Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

J-Webコンテンツセキュリティアンチウイルスによるウイルス攻撃の防止

概要 コンテンツセキュリティのアンチウィルス保護と、J-Webを使用してSRXシリーズファイアウォールへのウィルス攻撃を防ぐためにコンテンツセキュリティアンチウィルスを設定する方法について説明します。SRXシリーズファイアウォールのコンテンツセキュリティアンチウイルス機能は、ネットワークトラフィックをスキャンして、ウイルス攻撃からネットワークを保護し、ウイルスの拡散を防ぎます。

コンテンツセキュリティアンチウイルスの概要

サイバーセキュリティの脅威が進化し、より巧妙化している今日の世界では、ウイルス攻撃からネットワークを保護することは非常に重要です。ウイルス、ワーム、およびマルウェアは、ファイルの損傷や削除、個人データのハッキング、システム パフォーマンスへの影響、ハード ディスクの再フォーマット、コンピューターを使用した他のコンピューターへのウイルスの送信など、望ましくない悪意のある行為を実行します。コンテンツセキュリティアンチウイルスソフトウェアは、このようなセキュリティの脅威に対する防御の最前線のように機能し、ネットワークへのウイルスの拡散を防ぎます。ウイルス攻撃、不要なコンピューターマルウェア、スパイウェア、ルートキット、ワーム、フィッシング攻撃、スパム攻撃、トロイの木馬などからネットワークを保護します。

ウイルス対策ソフトウェアとウイルスパターンファイルデータベースが最新であることを常に確認する必要があります。

メモ:

Junos OS 22.2R1以降:

  • J-Web GUI では、UTM という用語はコンテンツ セキュリティに置き換えられています。

  • Junos CLI コマンドでは、コンテンツ セキュリティのために従来の用語 UTM を引き続き使用します。

ジュニパーネットワークスは、以下のコンテンツセキュリティアンチウィルスソリューションを提供しています。

  • デバイス上のウイルス対策保護

    オンデバイスアンチウイルスはオンボックスソリューションです。デバイス上のウイルス対策検索エンジンは、デバイスにローカルに保存されているウイルスパターンファイルにアクセスしてデータをスキャンします。これは、個別にライセンスされたサブスクリプションサービスを通じて利用できる完全なファイルベースのウイルス対策スキャン機能を提供します。

    メモ:
    • デバイス上のExpressまたはカスペルスキーのスキャンエンジンは、Junos OSリリース15.1X49-D10以降ではサポートされていません。ただし、Junos OSリリース12.3X48には引き続き適用されます。

    • Junos OS リリース 18.4R1 以降、SRX シリーズ ファイアウォールは Avira オンデバイス アンチウィルス スキャン エンジンをサポートします。

    • Avira オンデバイス アンチウィルス スキャン エンジンは、SRX300、SRX320、SRX340、SRX345、SRX380、および SRX550 HM デバイスではサポートされていません。

  • ソフォスのウイルス対策保護

    ソフォスのアンチウィルスは、クラウド内のアンチウィルスソリューションです。ウイルスパターンファイルおよび不正プログラムデータベースは、ソフォス (Sophos Extensible List) サーバーによって管理されている外部サーバーにあります。また、ソフォスのウイルス対策スキャナは、ローカルの内部キャッシュを使用して、外部リストサーバーからのクエリ応答を維持します。ソフォスのアンチウィルススキャンは、ファイルベースの完全なアンチウィルス機能に代わる、CPU への負荷の少ない代替手段として提供されています。

コンテンツセキュリティアンチウイルスの利点

  • デバイス上のウイルス対策ソリューション:

    • インターネットサーバーに接続せずにローカルでアプリケーショントラフィックをスキャンして、アプリケーショントラフィックにウイルスがないかどうかを照会します。

    • パターンデータベースがローカルに保存され、スキャンエンジンがデバイス上にあるため、処理の遅延が最小限に抑えられます。

  • ソフォスのウイルス対策ソリューション:

    • ウイルスパターンファイルおよびマルウェアデータベースはソフォスが管理する外部サーバーにあるため、ジュニパーデバイス上での大きなパターンデータベースのダウンロードや保守を回避できます。

    • ソフォスのウイルス対策スキャナがローカル内部キャッシュを使用して外部リストサーバーからのクエリ応答を維持するため、検索のパフォーマンスが向上します。

    • URI(Uniform Resource Identifier)チェック機能を使用して、悪意のあるコンテンツがエンドポイントクライアントまたはサーバーに到達するのを効果的に防止します。

ウイルス対策ワークフロー

スコープ

Juniper Web(J-Web)デバイスマネージャーは、SRXシリーズファイアウォール上のコンテンツセキュリティアンチウイルスソリューションをサポートします。この例では、ソフォスのウイルス対策保護を使用して、次のことを行います。

  1. サーバー (10.102.70.89) からコンピューターへの HTTP および FTP トラフィックをスキャンして、ウイルス攻撃を探します。

  2. トラフィックのスキャン中にウイルスが見つかった場合に表示されるカスタムメッセージ 「Virus Found!」 を定義します。

  3. AV スキャンをスキップする許可リスト URL(http://10.102.70.89)を作成します。

    メモ:

    前提として、サンプル URL にルーティングできる必要があります。

始める前に

  • ソフォスのウイルス対策ライセンスをインストールします。 「インストールおよびアップグレードガイド」、「 ライセンス管理ガイド」、および 「ライセンスガイド」を参照してください。

  • この例で使用するSRXシリーズファイアウォールが、Junos OSリリース22.2R1を実行していることを確認します。

    メモ:

    Junos OS 22.2R1以降:

    • J-Web GUI では、UTM という用語はコンテンツ セキュリティに置き換えられています。

    • Junos CLI コマンドでは、コンテンツ セキュリティのために従来の用語 UTM を引き続き使用します。

トポロジ

この例で使用されるトポロジーは、インターネットにアクセスできるコンテンツセキュリティ対応のSRXシリーズファイアウォールに接続されたPCとサーバーで構成されています。J-Web を使用して、この簡単な設定でサーバーに送信された HTTP および FTP 要求をスキャンします。次に、ソフォスのウイルス対策保護を使用して、インターネットから PC へのウイルス攻撃を防止します。

Topology

ビデオ

J-Web を使用してコンテンツセキュリティアンチウイルスを設定する方法については、次のビデオを参照してください。

スニークピーク – J-Webコンテンツセキュリティアンチウイルスの設定手順

Sneak Peek – J-Web Content Security Antivirus Configuration Steps

ステップ

アクション

ステップ1

デフォルト設定でソフォスのエンジンを設定します。

ここでは、まずデフォルト設定でデフォルトエンジンをソフォスとして定義します。

ステップ 2

ウイルス対策カスタム オブジェクトを構成します。

ここでは、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (許可リスト) を定義します。URL パターン リストを作成したら、カスタム URL カテゴリ リストを作成し、それにパターン リストを追加します。

ステップ 3

ソフォスのエンジンを使用してウイルス対策機能プロファイルを設定します。

デフォルト設定の後、機能プロファイルでウイルス スキャンに使用するパラメータを定義します。

メモ:

ウイルス対策プロファイルを作成する前に、DNS サーバーを構成する必要があります。

DNS サーバーを構成するには、[ デバイス管理 ] > [ 基本設定 ] > [ システム ID > DNS サーバー] に移動します。

ステップ 4

ソフォスのウイルス対策のコンテンツセキュリティポリシーを作成し、ウイルス対策機能プロファイルをコンテンツセキュリティポリシーに適用します。

ここでは、コンテンツセキュリティポリシーを使用して、一連のプロトコル (HTTP など) を Sophos コンテンツセキュリティ機能プロファイルにバインドします。別のプロファイルを作成するか、プロファイルに他のプロトコル (imap-profile、pop3-profile、smtp-profile など) を追加することで、他のプロトコルもスキャンできます。

ステップ 5

Sophos antivirus のセキュリティポリシーを作成し、コンテンツセキュリティポリシーをセキュリティポリシーに割り当てます。

ここでは、セキュリティ ファイアウォールと機能プロファイルの設定を使用して、trust ゾーン (trust) から untrust ゾーン (インターネット) へのトラフィックをスキャンします。

ステップ 6

許可リスト URL (http://10.102.70.89) から URL にアクセスし、10.102.70.89 サーバーで使用可能なテスト ウイルス ファイル (eicar.txt) のダウンロードを試みます。

手順 1: ウイルス対策の既定の構成を更新する

現在地(J-Web UI): セキュリティサービス > コンテンツセキュリティ > デフォルト設定

このステップでは、 Sophos Engine をデフォルトのエンジンタイプとして設定します。

既定のウイルス対策プロファイルを更新するには:

  1. [アンチウイルス]タブで、編集アイコン(鉛筆)をクリックしてデフォルト設定を編集します。

    [アンチウイルス] ページが表示されます。見る。

  2. 表 1 の「アクション」列にリストされているタスクを実行します。
    表 1: デフォルトの構成設定

    フィールド

    アクション

    ウイルス対策の Sophos エンジン の種類を選択します。

    URLホワイトリスト

    [ なし] を選択します。

    MIME ホワイトリスト

    リスト

    [ なし] を選択します。

    例外

    [ なし] を選択します。

    図1:デフォルトのウイルス対策設定 Default Antivirus Configuration
  3. [OK] をクリックして、新しい既定の構成を保存します。

手順 2: ウイルス対策カスタム オブジェクトを構成する

手順 2a: バイパスする URL パターン リストを構成する

この手順では、ウイルス対策スキャンによってバイパスされる URL またはアドレスの URL パターン リスト (セーフリスト) を定義します。

現在地: (J-Web UI): セキュリティサービス > コンテンツセキュリティ > カスタムオブジェクト

URL のセーフリストを設定するには:

  1. [ URL パターン リスト] タブをクリックします。
  2. 追加アイコン (+) をクリックして、URL パターン リストを追加します。

    [URL パターン リストの追加] ページが表示されます。 図2を参照してください。

  3. 表 2 の「アクション」列にリストされているタスクを実行します。
    表 2: URL パターン リストの設定

    フィールド

    アクション

    名前

    タイプ av-url-pattern

    メモ:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 29 文字を使用できます。

    1. [+] をクリックして URL パターン値を追加します。

    2. タイプ http://10.102.70.89

    3. チェックマークアイコン をクリックします。

    図 2: URL パターン リスト Add URL Pattern Listの追加
  4. OK 」をクリックして、URL パターン・リストの構成を保存します。

よく出来ました!構成の結果を次に示します。

手順 2b: 許可する URL を分類する

次に、作成した URL パターンを URL カテゴリ リストに割り当てます。カテゴリ リストは、マッピングのアクションを定義します。たとえば、 セーフリスト カテゴリを許可する必要があります。

現在地: セキュリティサービス > コンテンツセキュリティ > カスタムオブジェクト

URL を分類するには:

  1. [ URL カテゴリ リスト] タブをクリックします。
  2. 追加アイコン (+) をクリックして、URL カテゴリ リストを追加します。

    [URL カテゴリ リストの追加] ページが表示されます。 図3を参照してください。

  3. 表 3 の「アクション」列にリストされているタスクを実行します。
    表 3: URL カテゴリ リストの設定

    フィールド

    アクション

    名前

    セーフリスト URL パターンの URL カテゴリ リスト名として入力します av-url

    メモ:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大 59 文字を使用できます。

    URL パターン

    「使用可能」列から URL パターン値 av-url-pattern を選択し、右矢印をクリックして URL パターン値を「選択済み」列に移動します。これにより、URL パターン値 av-url-pattern を URL カテゴリ リスト av-url に関連付けます。

    図 3: URL カテゴリ リスト Add URL Category Listの追加
  4. [ OK ] をクリックして、カテゴリ リストの構成を保存します。

    よく出来ました!構成の結果を次に示します。

手順 3: ウイルス対策プロファイルを作成する

現在地: セキュリティ サービス > コンテンツ セキュリティ > ウイルス対策プロファイル

この手順では、新しいコンテンツ セキュリティ アンチウィルス プロファイルを作成し、作成した URL オブジェクト (パターンとカテゴリ) をプロファイルに参照して、通知の詳細を指定します。

新しいウイルス対策プロファイルを作成するには:

  1. 追加アイコン (+) をクリックして、新しいウイルス対策プロファイルを追加します。

    [ウイルス対策プロファイルの作成] ページが表示されます。 図4を参照してください。

  2. 表 4 の「アクション」列にリストされているタスクを実行します。
    表 4: ウイルス対策プロファイルの設定

    フィールド

    アクション

    一般

    名前

    新しいウイルス対策プロファイルを入力します av-profile

    メモ:

    最大 29 文字を使用できます。

    URL 許可リスト

    リストから av-url を選択します。

    フォールバック オプション

    コンテンツサイズ

    [ ログと許可] を選択します。

    デフォルト アクション

    [ ログと許可] を選択します。

    通知オプション

    ウイルス検出

    [ メール送信者に通知] を選択します。

    通知タイプ

    [メッセージ] を選択します。

    カスタムメッセージの件名

    タイプ ***Antivirus Alert***

    カスタムメッセージ

    タイプ Virus Found !

    図 4: ウイルス対策プロファイルの全般設定 Create Antivirus Profile General Settingsの作成
    図 5: ウイルス対策プロファイルの通知設定 Create Antivirus Profile Notification Settingsを作成する
  3. [完了] をクリックします。構成の概要を確認し、[OK] をクリックして構成を保存します。
  4. 「成功」というメッセージが表示されたら、「閉じる」をクリックします。

    よく出来ました!構成の結果を次に示します。

手順 4: ウイルス対策プロファイルをコンテンツ セキュリティ ポリシーに適用する

ウイルス対策機能プロファイルを作成したら、ウイルス対策スキャン プロトコルのコンテンツ セキュリティ ポリシーを構成し、「 手順 3: ウイルス対策プロファイルの作成」で作成したウイルス対策プロファイルにこのポリシーをアタッチします。この例では、HTTP および FTP トラフィックのウイルスをスキャンします。

現在地: セキュリティサービス > コンテンツセキュリティ > コンテンツセキュリティポリシー

コンテンツセキュリティポリシーを作成するには:

  1. 追加アイコン (+) をクリックします

    [コンテンツ セキュリティ ポリシーの作成] ページが表示されます。

  2. 表 5 の「アクション」列にリストされているタスクを実行します。
    表 5: コンテンツ セキュリティ ポリシーの設定の作成

    フィールド

    アクション

    一般

    名前

    コンテンツ セキュリティ ポリシーの名前として入力 av-policy し、[ 次へ] をクリックします。

    メモ:

    最大 29 文字を使用できます。

    ウイルス 対策

    HTTP

    リストから av-profile を選択し、[ OK] をクリックします。

    FTP アップロード

    リストから av プロファイル を選択します。

    FTP ダウンロード

    リストから av-profile を選択し、ページの最後まで [ 次へ ] をクリックします。

  3. [ 完了] をクリックします。構成の概要を確認し、[ OK ] をクリックして変更を保存します。
  4. 「成功」というメッセージが表示されたら、「 閉じる 」をクリックします。

    もうすぐです!構成の結果を次に示します。

ステップ 5: コンテンツセキュリティポリシーをセキュリティファイアウォールポリシーに割り当てる

このステップでは、ウイルス対策プロファイル設定を使用して、trust ゾーン (trust) からuntrust ゾーン (インターネット) に渡されるトラフィックを Sophos antivirus でスキャンするファイアウォールセキュリティポリシーを作成します。

コンテンツ セキュリティ構成を、信頼ゾーンからインターネット ゾーンのセキュリティ ポリシーにまだ割り当てていません。フィルタリングアクションは、一致条件として機能するセキュリティポリシールールにコンテンツセキュリティポリシーを割り当てた後にのみ実行されます。

メモ:

セキュリティポリシールールが許可されている場合、SRXシリーズファイアウォールは以下を行います。

  1. HTTP 接続をインターセプトし、(HTTP 要求内の) 各 URL、または IP アドレスを抽出します。

    メモ:

    HTTPS 接続の場合、ウイルス対策は SSL 転送プロキシ経由でサポートされます。

  2. [アンチウイルス(セキュリティ サービス ] > [コンテンツ セキュリティ ] > [デフォルト設定]) の下のユーザ設定セーフリスト内の URL を検索します。その後、URL がユーザ設定のセーフリストに含まれている場合、デバイスはその URL を許可します。

  3. ウイルス対策プロファイルで構成された既定のアクションに基づいて、URL (カテゴリが構成されていない場合) を許可またはブロックします。

現在地: Security Policies & Objects > Security Policies.

コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:

  1. 追加アイコン (+) をクリックします。
  2. 表 6 の「アクション」列にリストされているタスクを実行します。
    表 6: ルール設定

    フィールド

    アクション

    一般

    ルール名

    セキュリティ ポリシー規則名として入力します av-security-policy 。このルールでは、av-url カテゴリ リスト内の URL が許可されます。

    ルールの説明

    セキュリティ ポリシー規則の説明を入力し、[ 次へ] をクリックします。

    ソースゾーン

    1. [+] をクリックします。

      [ソースの選択] ページが表示されます。

    2. ゾーン - リストから 信頼 を選択します。

    3. [アドレス] - このフィールドはデフォルト値の any のままにします。

    4. OK をクリックします。

    宛先ゾーン

    1. [+] をクリックします。

      [宛先の選択] ページが表示されます。

    2. ゾーン - リストから [インターネット ] を選択します。

    3. [アドレス] - このフィールドはデフォルト値の any のままにします。

    4. サービス - このフィールドはデフォルト値の any のままにします。

    5. OK をクリックします。

    アクション

    リストから [許可] を選択します。

    先進のセキュリティ

    1. [+] をクリックします。

      [高度なセキュリティの選択] ページが表示されます。

    2. コンテンツ セキュリティ:リストから av-policy を選択します。

    3. OK をクリックします。

    メモ:

    ゾーン/画面>セキュリティポリシーとオブジェクトに移動して、ゾーンを作成します。ゾーンの作成は、このドキュメントの範囲外です。

  3. チェックマークアイコン をクリックして変更を保存します。

    よく出来ました!構成の結果を次に示します。

  4. 上部のバナーの右側にあるコミット アイコンをクリックし、[ コミット] を選択します。

    コミット成功のメッセージが表示されます。

    おめでとう!これで、ウイルス攻撃のトラフィックをスキャンする準備が整いました。

手順 6: コンテンツ セキュリティ アンチウイルスが動作していることを確認する

目的

設定済みのコンテンツセキュリティアンチウイルスが、インターネットサーバからのウイルス攻撃を防止し、許可リストサーバからのトラフィックを許可していることを確認します。

アクション

  1. PC を使用して、HTTP 要求を http://10.102.70.89 に送信します。

    よく出来ました!http://10.102.70.89 サーバーにアクセスできます。

  2. PC を使用して、FTP 要求を 10.102.70.89 サーバーに送信し、eicar.txt ファイルをダウンロードします。eicar.txtファイルは、で利用可能になるテストウイルスファイルです 10.102.70.89 サーバー.

    すみません!SRXシリーズファイアウォールがファイルのダウンロードをブロックし、カスタムブロックメッセージ 「アンチウイルスアラート***- ウイルスが見つかりました!」を送信しました。

    eicar.txtファイルをダウンロードしようとしたときに、SRXデバイスがウイルス アラートを送信した場合の出力例を次に示します。

    脅威を見つけた場合に出力されるアンチウイルス統計の例を次に示します。

次は何ですか?

あなたがしたい場合は

そうしたら

コンテンツセキュリティアンチウイルスの詳細と統計情報の監視

J-Webで、[>セキュリティサービスを監視する]>[コンテンツセキュリティ>アンチウイルス]に移動します。

許可されたURLとブロックされたURLに関するレポートを生成および表示する

レポートを生成および表示するには:

  1. J-Web UIにログインし、[>レポートの監視]をクリックします。

    [レポート] ページが表示されます。

  2. 次の定義済みレポート名のいずれかを選択します。

    • 脅威評価レポート

    • ブロックされたウイルス

    メモ:

    同時に複数のレポートを生成することはできません。

  3. [ レポートの生成] をクリックします。

    [レポート タイトル] ページが表示されます。

  4. 必要な情報を入力し、[ 保存] をクリックします。

    レポートが生成されます。

コンテンツセキュリティ機能の詳細

コンテンツセキュリティユーザーガイドを参照してください

サンプル設定出力

このセクションでは、この例で定義されている Web サイトからのウイルス攻撃をブロックする構成の例を示します。

以下のコンテンツセキュリティ設定を [edit security utm] 階層レベルで設定します。

階層レベルでの [edit security utm] カスタムオブジェクトの作成:

階層レベルでのウイルス対策プロファイル [edit security utm] の作成:

コンテンツセキュリティポリシーの作成:

階層レベルでのセキュリティポリシー [edit security policies] のルールの作成: