ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス

APPLICATION NOTE
ブランチ向けSRXシリーズおよびJシリーズの
アンチウィルス
ブランチ向けSRXシリーズサービス・ゲートウェイおよび
Jシリーズサービスルーターでのアンチウィルスの設定
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
目次
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
本書の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
設計上の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
説明と導入シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Kasperskyスキャンエンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Juniper ExpressAVエンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
グローバルオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
ポリシーまたはプロトコル単位のオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
設定例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
デフォルト設定の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
デフォルトのデータベース自動アップグレードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
特定のファイルタイプの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
アンチウィルスデータベースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
図目次
図1：フルアンチウィルスの処理フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
図2：ジュニパーネットワークスExpressAVの処理フロー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
図3：転送時の遅延の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
図4：UTMポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
図5：UTMポリシーと機能プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
図6：HTTPトラフィックの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
図7：リファレンスネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
ii
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
はじめに
アンチウィルスはUTM（Unified Threat Management）
スイートの機能として広く定着しており、
ファイアウォール
上で長年にわたる利用実績があります。Web 2.0の導入に伴い、新しいセキュリティ要件が策定されましたが、
アン
チウィルスは従来と同様に、あらゆるセキュリティ戦略に欠かせない要素であると位置付けられます。現在でもエン
ドポイントの保護は最も重要ですが、ゲートウェイにアンチウィルスを導入すると、
さまざまなネットワークデバイス
への到達を試みる脅威の多くを阻止することになります。さらに、新しい脅威が広まっている場合に、他の防御策を
更新している間も、
アンチウィルスによって一定レベルのネットワーク保護を実現できます。
ファイアウォールやルー
ターにアンチウィルスを導入するという考え方自体は目新しいものではありませんが、現在でも企業のセキュリティ
戦略で重要な部分を占めています。
本書の目的
ジュニパーネットワークスJunos® OSリリース9.5では、ジュニパーネットワークスJシリーズサービスルーターお
よび特定のジュニパーネットワークスSRXシリーズサービス・ゲートウェイのUTMサポートが追加されました。ア
ンチウィルスは、
コンテンツフィルタリング、
アンチスパム、Webフィルタリングなどと同様に、ジュニパーネットワー
クスのUTMスイートを構成する機能の1つです。脅威がネットワークに侵入する前に、ゲートウェイで阻止する機能
を提供します。
まず、2種類のKasperskyスキャンエンジンについて説明してから、設定の例をいくつか紹介します。
Junos® OSリリース11.1以降ではKasperskyスキャンエンジンに加えて、Sophosアンチウィルス機能も選択可能と
なっていますが、本書の対象外とします。
設計上の考慮事項
アンチウィルスの導入を決定する際に、ネットワーク設計者はセキュリティの向上によるパフォーマンスの影響範
囲を考慮する必要があります。製品ガイドラインについては、SRXシリーズサービス・ゲートウェイおよびJシリーズ
サービスルーターのデータシートを参照してください。
ハードウェア要件
• SRX100、SRX210、SRX240、およびSRX650を含む、
ブランチ向けジュニパーネットワークスSRXシリーズ
サービス・ゲートウェイ
（ハイエンドのSRXシリーズプラットフォームでは、Junos® OSリリース12.1X46以降で
Sophosアンチウィルス機能を利用可能ですが、本書では取扱いません。）
• J2320、J2350、J4350、およびJ6350を含む、
ジュニパーネットワークスJシリーズサービスルーター
ソフトウェア要件
• Junos OSリリース9.5以降
説明と導入シナリオ
Junos OSリリース9.5から、
ジュニパーネットワークスはブランチ向けSRXシリーズサービス・ゲートウェイおよび
Jシリーズサービスルーターにアンチウィルス機能を追加しました。
ジュニパーネットワークスはKaspersky Labと
提携して、
ウィルス、
トロイの木馬、ルートキット、その他の悪意のあるコードを対象としたファイルスキャンに使用さ
れるアンチウィルスエンジンとウィルス/シグネチャデータベースの両方を提供します。Kaspersky Labは、Juniper
ExpressAVエンジンで使用されるシグネチャデータベースも提供します。
管理者は従来のウィルス保護とExpressAVオプションから選択できますが、その決定にはいくつかのトレードオ
フが関係します。本書をお読みいただくことで、実際のニーズに見合う最適なスキャンエンジンを選択して、SRXシ
リーズサービス・ゲートウェイまたはJシリーズサービスルーターでアンチウィルスを簡単に設定できるようになり
ます。
Kasperskyスキャンエンジン
Kasperskyスキャンエンジンは、
ファイルスキャンサービスをJunos OSに提供します。
スキャンが有効な場合、SRX
シリーズデバイスまたはJシリーズルーターはデータストリームを検査して、添付ファイルを検索します。添付ファイ
ルは電子メールメッセージ、FTPのダウンロード/アップロード処理、Webページのダウンロード時に検出される埋
め込みスクリプトなどに含まれています。
ゲートウェイは検査対象のファイルにフラグを設定して、そのファイル（または埋め込みスクリプト）をメモリにキャッ
シュします。さらに、
スキャンエンジンを使用して、
ウィルス、
トロイの木馬、ルートキット、その他の悪意のあるコード
を検索します。
ウィルスが検出された場合、そのファイルは破棄され、ユーザー/発信元が通知されます。
Copyright © 2014, Juniper Networks, Inc.
1
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
プロトコルパーサー
再構成されたファイル
Kasperskyアンチウィルス
エンジン
フルアンチウィルス
データベース
データ
パケット
データ
パケット
TCPプロキシ
TCPスタック
図1：フルアンチウィルスの処理フロー
フルアンチウィルスソリューションを検討する場合、以下の要素について評価する必要があります。
• フルアンチウィルスはスキャンエンジンでファイル全体をキャッシュして複数のパスでスキャンできるので、高
い検知率を実現します。
• フルアンチウィルスは圧縮ファイルのスキャンをサポートしており、
スキャンの実行前にキャッシュでファイルを
展開できます。複数回圧縮されたファイルもサポートされており、最高4回まで圧縮されたファイルを処理でき
ます。
• 使用可能なメモリ容量によって、
スキャン可能なファイルのサイズは制限されます。
• フルアンチウィルスでは、
ファイルが転送前にいったんローカルに格納されるので、転送時の遅延が増加しま
す。
• 使用可能なメモリ容量およびCPUサイクルによって、同時スキャン可能なファイル数は制限されます（現時点
では、同時スキャン可能なファイル数は2）。
• 本書の執筆時点では、広く流行している危険な最近・最新のウィルスを含む、405,000種類を超えるシグネ
チャがフルアンチウィルスデータベースに登録されています。
Juniper ExpressAVエンジン
ジュニパーネットワークスはジュニパーネットワークスIDPシリーズ侵入検知防御アプライアンスに採用されたテ
クノロジーを活用して、パターンマッチングを使用して検知を可能にするExpressAVスキャンエンジンを追加し
ました。
このエンジンはブランチ向けSRXシリーズのプラットフォーム上で使用可能なCSA（Content Security
Accelerator）を利用できるので、検知率が若干、低下するデメリットはありますが、ハイパフォーマンスを実現して
います。CSAを搭載していないプラットフォームでもソフトウェアパターンマッチングを実行できますが、パフォーマ
ンスは低下します（UTMは常にハイメモリオプション必要とします）。
ExpressAVオプションでは、Kasperskyシグネチャデータベースに変更を加えたバージョンを使用します。
プロトコルパーサー
TCPプロキシ
データパケットバッファ
CSA
SafeStreamデータベース
データ
パケット
データ
パケット
TCPスタック
図2：ジュニパーネットワークスExpressAVの処理フロー
2
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
当然、ExpressAVのスキャンにはメリットもあれば、制約もあります。
• ExpressAVの検知率はフルアンチウィルスよりも低いですが、一般的に見られるウィルスはExpressAVでも捕
捉できます。
• ExpressAVではハードウェアアクセラレータによる処理が可能なので、
スループットの向上が実現します。
• ファイルがローカルに格納されず、ゲートウェイから転送されたそのままの状態でパケットを検査できます。
TCPストリームを再構成して、パケットを並べ替える必要があるので、パケットは依然としてTCPプロキシを経
由する必要があります。
• ExpressAVは、ポリモーフィック型ウィルスやメタモーフィック型ウィルスを検知できません。
この種のウィルス
は、そのウィルス自身を変化させます。エンジンで利用されるのはパターン認識だけであり、
この種のウィルス
の検知に対応する、その他のヒューリスティック機能は使用されません。
• 圧縮ファイルの検知のサポートはHTTPおよびPOP3に限定され、複数回圧縮されたファイルはサポート対象
外です。
• ExpressAVでは、パケットのスキャンと転送を同時に処理できるので（図3を参照）、転送時の遅延が最小限に
抑えられます。
• 本書の執筆時点では、10,000種類を超えるシグネチャが用意されており、そのほとんどが危険なウィルスや最
新のウィルスです。
ファイル受信
フル
アンチ
ウィルス
スキャン
ファイル送信
遅延
ファイル受信
Express
アンチ
ウィルス
スキャン
ファイル送信
遅延
図3：転送時の遅延の比較
設定
アンチウィルスはUTM機能セットに含まれる機能の1つであり、他のUTM機能の場合と同様に、セキュリティポリ
シーはゲートウェイによって転送されるあらゆるトラフィックの基準として機能します。セキュリティポリシーはUTM
ポリシーと特定のトラフィックを関連付ける目的で使用され、UTMポリシーはトラフィックのスキャンに使用される
パラメータを指定します。
ポリシー
ルックアップ
順序付け
された
ルックアップ
（送信元/宛先
ゾーン毎に
インデックス
付加）
ポリシー1
...
ポリシーN
セキュリティポリシー
ポリシーのマッチング
UTMポリシー
アンチウィルス
プロファイル
UTMポリシー
を指定して
トラフィックを
アプリケーション
サービスに送信
図4：UTMポリシー
Copyright © 2014, Juniper Networks, Inc.
3
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
同様に、UTMポリシーは、一連のプロトコルを1つまたは複数の機能プロファイルに関連付けます。各プロファイル
によって、各機能（アンチウィルス、
コンテンツフィルタリング、
アンチスパム、およびWebフィルタリング）固有の設定
が決定します。本書では、
アンチウィルスに焦点を当てているので、本書の例で引用しているUTMポリシーでは、
ア
ンチウィルスのプロファイルのみを参照しています。
UTMポリシー
ポリシーの
マッチング
UTM
ポリシーを
指定して
トラフィックを
アプリケーション
サービスに
送信
SMTP
アンチスパムプロファイル
IMAP
アンチウィルスプロファイル
POP3
HTTP
FTP
プロファイル
コンテンツフィルタリング
プロファイル
プロファイルを
（適用可能な）
各プロトコルに
関連付け
Webフィルタリング
プロファイル
プロファイル
プロトコル
図5：UTMポリシーと機能プロファイル
アンチウィルスの設定階層は、以下の例に示すように、[security utm feature-profile]の下にあります。
security {
utm {
feature-profile {
anti-virus {
type juniper-express-engine | kaspersky-lab-engine;
mime-whitelist {
exception <MIME exception list>;
list <MIME list>;
}
url-whitelist <url whitelist>;
juniper-express-engine {
pattern-update {
email-notify {…}
interval <update check interval in minutes>;
no-autoupdate;
url <database server url>;
}
profile <profile name> {
fallback-options {…}
notification-options {…}
scan-options {…}
trickling [<trickling timeout>];
}
}
kaspersky-lab-engine {
pattern-update {
email-notify {…}
interval <update check interval in minutes>;
no-autoupdate;
url <database server url>;
}
profile <profile name> {
fallback-options {…}
4
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
notification-options {…}
scan-options {…}
trickling [<trickling timeout>];
}
}
グローバルオプション
スキャンオプションの設定時に、設定パラメータによっては、両方のスキャンオプションで共通しているものがありま
す。特定のファイルタイプを識別して、無害であると見なすものについては、以降のスキャンを省略するオプションが
管理者向けに用意されています。HTTPの場合には、MIMEヘッダーを使用して、処理するファイルタイプについて
の情報を取得できます。mime-whitelistは、
スキャンする必要がないMIMEタイプを指定する場合に使用します。
また、例外リストを設定すれば、MIMEタイプがmime-whitelistに含まれている場合でも、MIMEタイプをさらに詳
しく指定して、例外的にスキャンの対象に含めることが可能です。たとえば、
「ビデオファイルはスキャンしない。ただ
し、例外として、Windows Mediaファイルはスキャンする」
というmime-whitelistを定義するには、MIMEタイプ
"video/"のmime-whitelistと、関連するMIMEタイプ"video/x-ms-wmv"の例外リストを作成します。
URL
ホワイトリスト
（HTTPのみ）
MIME
ホワイトリスト
（HTTPのみ）
アンチウィルス
プロファイル
図6：HTTPトラフィックの処理
SRXシリーズデバイスまたはJシリーズルーターでは、
スキャンを必要としない、信頼済みのサイト、
ファイル、
また
は埋め込みスクリプトのリストも作成できます。url-whitelistは、安全なサイトや許可されたサイトのリストを管理
者が作成できるようにすることで、
この機能を実現します。
• パターン更新（pattern-update）オプション（juniper-express-engineまたはkaspersky-lab-engine設定
階層の下に存在）
を使用すると、以下のように、
アンチウィルスエンジンとシグネチャデータベースの更新のコン
トロールが可能になります。
• no-auto-update：このオプションでは、
アンチウィルスエンジンおよびシグネチャデータベースの自動ダウ
ンロード・更新を無効にします。新しいデータベースのダウンロード処理はトラフィックに悪影響を及ぼすの
で、データベースのアップグレード中はスキャンエンジンの処理を省略するよう選択することも可能です。
• interval：このオプションでは、
どのくらいの頻度でデータベースサーバーに対してデータベースの新しい
バージョンの有無を確認するのか指定します。
• url：このオプションでは、データベースサーバーのURLを指定できます。URLが指定されていない場合、デ
フォルトのURLが使用されます（推奨設定）。
MIME、URLホワイトリスト
（url-whitelist）、およびパターン更新（pattern-update）オプションはグローバル設定
です。つまり、特定のアンチウィルスプロファイルに付随せず、
プロファイル全体で継承されることを意味します。残り
のオプションはアンチウィルス固有の設定であり、ポリシーまたはプロトコル単位に設定します。
ポリシーまたはプロトコル単位のオプション
フォールバックオプション（fallback-options）は、特定の条件が原因でトラフィックをスキャンできない場合に、
SRXシリーズデバイスまたはJシリーズルーターで実行するアクション（ブロックまたは許可）をコントロールしま
す。
この条件の例としては、
ファイルサイズが許容値の上限を超えた場合や、データベースがロード処理の途中であ
る場合が挙げられます。
通知オプション（notification-options）は、検知済みのウィルス、
フォールバックアクションが原因でブロック済み
のトラフィック、許可済みで未スキャンのトラフィックといった情報をユーザーに通知する場合に使用します。HTTP
およびFTPでは、通知はプロトコルで伝達（ピギーバック）されます。たとえば、HTTP要求の実行中にウィルスが検
知された場合、
アクセスしようとしたページについてのカスタムエラーメッセージがユーザーに表示されます。電子
メールプロトコル、SMTP、IMAP、およびPOP3では、
メール受信者（オプションで送信者）に攻撃メールについて通
知するエラーメールメッセージが代わりに生成されます。
Copyright © 2014, Juniper Networks, Inc.
5
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
スキャンオプション（scan-options）は、表1に詳細を示しているように、各スキャンエンジンのオプションをコント
ロールします。
表1：スキャンオプション
オプション
Kaspersky LabエンジンジュニパーネットワークスExpressエンジン
コンテンツサイズの上限
はい
（content-size-limit）
インテリジェントプレスクリーニングはい
（intelligent-prescreening）
タイムアウト
（timeout）
はい
スキャンモード/スキャン拡
はい
張子（scan-mode/scanextension）
展開レイヤーの上限
はい
（decompress-layer-limit）
はい
はい
はい
いいえ
いいえ
（単一の圧縮レベルのみをサポート）
コンテンツサイズの上限（content-size-limit）、タイムアウト（timeout）、および展開レイヤーの上限
（decompress-layer-limit）では、エンジンがフォールバックオプション（fallback-options）に基づいてファイル
を破棄または転送する場合の条件として、
ファイルサイズの上限、時間（秒単位）、および圧縮階層をコントロールし
ます。
インテリジェントプレスクリーニング（intelligent-prescreening）は、パフォーマンスを改善し、転送時の遅延を軽
減する目的で使用します。具体的には、エンジンがファイル全体を受信する前に、いくつかの初期パケットを検査す
ることで、悪意のあるコードがファイルに含まれているかどうか、エンジン側で判定できるようにします。
ファイルが
安全であると判定された場合、
スキャンは省略され、
ファイルは転送されます。
スキャンモードが"all"に設定されていると、
ファイルの種類（拡張子）に関係なく、エンジンはすべてのファイルをス
キャンします。
これに対して、拡張子に基づくスキャンモード（scan-extension）では、
スキャン対象に設定するファ
イル拡張子のリストを管理者側で指定できます。
設定例
このセクションでは、シンプルな導入シナリオをいくつか紹介してから、そのシナリオに基づいて、Junos OSのアン
チウィルス機能を具体的に紹介します。紹介する例はすべて、以下のリファレンスネットワークに基づいています。
Trust Zone
Untrust Zone
インターネット
図7：リファレンスネットワーク
デフォルト設定の使用
最初の例は、
シンプルな設定です。使用するのは、Kasperskyのフルアンチウィルスエンジンであり、Trust Zoneか
らUntrust Zoneのインターネット部分に対して開始されたセッション内で、悪意のあるコードをスキャンします。
policy {
from-zone trust to-zone untrust {
policy match-all {
match {
source-address any;
destination-address any;
application any;
}
then {
6
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
permit {
application-services {
utm-policy default-av;
}
}
}
}
}
}
utm {
feature-profile {
anti-virus {
type kaspersky-lab-engine;
}
}
utm-policy default-av {
anti-virus {
http-profile junos-av-defaults;
ftp {
upload-profile junos-av-defaults;
download-profile junos-av-defaults;
}
smtp-profile junos-av-defaults;
pop3-profile junos-av-defaults;
imap-profile junos-av-defaults;
}
}
}
最初の設定では、Junos OSのデフォルトのアンチウィルスプロファイルを利用しています。
プロファイルのデフォ
ルト設定は、編集モードのCLI（command-line interface）から"show groups junos-defaults security utm
feature-profile anti-virus kaspersky-lab-engine"と入力すると表示できます。
profile junos-av-defaults {
fallback-options {
default log-and-permit;
corrupt-file log-and-permit;
password-file log-and-permit;
decompress-layer log-and-permit;
content-size log-and-permit;
engine-not-ready log-and-permit;
timeout log-and-permit;
out-of-resources log-and-permit;
too-many-requests log-and-permit;
}
scan-options {
intelligent-prescreening;
scan-mode all;
content-size-limit 10000;
timeout 180;
decompress-layer-limit 2;
}
notification-options {
virus-detection {
type message;
notify-mail-sender;
custom-message “VIRUS WARNING”;
}
fallback-block {
type message;
notify-mail-sender;
Copyright © 2014, Juniper Networks, Inc.
7
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
}
}
}
感染したファイルをダウンロードしようとしたユーザーに対して、以下のメッセージが表示され、
ダウンロードはブ
ロックされます。
VIRUS WARNING
88.198.38.136:80->10.1.1.11:42652 Download
contaminated file: www.eicar.org/download/eicar.com
with virus EICAR-Test-File
デフォルトのプロファイルは、Juniper ExpressAVエンジンでも使用できます。その場合の設定は、以下のとおりで
す。
policy {
from-zone trust to-zone untrust {
policy match-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy default-av;
}
}
}
}
}
}
utm {
feature-profile {
anti-virus {
type juniper-express-engine;
}
}
utm-policy default-av {
anti-virus {
http-profile junos-eav-defaults;
ftp {
upload-profile junos-eav-defaults;
download-profile junos-eav-defaults;
}
smtp-profile junos-eav-defaults;
pop3-profile junos-eav-defaults;
imap-profile junos-eav-defaults;
}
}
}
8
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
デフォルトのデータベース自動アップグレードの変更
Kasperskyエンジンのデフォルト設定では、1時間ごとにデータベースの更新をチェックしています。デフォルトでは、
トラフィックを検査する必要があるときに、データベースのアップグレードが進行中である場合、スキャンエンジン
はトラフィックを許可して、
トラフィックのエンドポイント、エラーメッセージ、およびファイル名（HTTP要求の場合は
URL）を示すログメッセージを生成します。
Jan 21 08:42:39 172.19.101.42 RT_UTM:AV_SCANNER_ERROR_SKIPPED_MT:AntiVirus:Content from
88.198.38.136:80 to 10.1.1.11:42659 www.eicar.org/anti_virus_test_file.htm was not scanned
because scan-engine error or constraint with code 14 for scan engine is not ready.
この例では、デフォルト設定に変更を加えて、新しいデータベースがロードの途中である場合は、
トラフィックを破棄
しています。また、
トラフィックへの悪影響を軽減するため、更新チェックの頻度を変更することで、データベースの
アップグレード処理を1日1回に制限しています。データベースのアップグレードが進行中である場合は、数分後に操
作を再試行するよう通知するメッセージがユーザーに送信されます。
policies {
from-zone trust to-zone untrust {
policy match-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy av;
}
}
}
}
}
}
utm {
feature-profile {
anti-virus {
type kaspersky-lab-engine;
kaspersky-lab-engine {
pattern-update {
interval 1440;
}
profile drop-on-error {
fallback-options {
default log-and-permit;
engine-not-ready block;
}
notification-options {
fallback-block {
custom-message “File dropped due to db upgrade, please retry in
a few minutes”;
}
}
}
}
}
}
utm-policy av {
anti-virus {
http-profile drop-on-error;
Copyright © 2014, Juniper Networks, Inc.
9
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
ftp {
upload-profile drop-on-error;
download-profile drop-on-error;
}
smtp-profile drop-on-error;
pop3-profile drop-on-error;
imap-profile drop-on-error;
}
}
}
前の設定では、
アップグレードの途中でWebページにアクセスしようとしたユーザーに、以下の通知メッセージが表
示されます。
Request was dropped
File dropped due to db upgrade, please retry in a few minutes
88.198.38.136:80->10.1.1.11:42687 Download request was dropped due to AV scan engine not
ready.
And administrators will still receive a syslog message indicating that some data was
dropped.
Jan 21 09:05:59 172.19.101.42 RT_UTM:AV_SCANNER_DROP_FILE_MT:AntiVirus:Content from
88.198.38.136:80 to 10.1.1.11:42687 www.eicar.org/anti_virus_test_file.htm was dropped
because
scan-engine error or constraint with code 14 for scan engine is not ready.
特定のファイルタイプの除外
一部のファイルタイプは、本質的に無害です。
したがって、場合によっては、拡張子とMIMEタイプに基づいてスキャ
ンエンジンの処理を省略しても安全です（この場合、パフォーマンスが向上すると同時に、セキュリティが低下すると
いうデメリットがあります）。前の例に変更を加えて、MIMEタイプtext/のファイルはスキャンエンジンの処理を省略
するとともに、
タイプtext/htmlのファイルはスキャン対象に設定します。
注：以下の設定は、単に例示するためのものであり、
ジュニパーネットワークスが推奨するセキュリティ戦略というわ
けではありません。セキュリティ戦略は導入事例によって異なり、導入事例ごとにパフォーマンスとセキュリティのト
レードオフを考慮する必要があります。
policies {
from-zone trust to-zone untrust {
policy match-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy av;
}
}
log {
session-init;
session-close;
}
}
10
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
}
}
}
utm {
custom-objects {
mime-pattern {
bypass {
value text/;
}
force {
value text/html;
}
}
}
feature-profile {
anti-virus {
mime-whitelist {
list bypass;
exception force;
}
type kaspersky-lab-engine;
kaspersky-lab-engine {
pattern-update {
interval 1440;
}
profile bypass-text {
fallback-options {
default log-and-permit;
engine-not-ready block;
}
notification-options {
fallback-block {
custom-message “File dropped due to db upgrade, please retry in
a few minutes”;
}
}
}
}
}
}
utm-policy av {
anti-virus {
http-profile bypass-text;
ftp {
upload-profile bypass-text;
download-profile bypass-text;
}
smtp-profile bypass-text;
pop3-profile bypass-text;
imap-profile bypass-text;
}
}
}
Copyright © 2014, Juniper Networks, Inc.
11
APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
アンチウィルスデータベースの更新
アンチウィルスデータベースは、以下の運用モードコマンドを使用して、手動でアップグレードできます。
>request security utm anti-virus [kaspersky-lab-engine|juniper-express-engine] patternupdate
データベースの更新結果を表示するには、以下のコマンドを発行します。
>show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date:2009-11-21
Update server: http://update.juniper-updates.net/AV/SRX210/
Interval:1440 minutes
Pattern update status: next update in 1438 minutes
Last result: already have latest database
Anti-virus signature version:01/20/2009 04:33 GMT, virus records:488620
Anti-virus signature compiler version:N/A
Scan engine type: kaspersky-lab-engine
Scan engine information: last action result:No error(0x00000000)
データベースを削除する運用モードコマンドも用意されており、アンチウィルスの使用を停止するときに領域を開
放する場合や、以下に示すように、データベースを強制的に再ロードする場合に便利です（データベースの再ロード
は、通知メッセージをテストする場合に役立ちます）。
>request security utm anti-virus [kaspersky-lab-engine|juniper-express-engine] patterndelete
>request security utm anti-virus [kaspersky-lab-engine|juniper-express-engine] patternreload
モニタリング
アンチウィルスエンジンのステータスは、以下に示すように、"show security utm anti-virus status"コマンドで
表示できます。
プロトコルの解析やスキャンについての情報を示すカウンタが表示されます。
>show security utm anti-virus statistics UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 1
URL-whitelist passed: 0
Forwarded to scan engine: 13
Scan Mode:
scan-all: 13
Scan-extension: 0
Scan Code:
clear: 6
Infected: 7
Password files 0
Decompress layers: 0
Corrupt files: 0
Out of resources: 0
Internal errors: 0
12
Copyright © 2014, Juniper Networks, Inc.
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
Fall back: log-and-permit block
Engine not ready: 2 2
Password file: 0 0
Decompress layer: 0 0
Corrupt files: 0 0
Out of resources: 0 0
Timeout: 0 0
Maximum content size: 0 0
Too many requests: 0 0
Others: 0 0
このコマンドは、正しいセキュリティポリシー（UTMプロファイルの適用対象であるポリシー）によってトラフィックが
実際に処理されることを確認する場合に役立ちます。"show security flow session"コマンドはセッションテーブ
ルを検査して、特定のトラフィックを処理しているポリシーを確認します。
Session ID:3686, Policy name: match-all/6, Timeout:4
In:10.1.1.11/42756 --> 88.198.38.136/80;tcp, If: fe-0/0/5.0
Out:88.198.38.136/80 --> 172.19.101.42/1090;tcp, If: ge-0/0/0.0
…
ライセンス
使用するエンジンの種類に関係なく、
アンチウィルス機能を有効にするには、
ライセンスが必要です。インストール
済みのライセンスは、"show system license"コマンドで表示できます。
pato@SRX210-1# run show system license License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
av_key_kaspersky_engine 1 1 0 2009-11-20
anti_spam_key_symantec_sbl 0 1 0 2009-11-20
wf_key_surfcontrol_cpa 0 1 0 2009-11-20
idp-sig 0 1 0 2009-11-20
…
00:00:00
00:00:00
00:00:00
00:00:00
UTC
UTC
UTC
UTC
まとめ
Junos OSリリース9.5では、SRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターのアンチウィ
ルス機能が導入されました。
この機能により、
ウィルス、
トロイの木馬、ルートキット、
ワームなどを効果的に防御でき
るようになります。
この機能はファイアウォールの一般的な機能として長年にわたって利用されていますが、従来と
同様に、セキュリティ戦略に欠かせない要素であり、マルウェアがエンドポイントに到達する前にゲートウェイで阻止
します。
Copyright © 2014, Juniper Networks, Inc.
13
APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのアンチウィルス
ジュニパーネットワークスについて
ジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウ
ド事業者にいたるまで、
ジュニパーネットワークスは、ネットワークの利便性と経済性を変え、ビジネスを変革するソ
フトウェア、シリコン、システムを提供しています。ジュニパーネットワークスに関する詳細な情報は、以下をご覧くだ
さい。
http://www.juniper.net/jp/ 、Twitter 、Facebook
日本
米国本社
アジアパシフィック、
ヨーロッパ、中東、
アフリカ
ジュニパーネットワークス株式会社
Juniper Networks, Inc.
Juniper Networks International B.V.
東京本社
〒163-1445
東京都新宿区西新宿3-20-2
東京オペラシティタワー45F
1194 North Mathilda Ave
Sunnyvale, CA 94089
USA
Boeing Avenue 240
1119 PZ Schiphol-Rijk
Amsterdam, The Netherlands
電話
電話
FAX
電話
FAX
03-5333-7400
03-5333-7401
西日本事務所
〒541-0041
大阪府大阪市中央区北浜1-1-27
グランクリュ大阪北浜
URL http://www.juniper.net/jp/
888-JUNIPER
(888-586-4737)
または 408-745-2000
FAX 408-745-2100
URL
31-0-207-125-700
31-0-207-125-701
http://www.juniper.net
Copyright© 2014, Juniper Networks, Inc. All rights reserved.
Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録
商標または商標です。
また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所
有権があります。
ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。
ジュニパーネットワ
ークスは、本発行物を予告なく変更、修正、転載、
または改訂する権利を有します。
3500158-002 JP APR 2014
14
Copyright © 2014, Juniper Networks, Inc.

Download Report