Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS ポリシー ルールの作成

始める前に

このページを使用して、一致するトラフィックパターンが見つかったときに実行するアクションを定義する侵入防御システム(IPS)ルールを作成します。IPS ポリシーにルールを追加、編集、または削除できます。

IPS ポリシーの作成時に、事前定義された IPS テンプレートを使用できます。これらのテンプレートには、攻撃オブジェクトに関連付けられた既定のアクションを使用するルールが含まれています。独自の送信元アドレスと宛先アドレスを選択し、セキュリティ ニーズを反映した IPS アクションを選択することで、これらのテンプレートをネットワーク上で機能するようにカスタマイズできます。

IPSルールは、攻撃オブジェクトを使用してステートフルシグネチャとプロトコルの異常に基づいて既知および未知の攻撃を検出することにより、ネットワークを攻撃から保護します。IPS 免除ルールは、不要なアラームが生成されないようにします。

IPS ポリシー ルールを設定するには、次の手順に従います。

  1. IPSポリシー>ポリシー>ポリシー>またはテンプレートの設定を選択します。
  2. 作成したポリシーの [ ルールの追加] リンク をクリックします。
  3. [作成] をクリックし、[IPS ルール] または [除外ルール] を選択します。
  4. 1 および 表 2 に示すガイドラインに従って、設定を完了します。
  5. [ 公開] をクリックします。

設定した新しい IPS ルールが作成されます。このルールは、IPS ポリシーまたは IPS ポリシー テンプレートで使用できます。

表 1: IPS ポリシー ルールの設定

設定

ガイドライン

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 255 文字です。

IPSタイプ

指定した型のルールを表示します。たとえば、IPS、免除などです。

Src. ゾーン

[ソース ゾーン] フィールドをクリックし、ソース ゾーンのエディター設定を構成します。

ソースゾーンエディタ

ゾーン

ソースのゾーンを選択します。ゾーンの例外を使用して、各デバイスのゾーンに固有のゾーンを指定することもできます。任意のゾーンから発信されるネットワーク トラフィックを監視するには、any を指定します。デフォルト値は any です。

住所

[送信元アドレス] フィールドをクリックし、送信元アドレス設定を構成します。

送信元アドレス

アドレス選択

ルールの選択したアドレス一覧にアドレスを含めるか、除外します。ソース オブジェクトの任意の IP アドレスを含めるように選択することもできます。

アドレス

[使用可能] 列から、ルールの選択した一覧に含める使用可能な IP アドレスを 1 つ以上選択します。

新しい送信元アドレスの追加

ボタンをクリックして、新しい送信元アドレスを追加します。

宛先ゾーン

[宛先ゾーン] フィールドをクリックし、宛先ゾーンのエディター設定を構成します。

宛先ゾーンエディタ

ゾーン

宛先のゾーンを選択します。ゾーンの例外を使用して、デバイスごとに一意の from ゾーンを指定することもできます。任意のゾーンへのネットワーク トラフィックを監視するには、any を指定します。デフォルト値は any です。

宛先住所

[宛先アドレス] フィールドをクリックし、宛先アドレス設定を構成します。

宛先アドレス

アドレス選択

ルールの選択したアドレス一覧にアドレスを含めるか、除外します。ソース オブジェクトの任意の IP アドレスを含めるように選択することもできます。

アドレス

[使用可能] 列から、ポリシー ルールの選択済みリストに含める使用可能な IP アドレスを 1 つ以上選択します。

新しい宛先アドレスの追加

ボタンをクリックして、新しい宛先アドレスを追加します。

サービス

[サービス] フィールドをクリックし、サービス エディターの設定を構成します。

サービス エディター

サービス

ポリシー ルールで使用可能なサービスを選択します。例えば:

  • ftp:FTPはマシン間でのファイルの送受信を可能にします。

  • ssh—SSHは、安全でないチャネルで強力な認証と安全な通信を通じて、ネットワークを介して別のコンピュータにログインするプログラムです。

  • Web:ポリシーは、以前にウェブ認証によって認証されたユーザへのアクセスを許可します。

  • ユーザー ファイアウォール - ユーザー名とロールの情報を使用して、ユーザーのセッションまたはトラフィックを許可するか拒否するかを決定します。

  • インフラネット:認証されたすべてのユーザのユーザおよびロール情報をアクセス コントロール サービスからプッシュします。

デフォルト値は「デフォルト」です。Security Directorのサービスは、ドメインネームシステム(DNS)などのデバイス上のアプリケーションを指します。サービスはプロトコルとポートに基づいており、ポリシーに追加すると、Security Directorによって管理されるすべてのデバイスに適用できます。

新しいサービスの追加

ボタンをクリックして、新しいサービスを追加します。

IPSシグネチャ

[IPS シグネチャ] フィールドをクリックし、IPS シグネチャ設定を行います。

IPSシグネチャ

IPS シグネチャ

[使用可能(Available)] 列から、ポリシー ルールの選択したリストに含める使用可能な IPS シグネチャを 1 つ以上選択します。

新しい IPS シグネチャの追加

ボタンをクリックして、新しい IPS シグネチャを追加します。

アクション

[アクション] フィールドをクリックし、アクション設定を構成します。

アクション

アクション

監視対象トラフィックがルールで指定された攻撃オブジェクトと一致した場合にIPSが実行するアクションのオプションを選択します。

  • アクションなし:アクションを実行しません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

  • [無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。

    メモ:

    このアクションは、攻撃を無視するという意味ではありません。

  • Drop Packet:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。

  • 接続のドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。

  • クライアントを閉じる:接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

  • サーバーを閉じる:接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

  • クライアントとサーバーを閉じる - 接続を閉じ、RST パケットをクライアントとサーバーの両方に送信します。

  • 推奨 - ジュニパーネットワークスが深刻な脅威と見なすすべての攻撃オブジェクトのリストを、カテゴリ別に分類して表示します。たとえば、重大度は、攻撃に割り当てられた重大度によって攻撃オブジェクトをグループ化します。

  • Diffservマーキング:示された差別化されたサービスコードポイント(DSCP)値を攻撃のパケットに割り当て、パケットを通常どおりに渡します。

    Diffservマーキングを選択する場合は、コード値を入力する必要があります。

    • [Diffserv マーキングのコード ポイント] - コード ポイント値を入力します。DSCP値に基づいて、動作集約分類子は、トラフィックが受ける転送処理を決定するトラフィックの転送クラスと損失優先度を設定します。

メモ:

DSCP 値は、攻撃として検出された最初のパケットには適用されませんが、後続のパケットに適用されます。

通知オプション。

[通知] フィールドをクリックし、通知設定を構成します。

通知オプション。

攻撃ロギング

攻撃をログに記録するには、このオプションを有効にします。

アラート フラグ

攻撃ログにアラート フラグを追加するには、このオプションを有効にします。

ログパケット

ルールが一致した場合にパケット キャプチャをログに記録するには、このオプションを有効にします。

変更前のパケット

攻撃がキャプチャされる前に処理されたパケット数を入力します。

後のパケット

攻撃がキャプチャされた後に処理されたパケット数を入力します。

ポストウィンドウタイムアウト

セッションの攻撃後パケットをキャプチャする時間制限を入力します。

タイムアウトが経過すると、パケット キャプチャは実行されません。範囲は 0 から 1800 秒からです。

IPアクションオプト。

[IP アクション] フィールドをクリックし、IP アクション設定を構成します。

IPアクションオプト。

IPアクション

同じ IP アクション属性を使用する今後の接続にアクションを適用するオプションを選択します。

  • [なし(None)]:将来のトラフィックに対してアクションを実行しません。

  • IP 通知 - 今後のトラフィックに対しては何もしませんが、イベントをログに記録します。これがデフォルトです。

  • IP Close:RST パケットをクライアントとサーバに送信して、この IP アクション ルールに一致する新しいセッションを閉じます。

  • IP ブロック - IP アクション ルールに一致するセッションのすべてのパケットがサイレントにドロップされます。

    トラフィックが複数のルールに一致する場合、一致したすべてのルールの中で最も重大な IP アクションが適用されます。最も重大な IP アクションはセッションのクローズ アクションで、次の重大度はセッションの削除/ブロック アクション、通知アクションの順です。

IP ターゲット

今後の接続をブロックするオプションを選択します。

  • なし:どのトラフィックにも一致しません。

  • 宛先アドレス - 攻撃トラフィックの宛先アドレスに基づいてトラフィックを照合します。

  • サービス—TCPおよびUDPの場合、攻撃トラフィックの送信元アドレス、送信元ポート、宛先アドレス、および宛先ポートに基づいてトラフィックを照合します。これがデフォルトです。

  • 送信元アドレス:攻撃トラフィックの送信元アドレスに基づいてトラフィックを照合します。

  • 送信元ゾーン:攻撃トラフィックの送信元ゾーンに基づいてトラフィックを照合します。

  • 送信元ゾーンアドレス—攻撃トラフィックの送信元ゾーンと送信元アドレスに基づいてトラフィックを照合します。

  • ゾーン サービス:攻撃トラフィックの送信元ゾーン、宛先アドレス、宛先ポート、プロトコルに基づいてトラフィックを照合します。

更新タイムアウト

IP アクションのタイムアウトを更新して、今後の接続が IP アクション・フィルターと一致したときに期限切れにならないようにするには、このオプションを有効にします。

タイムアウト値

トラフィックが一致した後も IP アクションが有効であり続ける秒数を入力します。

デフォルト値は 0 秒で、範囲は 0〜64,800 秒です。

取得されたログ

ルールに一致するトラフィックに対するIPアクションに関する情報をログに記録するには、このオプションを有効にします。

ログ作成

このオプションを有効にすると、IP アクション・フィルターにログ・イベントが生成されます。

追加のオプト

[追加] フィールドをクリックし、追加設定を構成します。

追加のオプト

重大 度

ルールで継承された攻撃の重大度を上書きする重大度レベルを選択します。レベルは、重大度の高い順に、情報、警告、マイナー、メジャー、クリティカルです。最も危険なレベルはクリティカルで、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報は最も危険性の低いレベルであり、ネットワーク管理者がセキュリティ システムの穴を発見するために使用します。

ターミナル

ターミナルルールフラグを設定するには、このオプションを有効にします。デバイスは、端末ルールに一致すると、セッションのルールの一致を停止します。

説明

IPS ポリシー ルールの説明を入力します。最大長は 4096 文字です。
表 2: IPS ポリシー テンプレートのルール設定

設定

ガイドライン

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

IPSタイプ

指定した型のルールを表示します。たとえば、IPS、免除などです。

IPSシグネチャ

[IPS シグネチャ] フィールドをクリックし、IPS シグネチャ設定を行います。

IPSシグネチャ

IPS シグネチャ

[使用可能(Available)] 列から、ポリシー ルールの選択したリストに含める使用可能な IPS シグネチャを 1 つ以上選択します。

新しい IPS シグネチャの追加

ボタンをクリックして、新しい IPS シグネチャを追加します。

アクション

[アクション] フィールドをクリックし、アクション設定を構成します。

アクション

アクション

監視対象トラフィックがルールで指定された攻撃オブジェクトと一致した場合にIPSが実行するアクションのオプションを選択します。

  • アクションなし:アクションを実行しません。このアクションは、一部のトラフィックのログのみを生成する場合に使用します。

  • [無視(Ignore)]:攻撃の一致が見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。

    メモ:

    このアクションは、攻撃を無視するという意味ではありません。

  • Drop Packet:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックを受信できなくなる可能性があります。

  • 接続のドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。

  • クライアントを閉じる:接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。

  • サーバーを閉じる:接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。

  • クライアントとサーバーを閉じる - 接続を閉じ、RST パケットをクライアントとサーバーの両方に送信します。

  • 推奨 - ジュニパーネットワークスが深刻な脅威と見なすすべての攻撃オブジェクトのリストを、カテゴリ別に分類して表示します。たとえば、重大度は、攻撃に割り当てられた重大度によって攻撃オブジェクトをグループ化します。

  • Diffservマーキング:示された差別化されたサービスコードポイント(DSCP)値を攻撃のパケットに割り当て、パケットを通常どおりに渡します。

    Diffservマーキングを選択する場合は、コード値を入力する必要があります。

    • [Diffserv マーキングのコード ポイント] - コード ポイント値を入力します。DSCP値に基づいて、動作集約分類子は、トラフィックが受ける転送処理を決定するトラフィックの転送クラスと損失優先度を設定します。

メモ:

DSCP 値は、攻撃として検出された最初のパケットには適用されませんが、後続のパケットに適用されます。

通知オプション。

[通知] フィールドをクリックし、通知設定を構成します。

通知オプション。

攻撃ロギング

攻撃をログに記録するには、このオプションを有効にします。

アラート フラグ

攻撃ログにアラート フラグを追加するには、このオプションを有効にします。

ログパケット

ルールが一致した場合にパケット キャプチャをログに記録するには、このオプションを有効にします。

変更前のパケット

攻撃がキャプチャされる前に処理されたパケット数を入力します。

後のパケット

攻撃がキャプチャされた後に処理されたパケット数を入力します。

ポストウィンドウタイムアウト

セッションの攻撃後パケットをキャプチャする時間制限を入力します。

タイムアウトが経過すると、パケット キャプチャは実行されません。範囲は 0 から 1800 秒からです。

IPアクションオプト。

[IP アクション] フィールドをクリックし、IP アクション設定を構成します。

IPアクションオプト。

IPアクション

同じ IP アクション属性を使用する今後の接続にアクションを適用するオプションを選択します。

  • [なし(None)]:将来のトラフィックに対してアクションを実行しません。

  • IP 通知 - 今後のトラフィックに対しては何もしませんが、イベントをログに記録します。これがデフォルトです。

  • IP Close:RST パケットをクライアントとサーバに送信して、この IP アクション ルールに一致する新しいセッションを閉じます。

  • IP ブロック - IP アクション ルールに一致するセッションのすべてのパケットがサイレントにドロップされます。

    トラフィックが複数のルールに一致する場合、一致したすべてのルールの中で最も重大な IP アクションが適用されます。最も重大な IP アクションはセッションのクローズ アクションで、次の重大度はセッションの削除/ブロック アクション、通知アクションの順です。

IP ターゲット

今後の接続をブロックするオプションを選択します。

  • なし:どのトラフィックにも一致しません。

  • 宛先アドレス - 攻撃トラフィックの宛先アドレスに基づいてトラフィックを照合します。

  • サービス—TCPおよびUDPの場合、攻撃トラフィックの送信元アドレス、送信元ポート、宛先アドレス、および宛先ポートに基づいてトラフィックを照合します。これがデフォルトです。

  • 送信元アドレス:攻撃トラフィックの送信元アドレスに基づいてトラフィックを照合します。

  • 送信元ゾーン:攻撃トラフィックの送信元ゾーンに基づいてトラフィックを照合します。

  • 送信元ゾーンアドレス—攻撃トラフィックの送信元ゾーンと送信元アドレスに基づいてトラフィックを照合します。

  • ゾーン サービス:攻撃トラフィックの送信元ゾーン、宛先アドレス、宛先ポート、プロトコルに基づいてトラフィックを照合します。

更新タイムアウト

IP アクションのタイムアウトを更新して、今後の接続が IP アクション・フィルターと一致したときに期限切れにならないようにするには、このオプションを有効にします。

タイムアウト値

トラフィックが一致した後も IP アクションが有効であり続ける秒数を入力します。

デフォルト値は 0 秒で、範囲は 0〜64,800 秒です。

取得されたログ

ルールに一致するトラフィックに対するIPアクションに関する情報をログに記録するには、このオプションを有効にします。

ログ作成

このオプションを有効にすると、IP アクション・フィルターにログ・イベントが生成されます。

追加のオプト

[追加] フィールドをクリックし、追加設定を構成します。

追加のオプト

重大 度

ルールで継承された攻撃の重大度を上書きする重大度レベルを選択します。レベルは、重大度の高い順に、情報、警告、マイナー、メジャー、クリティカルです。最も危険なレベルはクリティカルで、サーバーをクラッシュさせたり、ネットワークを制御したりしようとします。情報は最も危険性の低いレベルであり、ネットワーク管理者がセキュリティ システムの穴を発見するために使用します。

ターミナル

ターミナルルールフラグを設定するには、このオプションを有効にします。デバイスは、端末ルールに一致すると、セッションのルールの一致を停止します。

説明

IPS ポリシー ルールの説明を入力します。最大長は 1024 文字です。

関連ドキュメント