Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

IPSポリシーについて

侵入防御システム(IPS)ポリシーにより、IPS対応デバイスを通過するネットワークトラフィックに対して、さまざまな攻撃検出および防止技術を選択的に適用できます。ポリシーオプションには2種類あります。

  • グループポリシー—デバイスのグループに設定をプッシュする場合、このオプションを選択します。グループポリシーのルールを作成できます。

    グループポリシーのデバイス割り当て中は、現在のドメインと子ドメイン(親表示が有効になっている)のデバイスのみが表示されます。親の表示が無効になっている子ドメイン内のデバイスはリストにありません。グローバルドメインのすべてのグループポリシーが子ドメインに表示されるわけではありません。グローバルドメインのグループポリシー(すべてのデバイスポリシーを含む)は、子ドメインの親ビューが無効になっている場合、その子ドメインには表示されません。子ドメインのデバイスが割り当てられているグローバルドメインのグループポリシーのみが子ドメインに表示されます。D1とグローバルドメインの両方のデバイスが割り当てられているグループポリシーがグローバルドメインにある場合、グローバルドメインのこのグループポリシーのみが、D1ドメインデバイスのみとともにD1ドメインに表示されます。グローバルドメインの他のデバイス(デバイス例外ポリシー)は、D1ドメインには表示されません。

    子ドメインからグローバルドメインのグループポリシーを編集することはできません。これは、すべてのデバイスポリシーにも当てはまります。ポリシーの変更、ポリシーの削除、スナップショットの管理、スナップショットポリシー、ポリシーロックの取得も許可されていません。同様に、グローバルドメインからD1ドメインのデバイス例外ポリシーに対してこれらのアクションを実行することはできません。現在のドメインのグループポリシーに優先順位を付けることができます。他のドメインのグループポリシーはリストされていません。

  • デバイスポリシー—デバイスごとに固有のIPSポリシー設定をプッシュする場合、このオプションを選択します。デバイスIPSポリシー用のデバイスルールを作成できます。

    Security Directorは、論理システムまたはテナントシステムを他のセキュリティデバイスと同様に表示し、論理システムまたはテナントシステムのセキュリティ設定の所有権を取得します。Security Directorでは、各論理システムまたはテナントシステムは固有のセキュリティデバイスとして管理されます。

    デバイスポリシーへのデバイス割り当て中は、現在のドメインのデバイスのみが表示されます。

注:

Security Directorがルート論理システムを検出した場合、ルートLSYSはデバイス内の他のすべてのユーザーLSYSとTSYSを検出します。

IPSポリシーはルールベースで構成され、各ルールベースには一連のルールが含まれています。ゾーン、ネットワーク、アプリケーションに基づいてトラフィックのセクションに一致するポリシールールを定義し、そのトラフィックに対してアクティブまたはパッシブな予防アクションを実行できます。

IPSルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出することで、攻撃からネットワークを保護します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。

除外ルールベースは、IPSルールベースと連携して機能します。除外ルールを作成する前に、IPSルールベースにルールが必要です。トラフィックがIPSルールベースのルールに一致する場合、IPSポリシーは、指定されたアクションを実行するか、イベントのログレコードを作成する前に、トラフィックを除外ルールベースと一致させようとします。IPSポリシーが、送信元または宛先のペアと、除外ルールベースで指定された攻撃オブジェクトに一致するトラフィックを検出した場合、そのトラフィックを自動的に攻撃検出から除外します。

以下の条件で除外ルールベースを設定します。

  • IPSルールが、誤検知または無関係なログレコードを生成する1つ以上の攻撃オブジェクトを含む攻撃オブジェクトグループを使用する場合。

  • 特定の送信元、宛先、または送信元と宛先のペアを IPS ルールの一致から除外する場合。これにより、IPSが不要なアラームを生成するのを防ぎます。

1つ以上のルールベースにルールを追加してIPSポリシーを作成した後、ポリシーを公開または更新できます。IPSポリシーが割り当てられているセキュリティデバイスのリストを表示することもできます。このリストは、デバイスごとに割り当てられているすべてのIPSポリシーとルールの詳細を表示するのに役立ちます。

統合および標準ファイアウォールポリシーに対するIPSポリシーのサポート

Junos Space Security Director リリース 19.3 以降、IPS ポリシーを標準および統合ファイアウォールポリシーに割り当てることができます。ファイアウォールポリシー内のIPSポリシーのサポートにより、以下が可能です。

  • これで、IPSポリシーで明示的な送信元、宛先、またはアプリケーションが定義されていない限り、すべてのIPS一致が標準または統合ファイアウォールポリシー内で処理されます。

  • ファイアウォールポリシーで一致が行われるため、送信元または宛先アドレス、送信元と宛先を除く、fromとtoゾーン、またはアプリケーションを設定する必要はありません。ただし、IPSポリシーで一致条件を設定して、粒度をさらに高めることができます。

  • ファイアウォールポリシーの最初の一致は、単一または複数のポリシー一致になる場合があります。セッションインタレストチェックの一環として、一致したルールのいずれかにIPSポリシーが存在する場合、IPSが有効になります。

注:

Junos OSリリース18.2を搭載したデバイスでは、ファイアウォールポリシールールで単一のIPSポリシーがサポートされています。Junos OSリリース18.3以降を搭載したデバイスでは、ファイアウォールポリシールールで複数のIPSポリシーがサポートされています。

従来のファイアウォールポリシー(5タプル一致条件または動的アプリケーションをnoneとして設定)と統合ポリシー(6タプル一致条件)を設定している場合、従来のファイアウォールポリシーは、統合ポリシーよりも先にトラフィックを一致させます。

一致条件の1つとして動的アプリケーションを含む統合ポリシーを設定する場合、その設定では、IPSポリシー設定に関連する追加手順が不要になります。すべてのIPSポリシー設定は、統合ファイアウォールポリシー内で処理され、特定のセッションに対する攻撃や侵入を検出するためにIPSポリシーを設定するタスクが簡素化されます。

リリース18.2以降Junos OS、IPSポリシーのCLI設定は、IPSポリシーがアタッチされている標準または統合ファイアウォールポリシーとともに生成されます。

統合および標準ファイアウォールポリシー用の複数のIPSポリシー

SRXシリーズデバイスに標準および統合ファイアウォールポリシーが設定されている場合、複数のIPSポリシーを設定し、そのうちの1つをデフォルトポリシーとして設定できます。セッションに複数の IPS ポリシーが設定されていて、ポリシーの競合が発生した場合、デバイスはそのセッションのデフォルトの IPS ポリシーを適用し、ポリシーの競合を解決します。

注:

ファイアウォールポリシーで2つ以上のIPSポリシーを設定している場合は、デフォルトのIPSポリシーを設定する必要があります。

動的アプリケーションが識別される前に行われる最初のセキュリティポリシールックアップフェーズでは、複数の潜在的なポリシーが一致する可能性があります。一致したセキュリティポリシーの少なくとも1つにIPSポリシーが設定されている場合、セッションでIPSが有効になります。

潜在的なポリシーリストで IPS ポリシーが 1 つだけ設定されている場合、その IPS ポリシーがセッションに適用されます。潜在的なポリシーリスト内のセッションに対して複数のIPSポリシーが設定されている場合、SRXシリーズデバイスはデフォルトのIPSポリシーとして設定されているIPSポリシーを適用します。

論理システムにおける IPS

Junos Space Security Director リリース 20.1R1 以降、IPS ポリシーを使用すると、論理システム(LSYS)を通過するネットワーク トラフィックに対して、さまざまな攻撃検出および防止技術を選択的に適用できます。

ルートレベルでIPSポリシーを設定できます。LSYSのIPSポリシーの設定は、LSYSに設定されていないデバイスでのIPSポリシーの設定と似ています。これには、カスタム攻撃オブジェクトの設定が含まれます。ルートLSYSにインストールされたIPSポリシーテンプレートは、すべてのLSYSで表示され、使用されます。LSYSにバインドされているセキュリティプロファイルで、IPSポリシーを指定します。複数の IPS ポリシーを設定することはできますが、LSYS に一度にアクティブな IPS ポリシーは 1 つだけです。ユーザーLSYSの場合、同じIPSポリシーを複数のユーザーLSYSにバインドするか、各ユーザーLSYSに固有のIPSポリシーをバインドできます。

セキュリティポリシーで複数のIPSポリシーを設定している場合、デフォルトのIPSポリシー設定は必須です。ユーザー LSYS に IPS ポリシーが設定されていない場合は、設定されたデフォルトの IPS ポリシーが使用されます。

ルート レベルで IPS シグネチャ ライセンスをインストールする必要があります。ルートレベルで IPS を有効にすると、デバイス上の任意の LSYS で使用できるようになります。単一の IPS セキュリティ パッケージは、ルート レベルでデバイス上のすべての LSYS にインストールされます。ダウンロードおよびインストールオプションは、ルートレベルでのみ実行できます。同じバージョンの IPS 攻撃データベースがすべての LSYS で共有されます。

注:

Junos OSリリース18.3以降を実行しているデバイスは、論理システム用IPSをサポートします。

ファイアウォールポリシーでIPSポリシーを設定し、IPSポリシーが設定されているファイアウォールポリシーをインポートするには、IPSポリシーをインポートするには、 In Focus Guideを参照してください。

関連ドキュメント