IPSルールの作成
侵入防御システム(IPS)ルールは、カスタマイズされたIPSプロファイルに対してのみ作成できます。
IPS ルールを作成するには:
-
IPS>Secure Edge>セキュリティサブスクリプションを選択します。
IPS ポリシー ページが表示されます。
-
IPSルール タブの追加(+)アイコンをクリックします。
IPS ルールのパラメータは、ページの上部にインラインで表示されます。
- の 表 1ガイドラインに従って設定を完了します。
-
チェックマーク(✓)をクリックして変更を保存します。
変更が保存され、ページの上部に確認メッセージが表示されます。
ファイアウォールポリシーインテントでIPSプロファイルを使用できます。デバイスにファイアウォールポリシーを展開すると、プロファイルに関連付けられたIPSルールと除外ルールも展開されます。
表 1: IPS ルール設定の作成 設定
ガイドライン
お名前
Juniper Security Edgeは、デフォルトで一意のルール名を生成します。名前は変更できます。
名前は英数字で始まる必要があり、最大 63 文字を含めることができます。これには、英数字と、コロン、ハイフン、スラッシュ、ピリオド、アンダースコアなどの特殊文字が含まれます。
説明
ルールの最大 1024 文字を含む説明を入力します。
IPS シグニチャ
ルールに関連付ける 1 つ以上の IPS シグネチャと IPS シグネチャの静的および動的グループを追加します。
-
テキスト ボックス内の [+ ] アイコンをクリックします。
IPS シグネチャと IPS シグネチャの静的および動的グループのリストが開きます。
-
(オプション)追加(+)アイコンをクリックして署名を追加します。IPS シグネチャの追加ポップアップ ウィンドウが開きます。
-
(オプション)検索語を入力して Enter キーを押すと、表示される項目のリストがフィルタリングされます。
-
リスト項目をクリックして、ルールに関連付けられた IPS シグネチャおよび IPS シグネチャの静的グループまたは動的グループに追加します。
-
(オプション)前の手順を繰り返して、署名、静的グループ、および動的グループをさらに追加します。
対処
監視対象トラフィックがルールで指定された攻撃オブジェクトと一致した場合に実行するアクションを選択します。
-
推奨(デフォルト)- 攻撃が検出されたときにジュニパーネットワークスが推奨するアクションを使用します。すべての定義済みアタック オブジェクトには、そのオブジェクトに関連付けられた既定のアクションがあります。
-
アクションなし - アクションは実行されません。このアクションを使用して、一部のトラフィックのログのみを生成します。
-
接続のドロップ:接続に関連するすべてのパケットをドロップし、接続のトラフィックが宛先に到達しないようにします。このアクションを使用して、スプーフィングが発生しにくいトラフィックの接続をドロップします。
-
Drop Packet:一致するパケットが宛先に到達する前にドロップしますが、接続は閉じません。このアクションを使用して、UDP トラフィックなど、なりすましが発生しやすいトラフィック内の攻撃に対してパケットをドロップします。このようなトラフィックの接続を切断すると、サービス拒否が発生し、正当な送信元 IP アドレスからのトラフィックが妨げられる可能性があります。
-
[クライアントを閉じる(Close Client)]:接続を閉じ、RST パケットをクライアントに送信しますが、サーバーには送信しません。
-
[サーバーを閉じる]:接続を閉じ、RST パケットをサーバーに送信しますが、クライアントには送信しません。
-
クライアントとサーバーを閉じる - 接続を閉じ、クライアントとサーバーの両方に TCP リセット(RST)パケットを送信します。
-
[接続を無視(Ignore Connection)]:攻撃に一致するものが見つかった場合、残りの接続のトラフィックのスキャンを停止します。IPSは、特定の接続のルールベースを無効にします。
オプション
ログ攻撃オプションを有効にして、ログを作成します。
-