事前定義されたIDPポリシーテンプレート
ジュニパーネットワークスでは、独自のポリシーを作成するための出発点として使用できる定義済みのポリシーテンプレートを提供しています。各テンプレートは、特定のルール・ベース・タイプのルール・セットであり、要件に応じてコピーして更新することができます。
定義済み IDP ポリシーテンプレートについて
定義済みのポリシー テンプレートは、セキュリティで保護されたジュニパーネットワークス Web サイトの templates.xls
ファイルで利用できます。テンプレートの使用を開始するには、CLI からコマンドを実行して、このファイルをダウンロードし、 /var/db/scripts/commit
ディレクトリにコピーします。
各ポリシー テンプレートには、攻撃オブジェクトに関連付けられた既定のアクションを使用するルールが含まれています。独自の送信元アドレスと宛先アドレスを選択し、セキュリティニーズを反映したIDPアクションを選択することで、これらのテンプレートをネットワーク上で機能するようにカスタマイズする必要があります。
クライアント/サーバー テンプレートは、使いやすさを考慮して設計されており、バランスの取れたパフォーマンスとカバレッジを提供します。クライアント/サーバー テンプレートには、クライアント保護、サーバー保護、およびクライアント/サーバー保護が含まれます。
各クライアント/サーバー テンプレートには、デバイス固有の 2 つのバージョン、1 ギガバイト (GB) バージョンと 2 GB バージョンがあります。
1G というラベルの付いた 1 ギガバイト バージョンは、1 GB のメモリに制限されているデバイスにのみ使用する必要があります。1 GB のデバイスが 1 GB のポリシー以外を読み込む場合、メモリの制限やカバレッジの制限により、デバイスでポリシーのコンパイル エラーが発生する可能性があります。2 GB のデバイスが 2 GB のポリシー以外を読み込むと、デバイスのカバレッジが制限される可能性があります。
これらのテンプレートは、ポリシーを作成するためのガイドラインとして使用します。これらのテンプレートのコピーを作成し、ポリシーに (オリジナルではなく) コピーを使用することをお勧めします。この方法では、ポリシーを変更し、ポリシー テンプレートの変更による将来の問題を回避できます。
表1 は、ジュニパーネットワークスが提供する事前定義されたIDPポリシーテンプレートをまとめたものです。
テンプレート名 |
形容 |
---|---|
Client-And-Server-Protection |
クライアントとサーバーの両方を保護するように設計されています。2 GB 以上のメモリを搭載した高メモリ デバイスで使用できます。 |
Client-And-Server-Protection-1G |
クライアントとサーバーの両方を保護するように設計されています。低メモリのブランチデバイスを含むすべてのデバイスで使用できます。 |
Client-Protection |
クライアントを保護するように設計されています。2 GB 以上のメモリを搭載した高メモリ デバイスで使用できます。 |
Client-Protection-1G |
クライアントを保護するように設計されています。低メモリのブランチデバイスを含むすべてのデバイスで使用できます。 |
DMZ Services |
典型的な非武装地帯(DMZ)環境を保護します。 |
DNS Server |
ドメイン ネーム システム (DNS) サービスを保護します。 |
File Server |
ネットワーク ファイル システム (NFS)、FTP などのファイル共有サービスを保護します。 |
Getting Started |
非常にオープンなルールが含まれています。制御されたラボ環境で役立ちますが、トラフィックの多いライブネットワークには展開しないでください。 |
IDP Default |
セキュリティとパフォーマンスの優れたブレンドが含まれています。 |
Recommended |
ジュニパーネットワークスによって recommended としてタグ付けされた攻撃オブジェクトのみが含まれます。すべてのルールには、攻撃オブジェクトごとに推奨されるアクションを実行するように設定された [アクション] 列があります。 |
Server-Protection |
サーバーを保護するように設計されています。2 GB 以上のメモリを搭載した高メモリ デバイスで使用できます。 |
Server-Protection-1G |
サーバーを保護するように設計されています。低メモリのブランチデバイスを含むすべてのデバイスで使用できます。 |
Web Server |
HTTP サーバーをリモート攻撃から保護します。 |
事前定義されたポリシーテンプレートを使用するには:
ジュニパーネットワークスのWebサイトからポリシーテンプレートをダウンロードします。
ポリシー テンプレートをインストールします。
templates.xls
スクリプト ファイルを有効にします。/var/db/scripts/commit
ディレクトリ内のコミットスクリプトは、有効になっていない場合は無視されます。適切なポリシー テンプレートを選択し、必要に応じてカスタマイズします。
システムで実行するポリシーをアクティブにします。ポリシーのアクティブ化には数分かかる場合があります。コミット完了メッセージが CLI に表示された後でも、システムはコンパイルを続行し、ポリシーをデータ プレーンにプッシュする可能性があります。
手記:場合によっては、ポリシーのコンパイル プロセスが失敗することがあります。この場合、設定に表示されているアクティブなポリシーは、デバイスで実行されている実際のポリシーと一致しない可能性があります。
show security idp status
コマンドを実行して、実行ポリシーを確認します。さらに、IDP ログ ファイルを表示して、ポリシーの読み込みとコンパイルの状態を確認できます。コミットスクリプトファイルを削除または無効化します。コミット スクリプト ファイルを削除することで、設定をコミットする際にテンプレートへの変更を上書きするリスクを回避できます。ステートメントを無効にすると、ステートメントに非アクティブなタグが追加され、設定から ステートメントが事実上コメントアウトされます。非アクティブとマークされたステートメントは、
commit
コマンドを発行しても有効になりません。
詳細については、「 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490」を参照してください。
事前定義されたIDPポリシーテンプレートのダウンロードと使用(CLI手順)
開始する前に、ネットワークインターフェイスを設定します。 セキュリティ デバイス向け Junos OS インターフェイス設定ガイドを参照してください。
定義済みのポリシーテンプレートをダウンロードして使用するには: