メッセージをドロップするか、メッセージ ヘッダーまたは件名フィールドに事前にプログラムされた文字列をタグ付けします。スパム対策機能では、常に更新されるスパムハウスブロックリスト(SBL)を使用します。ソフォスは、IP ベースの SBL をアップデートおよび保守します。
完全なファイルベースのウイルス対策 - ウイルスとは、他の実行可能コードに感染するか、自身を複製する実行可能コードです。一部の悪意のあるウイルスは、ファイルを消去したり、システムをロックしたりします。他のウイルスは単にファイルに感染し、偽のデータでターゲットホストまたはネットワークを圧倒します。完全なファイルベースアンチウィルス機能は、特定の アプリケーション層の トラフィックでファイルベースのスキャンを提供し、ウイルスシグネチャデータベースと照合してウイルスをチェックします。ウイルス対策機能は、電子メールの添付ファイルなどの元のアプリケーション コンテンツを再構築するまで、受信したデータ パケットを収集し、このコンテンツをスキャンします。カスペルスキーは内部スキャンエンジンを提供します。
高速アンチウィルス - 高速アンチウィルス スキャンは、完全なファイルベースのアンチウィルス機能に代わる、CPU への負荷の少ない代替手段として提供されています。高速アンチウィルス機能は、ウイルス シグネチャ データベースと照合して特定のアプリケーション層のトラフィックにウイルスがないかスキャンするという点で、アンチウィルス機能と似ています。ただし、完全なウイルス対策とは異なり、高速ウイルス対策は元のアプリケーション コンテンツを再構築しません。むしろ、受信したデータパケットをそのままスキャンエンジンに送信(ストリーム)するだけです。エクスプレス アンチウイルスでは、ウイルス スキャンはハードウェア パターン マッチング エンジンによって実行されます。これにより、スキャンの実行中のパフォーマンスは向上しますが、提供されるセキュリティのレベルは低下します。ジュニパーネットワークスがスキャンエンジンを提供しています。
コンテンツ フィルタリング - コンテンツ フィルタリングは、MIME タイプ、ファイル拡張子、プロトコル コマンド、埋め込みオブジェクト タイプに基づいて、特定のタイプのトラフィックをブロックまたは許可します。
Web フィルタリング - Web フィルタリングを使用すると、不適切な Web コンテンツへのアクセスを防止して、インターネットの使用を管理できます。次のタイプの Web フィルタリング ソリューションを使用できます。
統合Webフィルタリング:ユーザが定義したカテゴリまたはカテゴリサーバ(WebsenseはSurfControl Content Portal Authority)サーバからURLのカテゴリを識別した後、Webアクセスをブロックまたは許可します。
リダイレクト Web フィルタリング - HTTP リクエストを傍受し、サーバー URL を外部 URL フィルタリング サーバーに転送して、要求された Web アクセスをブロックするか許可するかを決定します。WebsenseはURLフィルタリングサーバーを提供しています。
ジュニパーローカルWebフィルタリング:デバイスがデバイスに保存されているユーザー定義のカテゴリからURLのカテゴリを識別した後、Webアクセスをブロックまたは許可します。
コンテンツセキュリティライセンス
すべてのコンテンツセキュリティコンポーネントには、カスタムURLのみを使用したコンテンツフィルタリングを除き、ライセンスが必要です。これは、ジュニパーネットワークスがサードパーティのテクノロジーを活用しており、常に更新され、最新の検査機能を提供しているためです。ライセンスは、個別に購入することも、 AppSecure やIPSなどの他の機能とのバンドルライセンスとして購入することもできます。ライセンスは期間ベースです。
コンテンツセキュリティコンポーネント
コンテンツセキュリティコンポーネントには、SRXシリーズデバイスで設定可能なカスタムオブジェクト、機能プロファイル、およびコンテンツセキュリティポリシーが含まれます。大まかに言うと、機能プロファイルは、図1に示すように、機能がどのように設定され、コンテンツセキュリティポリシーに適用され、次にコンテンツセキュリティポリシーに適用されるかを指定します。
コンテンツセキュリティプロファイルには、独自の7タプルルールベースはありません。ある意味では、ファイアウォールルールからルールを継承します。コンテンツセキュリティ機能の長所は、ユーザーまたはユーザーグループごとに異なる構成を持つことができるURLフィルタリングにあります。
カスタムオブジェクト—SRXシリーズファイアウォールは、ほとんどの典型的なユースケースに対応できる事前定義された機能プロファイルをサポートしていますが、URLフィルタリング、アンチウィルスフィルタリング、コンテンツフィルタリング専用に、独自のオブジェクトを定義する必要がある場合があります。
機能プロファイル - 機能プロファイルは、各プロファイルのコンポーネントがどのように機能するかを指定します。異なるコンテンツセキュリティポリシーを介してファイアウォールルールに適用できる複数の機能プロファイルを設定できます。
コンテンツ セキュリティ ポリシー:コンテンツ セキュリティ ポリシーは、個々の機能プロファイルの論理コンテナとして機能します。コンテンツセキュリティプロファイルは、ファイアウォールポリシー内のルールの分類に基づいて、特定のトラフィックフローに適用されます。これにより、ファイアウォールルールごとに個別のコンテンツセキュリティポリシーを定義して、ファイアウォールルールごとの適用を区別できます。基本的に、ファイアウォールルールベースは一致条件として機能し、コンテンツセキュリティポリシーが適用されるアクションです。
ファイアウォールポリシー:ファイアウォールルールに適用されるコンテンツセキュリティポリシーの機能プロファイルを事前に定義できます。これにより、両方ではなく、その1つのコンテンツセキュリティテクノロジー(アンチウイルスやURLフィルタリングなど)に対して事前定義されたコンテンツセキュリティポリシーを使用するという利点があります。