ブランチ向けSRXシリーズおよびJシリーズの...

APPLICATION NOTE

Copyright © 2014, Juniper Networks, Inc.

ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス

ブランチ向けSRXシリーズサービス・ゲートウェイおよび Jシリーズサービスルーターでのアンチウィルスの設定

ii Copyright © 2014, Juniper Networks, Inc.

APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス

図目次図1：フルアンチウィルスの処理フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

図2：ジュニパーネットワークスExpressAVの処理フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

図3：転送時の遅延の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

図4：UTMポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

図5：UTMポリシーと機能プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

図6：HTTPトラフィックの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

図7：リファレンスネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

目次はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

本書の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

設計上の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

説明と導入シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Kasperskyスキャンエンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Juniper ExpressAVエンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

グローバルオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

ポリシーまたはプロトコル単位のオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

設定例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

デフォルト設定の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

デフォルトのデータベース自動アップグレードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

特定のファイルタイプの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

アンチウィルスデータベースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Copyright © 2014, Juniper Networks, Inc. 1

APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス

はじめにアンチウィルスはUTM（Unified Threat Management）スイートの機能として広く定着しており、ファイアウォール上で長年にわたる利用実績があります。Web 2.0の導入に伴い、新しいセキュリティ要件が策定されましたが、アンチウィルスは従来と同様に、あらゆるセキュリティ戦略に欠かせない要素であると位置付けられます。現在でもエンドポイントの保護は最も重要ですが、ゲートウェイにアンチウィルスを導入すると、さまざまなネットワークデバイスへの到達を試みる脅威の多くを阻止することになります。さらに、新しい脅威が広まっている場合に、他の防御策を更新している間も、アンチウィルスによって一定レベルのネットワーク保護を実現できます。ファイアウォールやルーターにアンチウィルスを導入するという考え方自体は目新しいものではありませんが、現在でも企業のセキュリティ戦略で重要な部分を占めています。

本書の目的ジュニパーネットワークスJunos® OSリリース9.5では、ジュニパーネットワークスJシリーズサービスルーターおよび特定のジュニパーネットワークスSRXシリーズサービス・ゲートウェイのUTMサポートが追加されました。アンチウィルスは、コンテンツフィルタリング、アンチスパム、Webフィルタリングなどと同様に、ジュニパーネットワークスのUTMスイートを構成する機能の1つです。脅威がネットワークに侵入する前に、ゲートウェイで阻止する機能を提供します。まず、2種類のKasperskyスキャンエンジンについて説明してから、設定の例をいくつか紹介します。Junos® OSリリース11.1以降ではKasperskyスキャンエンジンに加えて、Sophosアンチウィルス機能も選択可能となっていますが、本書の対象外とします。

設計上の考慮事項アンチウィルスの導入を決定する際に、ネットワーク設計者はセキュリティの向上によるパフォーマンスの影響範囲を考慮する必要があります。製品ガイドラインについては、SRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターのデータシートを参照してください。

ハードウェア要件

• SRX100、SRX210、SRX240、およびSRX650を含む、ブランチ向けジュニパーネットワークスSRXシリーズサービス・ゲートウェイ（ハイエンドのSRXシリーズプラットフォームでは、Junos® OSリリース12.1X46以降でSophosアンチウィルス機能を利用可能ですが、本書では取扱いません。）

• J2320、J2350、J4350、およびJ6350を含む、ジュニパーネットワークスJシリーズサービスルーター

ソフトウェア要件

• Junos OSリリース9.5以降

説明と導入シナリオJunos OSリリース9.5から、ジュニパーネットワークスはブランチ向けSRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターにアンチウィルス機能を追加しました。ジュニパーネットワークスはKaspersky Labと提携して、ウィルス、トロイの木馬、ルートキット、その他の悪意のあるコードを対象としたファイルスキャンに使用されるアンチウィルスエンジンとウィルス/シグネチャデータベースの両方を提供します。Kaspersky Labは、Juniper ExpressAVエンジンで使用されるシグネチャデータベースも提供します。

管理者は従来のウィルス保護とExpressAVオプションから選択できますが、その決定にはいくつかのトレードオフが関係します。本書をお読みいただくことで、実際のニーズに見合う最適なスキャンエンジンを選択して、SRXシリーズサービス・ゲートウェイまたはJシリーズサービスルーターでアンチウィルスを簡単に設定できるようになります。

KasperskyスキャンエンジンKasperskyスキャンエンジンは、ファイルスキャンサービスをJunos OSに提供します。スキャンが有効な場合、SRXシリーズデバイスまたはJシリーズルーターはデータストリームを検査して、添付ファイルを検索します。添付ファイルは電子メールメッセージ、FTPのダウンロード/アップロード処理、Webページのダウンロード時に検出される埋め込みスクリプトなどに含まれています。

ゲートウェイは検査対象のファイルにフラグを設定して、そのファイル（または埋め込みスクリプト）をメモリにキャッシュします。さらに、スキャンエンジンを使用して、ウィルス、トロイの木馬、ルートキット、その他の悪意のあるコードを検索します。ウィルスが検出された場合、そのファイルは破棄され、ユーザー/発信元が通知されます。

2 Copyright © 2014, Juniper Networks, Inc.


図1：フルアンチウィルスの処理フロー

フルアンチウィルスソリューションを検討する場合、以下の要素について評価する必要があります。

• フルアンチウィルスはスキャンエンジンでファイル全体をキャッシュして複数のパスでスキャンできるので、高い検知率を実現します。

• フルアンチウィルスは圧縮ファイルのスキャンをサポートしており、スキャンの実行前にキャッシュでファイルを展開できます。複数回圧縮されたファイルもサポートされており、最高4回まで圧縮されたファイルを処理できます。

• 使用可能なメモリ容量によって、スキャン可能なファイルのサイズは制限されます。

• フルアンチウィルスでは、ファイルが転送前にいったんローカルに格納されるので、転送時の遅延が増加します。

• 使用可能なメモリ容量およびCPUサイクルによって、同時スキャン可能なファイル数は制限されます（現時点では、同時スキャン可能なファイル数は2）。

• 本書の執筆時点では、広く流行している危険な最近・最新のウィルスを含む、405,000種類を超えるシグネチャがフルアンチウィルスデータベースに登録されています。

Juniper ExpressAVエンジンジュニパーネットワークスはジュニパーネットワークスIDPシリーズ侵入検知防御アプライアンスに採用されたテクノロジーを活用して、パターンマッチングを使用して検知を可能にするExpressAVスキャンエンジンを追加しました。このエンジンはブランチ向けSRXシリーズのプラットフォーム上で使用可能なCSA（Content Security Accelerator）を利用できるので、検知率が若干、低下するデメリットはありますが、ハイパフォーマンスを実現しています。CSAを搭載していないプラットフォームでもソフトウェアパターンマッチングを実行できますが、パフォーマンスは低下します（UTMは常にハイメモリオプション必要とします）。

ExpressAVオプションでは、Kasperskyシグネチャデータベースに変更を加えたバージョンを使用します。

図2：ジュニパーネットワークスExpressAVの処理フロー

プロトコルパーサー

TCPプロキシ

TCPスタック

再構成されたファイル Kasperskyアンチウィルスエンジン

フルアンチウィルスデータベース

データパケット


プロトコルパーサー

TCPプロキシ

TCPスタック

データパケットバッファ CSA

SafeStreamデータベース





当然、ExpressAVのスキャンにはメリットもあれば、制約もあります。

• ExpressAVの検知率はフルアンチウィルスよりも低いですが、一般的に見られるウィルスはExpressAVでも捕捉できます。

• ExpressAVではハードウェアアクセラレータによる処理が可能なので、スループットの向上が実現します。

• ファイルがローカルに格納されず、ゲートウェイから転送されたそのままの状態でパケットを検査できます。TCPストリームを再構成して、パケットを並べ替える必要があるので、パケットは依然としてTCPプロキシを経由する必要があります。

• ExpressAVは、ポリモーフィック型ウィルスやメタモーフィック型ウィルスを検知できません。この種のウィルスは、そのウィルス自身を変化させます。エンジンで利用されるのはパターン認識だけであり、この種のウィルスの検知に対応する、その他のヒューリスティック機能は使用されません。

• 圧縮ファイルの検知のサポートはHTTPおよびPOP3に限定され、複数回圧縮されたファイルはサポート対象外です。

• ExpressAVでは、パケットのスキャンと転送を同時に処理できるので（図3を参照）、転送時の遅延が最小限に抑えられます。

• 本書の執筆時点では、10,000種類を超えるシグネチャが用意されており、そのほとんどが危険なウィルスや最新のウィルスです。

図3：転送時の遅延の比較

設定アンチウィルスはUTM機能セットに含まれる機能の1つであり、他のUTM機能の場合と同様に、セキュリティポリシーはゲートウェイによって転送されるあらゆるトラフィックの基準として機能します。セキュリティポリシーはUTMポリシーと特定のトラフィックを関連付ける目的で使用され、UTMポリシーはトラフィックのスキャンに使用されるパラメータを指定します。

図4：UTMポリシー

ファイル受信

ファイル受信

スキャン

スキャン

ファイル送信

ファイル送信

遅延

遅延

フルアンチウィルス

Expressアンチウィルス

ポリシー1

. . . UTMポリシー

ポリシールックアップ

ポリシーのマッチングアンチウィルスプロファイル

セキュリティポリシー

順序付けされた

ルックアップ（送信元/宛先ゾーン毎にインデックス

付加）

UTMポリシーを指定してトラフィックをアプリケーションサービスに送信

ポリシーN



同様に、UTMポリシーは、一連のプロトコルを1つまたは複数の機能プロファイルに関連付けます。各プロファイルによって、各機能（アンチウィルス、コンテンツフィルタリング、アンチスパム、およびWebフィルタリング）固有の設定が決定します。本書では、アンチウィルスに焦点を当てているので、本書の例で引用しているUTMポリシーでは、アンチウィルスのプロファイルのみを参照しています。

図5：UTMポリシーと機能プロファイル

アンチウィルスの設定階層は、以下の例に示すように、[security utm feature-profile]の下にあります。

security { utm { feature-profile{ anti-virus {typejuniper-express-engine|kaspersky-lab-engine; mime-whitelist{ exception<MIMEexceptionlist>; list<MIMElist>; }

url-whitelist<urlwhitelist>; juniper-express-engine { pattern-update {email-notify{…}interval<updatecheckintervalinminutes>;no-autoupdate;url<databaseserverurl>; } profile<profilename>{fallback-options{…}notification-options{…}scan-options{…}

trickling[<tricklingtimeout>]; } }kaspersky-lab-engine{ pattern-update {email-notify{…}interval<updatecheckintervalinminutes>;no-autoupdate;url<databaseserverurl>; }profile<profilename>{fallback-options{…}

SMTPポリシーのマッチング

プロトコル

UTMポリシー

アンチスパムプロファイル

プロファイル

UTMポリシーを指定して

トラフィックをアプリケーションサービスに送信

プロファイルを（適用可能な）各プロトコルに関連付け

プロファイル

IMAP

POP3

HTTP

FTP

アンチウィルスプロファイル

コンテンツフィルタリングプロファイル

Webフィルタリングプロファイル



notification-options{…}scan-options{…}trickling[<tricklingtimeout>]; } }

グローバルオプションスキャンオプションの設定時に、設定パラメータによっては、両方のスキャンオプションで共通しているものがあります。特定のファイルタイプを識別して、無害であると見なすものについては、以降のスキャンを省略するオプションが管理者向けに用意されています。HTTPの場合には、MIMEヘッダーを使用して、処理するファイルタイプについての情報を取得できます。mime-whitelistは、スキャンする必要がないMIMEタイプを指定する場合に使用します。また、例外リストを設定すれば、MIMEタイプがmime-whitelistに含まれている場合でも、MIMEタイプをさらに詳しく指定して、例外的にスキャンの対象に含めることが可能です。たとえば、「ビデオファイルはスキャンしない。ただし、例外として、Windows Mediaファイルはスキャンする」というmime-whitelistを定義するには、MIMEタイプ"video/"のmime-whitelistと、関連するMIMEタイプ"video/x-ms-wmv"の例外リストを作成します。

図6：HTTPトラフィックの処理

SRXシリーズデバイスまたはJシリーズルーターでは、スキャンを必要としない、信頼済みのサイト、ファイル、または埋め込みスクリプトのリストも作成できます。url-whitelistは、安全なサイトや許可されたサイトのリストを管理者が作成できるようにすることで、この機能を実現します。

• パターン更新（pattern-update）オプション（juniper-express-engineまたはkaspersky-lab-engine設定階層の下に存在）を使用すると、以下のように、アンチウィルスエンジンとシグネチャデータベースの更新のコントロールが可能になります。

• no-auto-update：このオプションでは、アンチウィルスエンジンおよびシグネチャデータベースの自動ダウンロード・更新を無効にします。新しいデータベースのダウンロード処理はトラフィックに悪影響を及ぼすので、データベースのアップグレード中はスキャンエンジンの処理を省略するよう選択することも可能です。

• interval：このオプションでは、どのくらいの頻度でデータベースサーバーに対してデータベースの新しいバージョンの有無を確認するのか指定します。

• url：このオプションでは、データベースサーバーのURLを指定できます。URLが指定されていない場合、デフォルトのURLが使用されます（推奨設定）。

MIME、URLホワイトリスト（url-whitelist）、およびパターン更新（pattern-update）オプションはグローバル設定です。つまり、特定のアンチウィルスプロファイルに付随せず、プロファイル全体で継承されることを意味します。残りのオプションはアンチウィルス固有の設定であり、ポリシーまたはプロトコル単位に設定します。

ポリシーまたはプロトコル単位のオプションフォールバックオプション（fallback-options）は、特定の条件が原因でトラフィックをスキャンできない場合に、SRXシリーズデバイスまたはJシリーズルーターで実行するアクション（ブロックまたは許可）をコントロールします。この条件の例としては、ファイルサイズが許容値の上限を超えた場合や、データベースがロード処理の途中である場合が挙げられます。

通知オプション（notification-options）は、検知済みのウィルス、フォールバックアクションが原因でブロック済みのトラフィック、許可済みで未スキャンのトラフィックといった情報をユーザーに通知する場合に使用します。HTTPおよびFTPでは、通知はプロトコルで伝達（ピギーバック）されます。たとえば、HTTP要求の実行中にウィルスが検知された場合、アクセスしようとしたページについてのカスタムエラーメッセージがユーザーに表示されます。電子メールプロトコル、SMTP、IMAP、およびPOP3では、メール受信者（オプションで送信者）に攻撃メールについて通知するエラーメールメッセージが代わりに生成されます。

URLホワイトリスト（HTTPのみ）

MIMEホワイトリスト（HTTPのみ）

アンチウィルスプロファイル



スキャンオプション（scan-options）は、表1に詳細を示しているように、各スキャンエンジンのオプションをコントロールします。

表1：スキャンオプションオプション Kaspersky LabエンジンジュニパーネットワークスExpressエンジンコンテンツサイズの上限（content-size-limit）

はいはい

インテリジェントプレスクリーニング（intelligent-prescreening）

はいはい

タイムアウト（timeout）はいはいスキャンモード/スキャン拡張子（scan-mode/scan-extension）

はいいいえ

展開レイヤーの上限（decompress-layer-limit）

はいいいえ（単一の圧縮レベルのみをサポート）

コンテンツサイズの上限（content-size-l imit）、タイムアウト（t imeout）、および展開レイヤーの上限（decompress-layer-limit）では、エンジンがフォールバックオプション（fallback-options）に基づいてファイルを破棄または転送する場合の条件として、ファイルサイズの上限、時間（秒単位）、および圧縮階層をコントロールします。

インテリジェントプレスクリーニング（intelligent-prescreening）は、パフォーマンスを改善し、転送時の遅延を軽減する目的で使用します。具体的には、エンジンがファイル全体を受信する前に、いくつかの初期パケットを検査することで、悪意のあるコードがファイルに含まれているかどうか、エンジン側で判定できるようにします。ファイルが安全であると判定された場合、スキャンは省略され、ファイルは転送されます。

スキャンモードが"all"に設定されていると、ファイルの種類（拡張子）に関係なく、エンジンはすべてのファイルをスキャンします。これに対して、拡張子に基づくスキャンモード（scan-extension）では、スキャン対象に設定するファイル拡張子のリストを管理者側で指定できます。

設定例このセクションでは、シンプルな導入シナリオをいくつか紹介してから、そのシナリオに基づいて、Junos OSのアンチウィルス機能を具体的に紹介します。紹介する例はすべて、以下のリファレンスネットワークに基づいています。

図7：リファレンスネットワーク

デフォルト設定の使用最初の例は、シンプルな設定です。使用するのは、Kasperskyのフルアンチウィルスエンジンであり、Trust ZoneからUntrust Zoneのインターネット部分に対して開始されたセッション内で、悪意のあるコードをスキャンします。

policy{from-zone trust to-zone untrust {policymatch-all{ match {source-addressany;destination-addressany;applicationany; } then {

Trust Zone Untrust Zone

インターネット



permit {application-services{utm-policydefault-av; } } } }}}utm {feature-profile{ anti-virus {typekaspersky-lab-engine; }}

utm-policydefault-av{ anti-virus {http-profilejunos-av-defaults; ftp {upload-profilejunos-av-defaults;download-profilejunos-av-defaults; }smtp-profilejunos-av-defaults;pop3-profilejunos-av-defaults;imap-profilejunos-av-defaults; } }}

最初の設定では、Junos OSのデフォルトのアンチウィルスプロファイルを利用しています。プロファイルのデフォルト設定は、編集モードのCLI（command-line interface）から"show groups junos-defaults security utm feature-profile anti-virus kaspersky-lab-engine"と入力すると表示できます。

profilejunos-av-defaults{fallback-options{defaultlog-and-permit;corrupt-filelog-and-permit;password-filelog-and-permit;decompress-layerlog-and-permit;content-sizelog-and-permit;engine-not-readylog-and-permit;timeoutlog-and-permit;out-of-resourceslog-and-permit;too-many-requestslog-and-permit; } scan-options {intelligent-prescreening;scan-modeall;content-size-limit10000;timeout180;decompress-layer-limit2; }notification-options{ virus-detection {typemessage;notify-mail-sender;custom-message“VIRUSWARNING”; }fallback-block{typemessage;notify-mail-sender;



} }}

感染したファイルをダウンロードしようとしたユーザーに対して、以下のメッセージが表示され、ダウンロードはブロックされます。

VIRUS WARNING88.198.38.136:80->10.1.1.11:42652Downloadcontaminatedfile:www.eicar.org/download/eicar.comwithvirusEICAR-Test-File

デフォルトのプロファイルは、Juniper ExpressAVエンジンでも使用できます。その場合の設定は、以下のとおりです。

policy{from-zone trust to-zone untrust {policymatch-all{ match {source-addressany;destination-addressany;

applicationany; } then { permit {application-services{utm-policydefault-av; } } } } }}utm {feature-profile{ anti-virus {typejuniper-express-engine; } }utm-policydefault-av{ anti-virus {http-profilejunos-eav-defaults; ftp {upload-profilejunos-eav-defaults;download-profilejunos-eav-defaults; }smtp-profilejunos-eav-defaults;pop3-profilejunos-eav-defaults;imap-profilejunos-eav-defaults; } }}



デフォルトのデータベース自動アップグレードの変更Kasperskyエンジンのデフォルト設定では、1時間ごとにデータベースの更新をチェックしています。デフォルトでは、トラフィックを検査する必要があるときに、データベースのアップグレードが進行中である場合、スキャンエンジンはトラフィックを許可して、トラフィックのエンドポイント、エラーメッセージ、およびファイル名（HTTP要求の場合はURL）を示すログメッセージを生成します。

Jan2108:42:39172.19.101.42RT_UTM:AV_SCANNER_ERROR_SKIPPED_MT:AntiVirus:Contentfrom88.198.38.136:80to10.1.1.11:42659www.eicar.org/anti_virus_test_file.htmwasnotscannedbecausescan-engineerrororconstraintwithcode14forscanengineisnotready.

この例では、デフォルト設定に変更を加えて、新しいデータベースがロードの途中である場合は、トラフィックを破棄しています。また、トラフィックへの悪影響を軽減するため、更新チェックの頻度を変更することで、データベースのアップグレード処理を1日1回に制限しています。データベースのアップグレードが進行中である場合は、数分後に操作を再試行するよう通知するメッセージがユーザーに送信されます。

policies{ from-zone trust to-zone untrust {policymatch-all{ match {source-addressany;destination-addressany;applicationany; } then { permit {application-services{utm-policyav; } } } } }}utm {feature-profile{ anti-virus {

typekaspersky-lab-engine;kaspersky-lab-engine{ pattern-update {interval1440; }profiledrop-on-error{fallback-options{defaultlog-and-permit;engine-not-readyblock; }notification-options{fallback-block{custom-message“Filedroppedduetodbupgrade,pleaseretryinafewminutes”; } } } } } }utm-policyav{ anti-virus {http-profiledrop-on-error;



ftp {upload-profiledrop-on-error;download-profiledrop-on-error; }smtp-profiledrop-on-error;pop3-profiledrop-on-error;imap-profiledrop-on-error; } }}

前の設定では、アップグレードの途中でWebページにアクセスしようとしたユーザーに、以下の通知メッセージが表示されます。

Request was dropped

Filedroppedduetodbupgrade,pleaseretryinafewminutes88.198.38.136:80->10.1.1.11:42687DownloadrequestwasdroppedduetoAVscanenginenotready.Andadministratorswillstillreceiveasyslogmessageindicatingthatsomedatawasdropped.

Jan2109:05:59172.19.101.42RT_UTM:AV_SCANNER_DROP_FILE_MT:AntiVirus:Contentfrom88.198.38.136:80to10.1.1.11:42687www.eicar.org/anti_virus_test_file.htmwasdroppedbecausescan-engineerrororconstraintwithcode14forscanengineisnotready.

特定のファイルタイプの除外一部のファイルタイプは、本質的に無害です。したがって、場合によっては、拡張子とMIMEタイプに基づいてスキャンエンジンの処理を省略しても安全です（この場合、パフォーマンスが向上すると同時に、セキュリティが低下するというデメリットがあります）。前の例に変更を加えて、MIMEタイプtext/のファイルはスキャンエンジンの処理を省略するとともに、タイプtext/htmlのファイルはスキャン対象に設定します。

注：以下の設定は、単に例示するためのものであり、ジュニパーネットワークスが推奨するセキュリティ戦略というわけではありません。セキュリティ戦略は導入事例によって異なり、導入事例ごとにパフォーマンスとセキュリティのトレードオフを考慮する必要があります。

policies{ from-zone trust to-zone untrust {policymatch-all{ match {source-addressany;destination-addressany;applicationany; } then {

permit {application-services{utm-policyav; } }log{session-init;session-close; } }



} }}utm {custom-objects{ mime-pattern {bypass{valuetext/; } force {valuetext/html; } } }feature-profile{ anti-virus {mime-whitelist{listbypass;exceptionforce; }typekaspersky-lab-engine;kaspersky-lab-engine{ pattern-update {interval1440; }profilebypass-text{fallback-options{defaultlog-and-permit;engine-not-readyblock; }notification-options{fallback-block{custom-message“Filedroppedduetodbupgrade,pleaseretryinafewminutes”; } } } } } }utm-policyav{ anti-virus {http-profilebypass-text; ftp {upload-profilebypass-text;download-profilebypass-text; }smtp-profilebypass-text;pop3-profilebypass-text;imap-profilebypass-text; } }}



アンチウィルスデータベースの更新アンチウィルスデータベースは、以下の運用モードコマンドを使用して、手動でアップグレードできます。

>requestsecurityutmanti-virus[kaspersky-lab-engine|juniper-express-engine]pattern-update

データベースの更新結果を表示するには、以下のコマンドを発行します。

>showsecurityutmanti-virusstatusUTManti-virusstatus: Anti-viruskeyexpiredate:2009-11-21Updateserver:http://update.juniper-updates.net/AV/SRX210/Interval:1440minutesPatternupdatestatus:nextupdatein1438minutesLastresult:alreadyhavelatestdatabaseAnti-virussignatureversion:01/20/200904:33GMT,virusrecords:488620Anti-virussignaturecompilerversion:N/AScanenginetype:kaspersky-lab-engineScanengineinformation:lastactionresult:Noerror(0x00000000)

データベースを削除する運用モードコマンドも用意されており、アンチウィルスの使用を停止するときに領域を開放する場合や、以下に示すように、データベースを強制的に再ロードする場合に便利です（データベースの再ロードは、通知メッセージをテストする場合に役立ちます）。

>requestsecurityutmanti-virus[kaspersky-lab-engine|juniper-express-engine]pattern-delete>requestsecurityutmanti-virus[kaspersky-lab-engine|juniper-express-engine]pattern-reload

モニタリングアンチウィルスエンジンのステータスは、以下に示すように、"show security utm anti-virus status"コマンドで表示できます。プロトコルの解析やスキャンについての情報を示すカウンタが表示されます。

>showsecurityutmanti-virusstatisticsUTMAntiVirusstatistics:

Intelligent-prescreeningpassed:0

MIME-whitelistpassed:1URL-whitelistpassed:0Forwardedtoscanengine:13

ScanMode:scan-all:13Scan-extension:0

ScanCode:clear:6Infected:7Passwordfiles0Decompresslayers:0Corruptfiles:0Outofresources:0Internalerrors:0



Fallback:log-and-permitblockEnginenotready:22Passwordfile:00Decompresslayer:00Corruptfiles:00Outofresources:00Timeout:00Maximumcontentsize:00Toomanyrequests:00Others:00

このコマンドは、正しいセキュリティポリシー（UTMプロファイルの適用対象であるポリシー）によってトラフィックが実際に処理されることを確認する場合に役立ちます。"show security flow session"コマンドはセッションテーブルを検査して、特定のトラフィックを処理しているポリシーを確認します。

SessionID:3686,Policyname:match-all/6,Timeout:4

In:10.1.1.11/42756-->88.198.38.136/80;tcp,If:fe-0/0/5.0Out:88.198.38.136/80-->172.19.101.42/1090;tcp,If:ge-0/0/0.0 …

ライセンス使用するエンジンの種類に関係なく、アンチウィルス機能を有効にするには、ライセンスが必要です。インストール済みのライセンスは、"show system license"コマンドで表示できます。

pato@SRX210-1#runshowsystemlicenseLicenseusage:LicensesLicensesLicensesExpiryFeaturenameusedinstalledneededav_key_kaspersky_engine1102009-11-2000:00:00UTCanti_spam_key_symantec_sbl0102009-11-2000:00:00UTCwf_key_surfcontrol_cpa0102009-11-2000:00:00UTCidp-sig0102009-11-2000:00:00UTC…

まとめ Junos OSリリース9.5では、SRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターのアンチウィルス機能が導入されました。この機能により、ウィルス、トロイの木馬、ルートキット、ワームなどを効果的に防御できるようになります。この機能はファイアウォールの一般的な機能として長年にわたって利用されていますが、従来と同様に、セキュリティ戦略に欠かせない要素であり、マルウェアがエンドポイントに到達する前にゲートウェイで阻止します。



Copyright© 2014, Juniper Networks, Inc. All rights reserved. Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

アジアパシフィック、ヨーロッパ、中東、アフリカJuniper Networks International B.V.

Boeing Avenue 240 1119 PZ Schiphol-Rijk Amsterdam, The Netherlands

電話 31-0-207-125-700 FAX 31-0-207-125-701

米国本社Juniper Networks, Inc.

1194 North Mathilda Ave Sunnyvale, CA 94089 USA

電話 888-JUNIPER (888-586-4737) または 408-745-2000 FAX 408-745-2100

URL http://www.juniper.net

日本ジュニパーネットワークス株式会社

東京本社〒163-1445 東京都新宿区西新宿3-20-2 東京オペラシティタワー45F

電話 03-5333-7400 FAX 03-5333-7401

西日本事務所〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜

URL http://www.juniper.net/jp/

3500158-002 JP APR 2014

ジュニパーネットワークスについてジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウド事業者にいたるまで、ジュニパーネットワークスは、ネットワークの利便性と経済性を変え、ビジネスを変革するソフトウェア、シリコン、システムを提供しています。ジュニパーネットワークスに関する詳細な情報は、以下をご覧ください。

http://www.juniper.net/jp/ 、 Twitter 、 Facebook

http://www.juniper.net

http://www.juniper.net/jp/

http://www.juniper.net/jp/jp/

https://twitter.com/Juniper_Japan

http://www.facebook.com/JuniperJapan

ブランチ向けSRXシリーズおよびJシリーズの...

Documents