Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

IPS ポリシーについて

侵入防御システム(IPS)ポリシーを使用すると、IPS 対応デバイスを通過するネットワーク トラフィックに対して、さまざまな攻撃検出および防御技術を選択的に適用できます。ポリシー オプションには 2 つのタイプがあります。

  • [グループ ポリシー(Group Policy)]:デバイスのグループに設定をプッシュする場合は、このオプションを選択します。グループ ポリシーのルールを作成できます。

    グループ ポリシーのデバイス割り当て中に、現在のドメインと子ドメイン (親の表示が有効になっている) のデバイスのみが一覧表示されます。親ビューが無効になっている子ドメイン内のデバイスはリストされません。グローバルドメインのすべてのグループポリシーが子ドメインに表示されるわけではありません。グローバルドメインのグループポリシー(すべてのデバイスポリシーを含む)は、その子ドメインの親ビューが無効になっている場合、子ドメインには表示されません。子ドメインのデバイスが割り当てられているグローバルドメインのグループポリシーのみが、子ドメインに表示されます。グローバルドメインにグループポリシーがあり、D1ドメインとグローバルドメインの両方のデバイスが割り当てられている場合、グローバルドメインのこのグループポリシーのみが、D1ドメインデバイスとともにD1ドメインに表示されます。Globalドメインの他のデバイス、つまりDevice-Exceptionポリシーは、D1ドメインには表示されません。

    子ドメインからグローバルドメインのグループポリシーを編集することはできません。これは、「すべてのデバイス」ポリシーにも当てはまります。ポリシーの変更、ポリシーの削除、スナップショット、スナップショット・ポリシーの管理、ポリシー・ロックの取得もできません。同様に、グローバルドメインからD1ドメインのDevice-Exceptionポリシーに対してこれらのアクションを実行することはできません。現在のドメインからグループポリシーに優先順位を付けることができます。他のドメインのグループポリシーはリストされません。

  • [Device Policy]:デバイスごとに一意の IPS ポリシー設定をプッシュする場合は、このオプションを選択します。デバイスIPSポリシーのデバイスルールを作成できます。

    Security Director は、論理システムまたはテナント システムを他のセキュリティ デバイスと同様に認識し、論理システムまたはテナント システムのセキュリティ設定の所有権を取得します。Security Director では、各論理システムまたはテナント システムが一意のセキュリティ デバイスとして管理されます。

    デバイスポリシーのデバイス割り当て中に、現在のドメインのデバイスのみが一覧表示されます。

手記:

Security Director がルート論理システムを検出すると、ルート LSYS はデバイス内の他のすべてのユーザ LSYS と TSYS を検出します。

IPS ポリシーはルールベースで構成され、各ルールベースには一連のルールが含まれます。ゾーン、ネットワーク、アプリケーションに基づいて、トラフィックの一部を一致させるポリシールールを定義し、そのトラフィックに対してアクティブまたはパッシブな予防措置を講じることができます。

IPS ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出することにより、ネットワークを攻撃から保護します。ステートフル、シグネチャ、プロトコルの異常に基づいて攻撃を検知します。

除外ルールベースは、IPS ルールベースと連携して機能します。除外ルールを作成する前に、IPS ルールベースにルールが必要です。トラフィックが IPS ルールベースのルールに一致する場合、IPS ポリシーは、指定されたアクションを実行したり、イベントのログ レコードを作成したりする前に、トラフィックを除外ルールベースと照合しようとします。IPS ポリシーは、送信元または宛先のペアと、除外ルールベースで指定された攻撃オブジェクトに一致するトラフィックを検出すると、そのトラフィックを攻撃検出から自動的に除外します。

次の条件で除外ルールベースを構成します。

  • IPS ルールが、誤検知または無関係なログ レコードを生成する 1 つ以上の攻撃オブジェクトを含む攻撃オブジェクト グループを使用する場合。

  • 特定の送信元、宛先、または送信元と宛先のペアを IPS ルールの一致から除外する場合。これにより、IPS が不要なアラームを生成するのを防ぎます。

1 つ以上のルールベースにルールを追加して IPS ポリシーを作成した後、ポリシーを公開または更新できます。また、IPS ポリシーが割り当てられているセキュリティ デバイスのリストを表示することもできます。このリストは、デバイスごとに割り当てられたすべての IPS ポリシーとルールの詳細を表示するのに役立ちます。

統合ファイアウォールポリシーと標準ファイアウォールポリシーに対するIPSポリシーのサポート

Junos Space Security Director リリース 19.3 以降では、IPS ポリシーを標準および統合型ファイアウォールポリシーに割り当てることができます。ファイアウォールポリシー内でのIPSポリシーのサポート:

  • IPSポリシーで明示的な送信元、宛先、またはアプリケーションが定義されていない限り、すべてのIPS一致は標準または統合ファイアウォールポリシー内で処理されます。

  • ファイアウォールポリシーで一致が発生するため、送信元または宛先アドレス、送信元と宛先を除く、送信元と宛先ゾーン、またはアプリケーションを設定する必要はありません。ただし、IPS ポリシーで一致条件を設定することで、さらに粒度を高めることができます。

  • ファイアウォール ポリシーが最初に一致すると、単一または複数のポリシーが一致する場合があります。セッションインタレストチェックの一環として、一致したルールのいずれかにIPSポリシーが存在する場合、IPSが有効になります。

手記:

Junos OS リリース 18.2 を搭載したデバイスでは、ファイアウォール ポリシー ルールで単一の IPS ポリシーがサポートされます。Junos OS リリース 18.3 以降のデバイスでは、ファイアウォール ポリシー ルールで複数の IPS ポリシーがサポートされています。

従来のファイアウォール ポリシー(5 タプルの一致条件または dynamic-application をなしとして設定)と統合ポリシー(6 タプルの一致条件)を設定した場合、従来のファイアウォール ポリシーは、統合ポリシーの前にトラフィックを最初に照合します。

一致条件の 1 つとして動的アプリケーションを含む統合ポリシーを設定すると、IPS ポリシーの設定に伴う追加の手順が不要になります。すべての IPS デバイスからも削除されます は、統一ファイアウォール ポリシー内で処理され、特定のセッションに対する攻撃や侵入を検出するための IPS ポリシーの設定作業が簡素化されます。

Junos OS リリース 18.2 以降では、IPS ポリシーの CLI 設定は、IPS ポリシーが付加されている標準または統合型ファイアウォール ポリシーとともに生成されます。

統合ファイアウォールポリシーと標準ファイアウォールポリシーに対する複数のIPSポリシー

SRXシリーズデバイスに標準および統合型ファイアウォールポリシーが設定されている場合、複数のIPSポリシーを設定し、そのうちの1つをデフォルトポリシーとして設定できます。セッションに複数の IPS ポリシーが設定されており、ポリシーの競合が発生すると、デバイスはそのセッションのデフォルトの IPS ポリシーを適用することで、ポリシーの競合を解決します。

手記:

ファイアウォール ポリシーで 2 つ以上の IPS ポリシーを設定している場合は、デフォルトの IPS ポリシーを設定する必要があります。

動的アプリケーションが識別される前に行われる最初のセキュリティ ポリシー検索フェーズでは、複数のポリシーが一致する可能性があります。一致したセキュリティ ポリシーの少なくとも 1 つに IPS ポリシーが設定されている場合、セッションで IPS が有効になります。

潜在ポリシー リストに IPS ポリシーが 1 つだけ設定されている場合、その IPS ポリシーがセッションに適用されます。潜在ポリシーリスト内のセッションに複数のIPSポリシーが設定されている場合、SRXシリーズデバイスは、デフォルトのIPSポリシーとして設定されているIPSポリシーを適用します。

論理システムにおける IPS

Junos Space Security Directorリリース20.1R1以降、IPSポリシーを使用すると、論理システム(LSYS)を通過するネットワークトラフィックに対して、さまざまな攻撃検出および防止技術を選択的に適用できます。

IPS ポリシーは、ルート レベルで設定できます。LSYS の IPS ポリシーの設定は、LSYS に設定されていないデバイスでの IPS ポリシーの設定と似ています。これには、カスタム攻撃オブジェクトの設定が含まれます。ルート LSYS にインストールされた IPS ポリシー テンプレートは、すべての LSYS で表示され、使用されます。LSYSにバインドされたセキュリティプロファイルでIPSポリシーを指定します。複数の IPS ポリシーを設定できますが、LSYS は一度に 1 つのアクティブな IPS ポリシーしか持つことができません。ユーザ LSYS の場合、同じ IPS ポリシーを複数のユーザ LSYS にバインドするか、固有の IPS ポリシーを各ユーザ LSYS にバインドできます。

セキュリティ ポリシーで複数の IPS ポリシーを設定した場合は、デフォルトの IPS ポリシー設定が必須です。IPS ポリシーがユーザ LSYS 用に設定されていない場合は、設定されたデフォルトの IPS ポリシーが使用されます。

IPS 署名ライセンスは、ルート レベルでインストールする必要があります。IPS をルート レベルで有効にすると、デバイス上の任意の LSYS で使用できます。単一の IPS セキュリティ パッケージが、ルート レベルのデバイス上のすべての LSYS にインストールされます。ダウンロードおよびインストールオプションは、ルートレベルでのみ実行できます。同じバージョンの IPS 攻撃データベースがすべての LSYS で共有されます。

手記:

Junos OS リリース 18.3 以降を実行するデバイスは、論理システムの IPS をサポートします。

ファイアウォールポリシーでIPSポリシーを設定し、IPSポリシーが設定されているファイアウォールポリシーをインポートするには、 フォーカスガイドを参照してください。

関連資料