SRX シリーズスタディガイドパート 2 - Juniper …... 目次 • v 目次このスタディガイドでは、Web フィルタリング、アンチウィルス、アンチスパム、およびコンテンツ・

SRX シリーズスタディガイド－パート 2

本資料は認定資格の取得を目的とし作成された英語の資料を、Web フィルタリング、アンチウィルス、アンチスパム、およびコンテンツ・フィルタリングについて

学習していただく目的で日本語化した資料となります。本文に認定資格に関する記載がある場合もございますが、本資料は認定資格の取得を目的にはしておりませんので、あらかじめご了承ください。

本資料は、Juniper Networks, Inc. によって作成されました。

ジュニパーネットワークス Education Services の書面による事前の承諾なしに、いかなる形式においても、このドキュメントの全部または一部を複製または転送す

ることは法律で禁じられています。

Juniper Networks、Junos、Steel-Belted Radius、NetScreen、および ScreenOS は、米国およびその他の国における Juniper Networks, Inc. の登録商標です。ジュ

ニパーネットワークスのロゴ、Junos のロゴ、および JunosE は、Juniper Networks, Inc. の商標です。その他すべての商標、サービスマーク、登録商標、登録サー

ビスマークの所有権は、各所有者に帰属します。


Copyright © 2013, Juniper Networks, Inc.

All rights reserved.Printed in USA.

このドキュメントに記載されている内容は、上記の日付の時点で最新の情報です。

本ドキュメントの情報は、入念に検証されたものであり、ソフトウェアリリース 11.4R1.6 に対して正確なものとみなします。ただし、本ドキュメントの記載内容

に誤りがある場合でも、ジュニパーネットワークスは一切責任を負いません。また、ジュニパーネットワークスは、いかなる場合でも、本ドキュメントの不備また

は欠損を原因とする直接的、間接的、特別な、典型的、偶発的、または結果的な損害について、そのような損害の可能性について報告されていた場合であっても、

一切責任を負いません。

ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

2000 年問題に関する通知

ジュニパーネットワークスのハードウェア製品およびソフトウェア製品は、2000 年問題の影響を受けない、2000 年問題に準拠した製品です。Junos オペレーティ

ングシステムには、2038 年まで時間に関する既知の制約はありません。ただし、NTP アプリケーションには、2036 年に何らかの問題が発生することが分かって

います。

ソフトウェアライセンス

ジュニパーネットワークスのソフトウェア使用に関する条件は、ソフトウェアに付属するソフトウェアライセンス、または該当する範囲で、お客様とジュニパーネットワークスまたはジュニパーネットワークスの代理店との間で取り交わされる契約条項に記載されています。ジュニパーネットワークスのソフトウェアを使用することで、ライセンスの諸条件を理解し、その制限に従うことに同意したものとみなされます。一般的に、ソフトウェアライセンスは、ジュニパーネットワークスのソフトウェアの許可される使用方法を制限するものであり、特定の用途に対する禁止事項が記載されている場合があります。また、ライセンスが自動的に終了する条件が明示されている場合があります。詳細については、ソフトウェアライセンスをお読みください。

目次

第 1 章： UTM の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1-1

第 2 章：アンチスパム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2-1

第 3 章：完全ファイルベースのアンチウィルスおよび高速アンチウィルス . . . . . . . . . . . . . . . . . . . .3-1

第 4 章：コンテンツ・フィルタリングおよび Web フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . .4-1

www.juniper.net 目次 • iii

iv • 目次 www.juniper.net

目次

このスタディガイドでは、Web フィルタリング、アンチウィルス、アンチスパム、およびコンテンツ・

フィルタリングについて説明します。このコースでは、Junos オペレーティングシステムの統合脅威管

理（UTM）機能の設定および監視について学びます。

第 1 章： UTM の概要

第 2 章：アンチスパム

第 3 章：完全ファイルベースのアンチウィルスおよび高速アンチウィルス

第 4 章：コンテンツ・フィルタリングおよび Web フィルタリング

www.juniper.net 目次 • v

ドキュメントの表記規則

CLI および GUI テキスト

コース全体を通して、コマンドライン・インターフェイス（CLI）やグラフィカル・ユーザー・インター

フェイス（GUI）を頻繁に引用します。ドキュメントを読みやすくするために、GUI と CLI は本文とは

異なる書体で表記します。

入力テキストと出力テキスト

このガイドでは、ユーザーがテキストを入力しなければならないケースも頻繁に登場します。その場合、ユーザーが入力するコンテキストは、以下のインスタンスで表示されます。このガイドでは、入力するテキストを太字で表記することで、表示されるテキストと区別しています。

定義済みおよび未定義の構文変数

さらに、このコースでは通常のテキストと構文変数を区別して表記しています。また、値がすでに割り当てられている構文変数（定義済み変数）と、値を割り当てる必要がある構文変数（未定義変数）も区別しています。これらの書体は入力テキストの書体と組み合わせて使用されている場合があるので注意してください。

書体説明使用例

Franklin Gothic 標準の文章。ラボガイドやスタディガイドの多くがこの書体で表記されています。

Courier New コンソールテキスト：

• スクリーンキャプチャ

• コマンド以外の関連構文

GUI のテキスト要素：

• メニュー名

• テキストフィールドのエントリ

commit complete

Exiting configuration mode

[File] > [Open] を選択し、

[Filename] テキストボックスで Configuration.conf をクリックし

ます。


通常の CLI

通常の GUI

特別な違いはない。 Physical interface:fxp0, Enabled

[Configuration] > [History] の順にクリックして、設定の履歴を表示します。

CLI の入力

GUI の入力

入力する必要があるテキスト。 lab@San_Jose> show route[File] > [Save] の順に選択し、

[Filename] フィールドに config.ini と入力します。


CLI の変数

GUI の変数

変数の値が既に割り当てられているテキスト。

policy my-peers

ダイアログで [my-peers] をクリック

します。

未定義の CLI

未定義の GUI

ユーザーの裁量で変えられる変数の値を示すテキスト。ラボガイドに示されている変数の値は、ユーザーが入力する値とは異なる場合がある。

set policy policy-name と入力します。

ping 10.0.x.y[File] > [Save] を選択し、

[Filename] フィールドに filename と入力します。

vi • ドキュメントの表記規則 www.juniper.net

追加情報

本発行物について

本ドキュメントは、ソフトウェアリリース 11.4R1.6 を使用して作成およびテストされています。別の

バージョンのソフトウェアでは、異なる動作をする場合があります。そのため、エラーを報告する前に、必ずお使いのコードのバージョンに対応したドキュメントとリリースノートを確認してください。

本ドキュメントは、ジュニパーネットワークスの Education Services 開発チームによって作成および管

理されています。ドキュメントの品質改善のためのご意見やご質問は [email protected] までお送り

ください。

技術文書

技術マニュアルとリリースノートは、さまざまな形式でインターネットから直接表示または印刷できます。

• http://www.juniper.net/techpubs/ にアクセスします。

• 目的のソフトウェアまたはハードウェアのリリース、必要なタイトルを特定し、ドキュメントを表示または印刷する形式を選択します。

ドキュメント一式および CD は、寄りのジュニパーネットワークス営業所またはお客様担当者から入

手できます。

ジュニパーネットワークスのサポート

技術サポートについては、ジュニパーネットワークスの Web サイト（http://www.juniper.net/customers/support/）をご覧いただくか、電話 1-888-314-JTAC（米国内）または 408-745-2121（米

国以外）にてお問い合わせください。

www.juniper.net 追加情報 • vii

viii • 追加情報 www.juniper.net


第 1 章： UTM の概要

この章の内容：

• 支社がネットワークマネージャに提示する課題

• 統合脅威管理（UTM）の主な機能

• 支社の課題に対する主な機能の役割

• UTM が利用できる SRX ハードウェアデバイス

• 特別なライセンスが必要な UTM の機能

支社環境の脆弱性

支社のネットワークは、今日の市場において収益に大きな影響を与え、企業が成功する上で中心的な役割を担っています。支社は通常、中心組織や本社と比較すると、比較的少数のコンピュータリソースで運用しています。通常、支社は顧客と接する機会が多いところです。そのため、支援するアプリケーションや信頼できるアプリケーションパフォーマンス、セキュリティへの要求が高まります。どの支社のネットワークにも一般的なセキュリティの脆弱性は存在します。これらの脆弱性には、スパムやフィッシング攻撃、ウィルス、トロイの木馬やスパイウェアに感染したファイル、未承認の Web サイトへのアクセス、未承認のコンテンツなどが含ま

れます。

© 2013 Juniper Networks, Inc. All rights reserved. UTM の概要 • 1 － 1


UTM によるセキュリティの実装と強化

UTM のセキュリティ機能は支社の SRX デバイスに実装され、スパムやウィルス、ワーム、スパイウェア、トロイの木馬、マルウェア

などから企業を保護します。UTM を使えば、アンチスパムやアンチウィルス、Web フィルタリング、コンテンツ・フィルタリング保

護を含む包括的なセキュリティ機能一式を実装することができます。UTM のこれらの機能によって、脅威がネットワークに侵入する

前に、SRX ゲートウェイで食い止めることができます。

フローモジュールサービスで実行する UTM 機能

この図は、トラフィックが Junos OS のフローモジュール内をどのように転送され、UTM の機能がどの段階で実行されるかを示して

います。フローモジュールは転送パスに統合されており、転送パスではハードウェアによってデータプレーンパケット転送が行われます。フローモジュールでは、サービスの処理中に UTM 機能を実行します。インテリジェントパケット処理では、1 つのフローに関

連付けられたパケットフロー処理には必ず 1 つのスレッドが存在します。Junos OS は、リアルタイム処理によって、セッション単位

のパケット転送を可能にします。統合脅威管理プロセス（UTMD）が UTM 機能を実行し、あらゆる種類の脅威からネットワークを保

護します。flowd モジュールと論理的パケットフローについては、JSEC と AJSEC のコースで詳しく説明します。

1 － 2 • UTM の概要 © 2013 Juniper Networks, Inc. All rights reserved.


UTM のトラフィック処理の概要

この図は、Junos のフローモジュールサービス内で行われる UTM のトラフィック処理を示しています。トラフィックが SRX デバイ

スのインターフェイスに入ると、セキュリティポリシーがトラフィックを処理します。そのセキュリティポリシーに評価対象のトラフィックを特定する UTM ポリシーが含まれている場合、TCP プロキシを使って、一致するトラフィックを処理します。TCP プロキシ

は、TCP クライアントと TCP サーバーの両方で TCP セッションを終了および開始するために使用されます。TCP プロキシは、データ

の流れをアプリケーションプロキシにフィードします。アプリケーションプロキシには、アプリケーションプロトコルの情報を抽出するプロトコルパーサーが含まれています。抽出されたプロトコルの情報は、さまざまな UTM の機能モジュールによって評価されます。

アンチスパム

小中規模向け SRX シリーズには、ネットワークレベルおよびアプリケーションレベルの攻撃を防御し、同時にコンテンツベースの攻

撃を阻止する包括的な UTM 機能が含まれます。アンチスパム機能は、送受信する SMTP 電子メールトラフィックをスキャンし、迷惑

メールトラフィックにタグを付けるか、またはブロックします。

アンチウィルス

アンチウィルス機能は、スキャンエンジンとウィルス・シグネチャ・データベースを使って、ウィルスに感染したファイルやトロイの木馬、ワーム、スパイウェア、その他の悪質なコードから保護します。

コンテンツ・フィルタリング

コンテンツ・フィルタリングには、基本的なデータの損失を防ぐ機能があります。コンテンツ・フィルタリングは、 MIME タイプ、

ファイルの拡張子、プロトコルコマンドに基づき、トラフィックをフィルタします。

Web フィルタリング

Web フィルタリングは、ローカルの Websense サーバー、またはインターネットベースの SurfControl サーバーのいずれかの使用を

選択できます。Web フィルタリングは、生産性や企業ユーザーの行動を追跡する非常に重要なサービスです。

設計上の考慮事項

UTM の一部の機能には、アンチウィルスなど、通常よりも高い CPU 処理能力が必要なものがあります。同時にスキャンできるファイ

ルの数やスキャンできるファイルの容量は、使用可能なメモリや CPU サイクルによって制限されます。使用可能な CPU やメモリのレ

ベルに応じて、アンチウィルスにもさまざまなオプションがあります。アンチウィルスのオプションについては、3 章で詳しく説明

します。



設定コンポーネント

UTM を SRX デバイスに初めて実装する際は、custom-objects の階層レベルから始めます。カスタムオブジェクトは UTM の全機

能に対するグローバルパラメータで、オブジェクトリストを作成するために使用します。オブジェクトリストには IP アドレス、ドメ

イン名、電子メールアドレス、URL Web サイトなどを構成するブロックが含まれており、さまざまな UTM 機能プロファイルで使用

されます。UTM の設定の多くは機能プロファイル内で行います。機能プロファイルでは、UTM の各機能の動作を指定します。たとえ

ば、アンチウィルスの機能プロファイル設定では、プロトコルのスキャン方法や、スパムが見つかった場合の処理方法を指定します。UTM ポリシーは、UTM のさまざまな機能プロファイルを適用するときの中心的な役割を担います。セキュリティポリシーは UTM ポリシーを参照し、トラフィックがゾーン間を通過するときに SRX デバイスが UTM の高度なセキュリティ機能を提供できるようにし

ます。

UTM ポリシーのフロー

Junos OS の UTM ポリシーでは、トラフィックを分類し、適切なモジュールで処理されるよう転送する中心的役割をセキュリティポリシーが担います。SRX デバイスのセキュリティゾーンを通過するトラフィックは、セキュリティポリシーと照合されます。UTM 対応プロトコルに一致する UTM ポリシー、すなわち SMTP、ポスト・オフィス・プロトコル 3（POP3）、インターネット・メッセージ・

アクセス・プロトコル（IMAP）、ハイパーテキスト・トランスファー・プロトコル（HTTP）、または FTP がセキュリティポリシーに

含まれている場合、アプリケーション・プロトコルのデータが UTM 機能プロファイルに送られます。それぞれの機能プロファイルは、

各機能（アンチウィルス、コンテンツ・フィルタリング、Web フィルタリング、アンチスパム）に合わせて設定を行います。

UTM のセッションとステータスの表示

この図は、UTM の動作を確認する CLI コマンドを示します。ここでは、

SRX240 デバイスの出力結果を示しています。show security utmsession コマンドを実行すると、大 UTM セッション数、割り当てら

れた UTM セッション数、アクティブな UTM セッション数など、UTM のセッションに関する一般的な情報が表示されます。UTM セッション数に

は、指定した UTM プロファイルのセキュリティポリシーに一致するセッ

ションや、UTM に設定したプロトコル（HTTP、IMAP、POP、SMTP、ま

たは FTP）を使用するセッションがカウントされます。show securityutm status コマンドを実行すると、UTM サービスが実行されているか

どうかを表示します。



UTM のハードウェアサポート

UTM 機能がサポートされるのは、高メモリの支社 SRX プラットフォームのみです。使用している SRX デバイスのバージョンが高メ

モリか低メモリかを調べるには、show chassis hardware コマンドを実行します。この図は、このコマンドを実行したときの出

力を示しています。シャーシの説明には、SRX プラットフォームのモデル番号の後に H または B のいずれかが付きます。この場合、

出力には SRX240-H と表示されています。この H は高メモリ、B は基本メモリ（低メモリ）のバージョンをそれぞれ指します。UTMには Junos OS 9.5 以降のバージョンが必要です。SRX100 には、データの処理能力を高めるために高速アンチウィルスと共に使用さ

れるコンテンツ・セキュリティ・アクセラレータ（CSA）がありません。

UTM 機能のシャーシクラスタサポート

UTM 機能は、アクティブ / アクティブとアクティブ / バックアップの両方のシャーシクラスタ構成でサポートされます。この機能は、

パケット転送エンジン（PFE）を両方のクラスタノードでアクティブにできるアクティブ / アクティブのシャーシクラスタ構成の UTMサポートを提供します。UTM は、ステートレスの PFE アクティブ / アクティブのシャーシクラスタ構成をサポートします。この構成

では UTM ステートがクラスタノード間で同期されません。シャーシクラスタを持つ UTM では、複数の種類のフェイルオーバーがサ

ポートされています。

• 手動フェイルオーバー

• RG0 自動フェイルオーバー

• RG1+ 自動フェイルオーバー

• flowd の再起動によるフェイルオーバー

• リブートによるフェイルオーバー

UTM の次の機能では、シャーシクラスタのサポートが有効です。

• アンチスパム

• 高速アンチウィルススキャン

• 完全ファイルベースのアンチウィルススキャン

• コンテンツ・フィルタリング

• Web フィルタリング



UTM 機能のプロキシサーバーサポート

UTM 機能でサポートされるプロキシサーバーには、SRX100、SRX210、SRX220、SRX240、SRX650、および J Series のすべての

デバイスが含まれます。企業ネットワークによっては、社内ネットワークデバイスが直接インターネットに接続されず、プロキシサーバーを経由してのみインターネットに接続している場合があります。支社の SRX デバイスでは、プロキシサーバーを介して UTM 機能がサポートされます。

ライセンス

この表は、ライセンスが必要な UTM 機能を示しています。



UTM ライセンスの確認

UTM を正しく動作させるには、ライセンスが必要です。この図は、show system license コマンドを実行したときの出力結果を示

します。UTM の機能ごとにインストールされたライセンスが表示されます。UTM ライセンスのインストールと確認方法については、

「Initial Setup Lab」で説明します。

復習問題

解答

1.

UTM でサポートされている 4 つの機能は、アンチスパム、アンチウィルス、Web フィルタリング、コンテンツ・フィルタリングです。

2.

UTM ポリシーは、UTM 機能プロファイルをアプリケーショントラフィックに適用するために使用します。セキュリティポリシーは、 SRX デバイスのセキュリティゾーン間のトラフィックを評価するために使用します。UTM ポリシーは、セキュリティポリシーに適用さ

れます。

3.

ライセンスが不要な UTM の機能やサブ機能は、コンテンツ・フィルタリング、Websense の Web フィルタリング、ローカルリストの Web フィルタリングです。





第 2 章：アンチスパム


• アンチスパムの方法と用語

• 統合脅威管理（UTM）がトラフィックからスパムを検出する方法

• 効果的なアンチスパム UTM ポリシーの設定

• アンチスパムの動作の確認および監視

スパムとは

スパムとは、迷惑な電子メールのことをいいます。通常これらのメールは、商業機関や悪意を持ったグループ、詐欺グループなどから送られます。アンチスパムとは、スパムがネットワークに侵入する前に防ぐ機能です。アンチスパムとは、SRX シリーズサービ

ス・ゲートウェイ・デバイスのジュニパー UTM スイートの機能の 1 つで、UTM スイートにはコンテンツ・フィルタリング、アンチ

ウィルス、Web フィルタリングなどが含まれます。アンチスパム機能は、送信された電子メールがスパムかどうかを検証します。ス

パムであるとみなされたメールは、ブロックされるか、メールのヘッダーまたは件名に事前にプログラムされた文字列がタグ付されます。SRX デバイスでは、次に説明する 2 つの方法でアンチスパムを実行します。

© 2013 Juniper Networks, Inc. All rights reserved. アンチスパム • 2 － 1


外部スパム・ブロック・リスト・サーバーを使ってスパムを識別する

アンチスパムの 1 つ目の方法は、サーバーベースのアンチスパムです。サーバーベースのアンチスパムとは、インターネット上のサー

ドパーティ製スパム・ブロック・リスト（SBL）・サーバーを使い、SRX デバイスがスパムを識別し、除去します。SBL サーバーは、

絶えず更新される IP ベースのスパム・ブロッキング・サービスを使用します。既知のスパム送信元の IP リストを絶えず追加すること

で、新の状態を維持します。

SBL サーバーの要件と制限

SBL サーバーを使用するには、SRX デバイスは次の要件を満たしている必要があります。

まず初めに、有効なアンチスパムのライセンスを購入し、SRX デバイスにインストールす

る必要があります。

また、インターネットを経由して SBL サーバーに接続できなければなりません。サード

パーティ製 SBL サーバーへのエントリは、SRX デバイス上に事前に定義されていて、設定

を変更することはできません。ジュニパーでは、サーバーベースのアンチスパム機能を提供する特定のベンダー（Sophos）と提携しています。

さらに、ドメインネームシステム（DNS）が SBL サーバーにアクセスできる必要があります。そのため、SRX デバイス上で

name-server エントリが正しく定義され、動作する必要があります。SRX デバイスは、DNS を通じて SBL ルックアップを実行しま

す。SBL ルックアップは、電子メールの送信者または中継エージェントの IP アドレスに対して行われます。DNS サーバーから SBLサーバーにリクエストが送られ、SRX デバイスに DNS のレスポンスが返されます。SRX デバイスは DNS のレスポンスを確認し、そ

の電子メールの送信者がスパム送信者であるかどうかを識別します。

このプロセスは、送受信した電子メールが SRX デバイスを通過する際に自動的に行われます。ある IP アドレスが SBL サーバーによっ

てスパムとして識別されるかどうかを手動でテストまたはクエリーできます。このプロセスについては、後の章で説明します。

2 － 2 • アンチスパム © 2013 Juniper Networks, Inc. All rights reserved.


IP アドレス、ドメイン名、電子メールアドレスのローカルでのフィルタリング

アンチスパムの 2 つ目の方法は、ローカルリストを使ってフィルタリングする方法です。この方法では、ホワイトリストとブラック

リストに、IP アドレス、ドメイン名のエントリ、または電子メールのアドレスを手動で追加します。これらのリストは SRX デバイス

にローカルで保存され実行されます。ローカルリストのスパムフィルタリングには、ライセンスは不要です。

ホワイトリストとブラックリストの性質については、次の図で説明します。

ホワイトリスト

この図は、ホワイトリストとブラックリストについて説明しています。ホワイトリストは、SRX デバイスで受け取りを許可する電子メールの送信者を識別します。ホワイトリストに登録された送信者と一致した電子メールは安全であるとみなされます。一致した電子メールは、SRX デバイスを通

過します。

ブラックリスト

ブラックリストには、デバイスで受け取りを拒否する電子メールの送信者を登録します。ブラックリストに登録された送信者と一致した電子メールは危険であるとみなされます。一致した電子メールは、アンチスパムのプロファイル設定で指定したアクションに応じて、ブロックされるか、タグが付けられます。タグのオプションでは、電子メールの件名、またはパケットのプロトコルヘッダーに文字列を追加するよう設定できます。件名にタグを付けることを選択した場合、ユーザー定義の文字列が電子メールの件名の先頭に追加されます。ヘッダーにタグを付けることを選択した場合、ユーザー定義の文字列がパケットのプロトコルヘッダーに追加されます。

どちらかのリストに、IP アドレス、電子メールアドレス、またはドメイン名のエントリを設定することができます。ローカルリスト

では、アスタリスク * や疑問符 ? のワイルドカードを使用できます。ワイルドカードの URL にはすべて先頭に「http://」を付ける必

要があります。アスタリスク * のワイルドカード文字は URL の先頭にあり、それに続いてピリオドが付いている場合にのみ使用でき

ます。疑問符 ? のワイルドカードは、URL の一番後にのみ使用できます。以下のワイルドカードの構文はサポートされています。「

http://*.juniper.net 」以下のワイルドカードの構文はサポートされていません。「http://*」



リストの照合順序

SRX デバイスは、特定の順序でアンチスパムを照合します。まず初に、受信した電子メールをローカルのホワイトリストとブラッ

クリストと照合します。いずれのリストにも一致するものがなかった場合、次に SBL サーバーを照会します。いずれかのリストに一

致するものが見つかった場合、どのリストに一致したか、またデフォルトのスパムアクション（ブロックまたはタグ付け）に応じて、そのアクションを実行します。

照合順序の重要性

ローカルリストを設定する際、SRX デバイスがリストを照合する方法を考慮する必要があります。送信者の IP アドレスは、まず初

にホワイトリスト、次にブラックリスト、後に SBL サーバーの順序で照合されます。一致する IP アドレスが見つからない場合、次

に送信者のドメイン名をホワイトリスト、次にブラックリストと照合します。一致するドメイン名が見つからない場合、次に送信者の電子メールのアドレスをホワイトリスト、次にブラックリストと照合します。

複数のドメインサフィックスをいずれかのリストで設定した場合、SRX デバイスは一番長いサフィックスで照合します。たとえば、送

信者の電子メールのアドレスのドメイン名が「aaa.bbb.ccc」の場合、「aaa.bbb.ccc」に一致するかどうかを照合します。一致するも

のが見つからなかった場合、次に「bbb.ccc」、さらに「ccc」で照合します。SRX デバイスは、IP アドレスの部分一致を判別できませ

ん。リストに一致するものが見つかった場合、それ以上の照合は行われません。

SMTP

SMTP は、電子メールの送信に使用される一般的なプロトコルです。エンドユーザーは、SMTP を使って電子メールを送りますが、受

信には SMTP を使いません。この図では、ユーザー 1 がユーザー 2 に電子メールを送っています。矢印は電子メールが送られる経路

を示します。SMTP は、ユーザー 1 が送信した電子メールをローカルのメールサーバーに送るときに使われます。さらに、このメー

ルをインターネットを経由してユーザー 2 のローカルメールサーバーにリレーするときにも SMTP が使われます。ユーザー 2 のメー

ルサーバーが着信メールを受け取ると、ユーザー 2 とそのローカルメールサーバー間のクライアント接続が、Post Office Protocol 3(POP3)、または Internet Message Access Protocol (IMAP) を介して同期されます。Junos OS 11.4 以降リリースのアンチスパム機能

は、SMTP を使ったフィルタリングのみサポートしているため、この違いは重要です。POP3 や IMAP ではアンチスパム・フィルタリ

ングはサポートされません。



スパムの識別

スパムの識別とは、スパムメールの送信者を特定することを意味します。SBL サーバーは IP ベースのブラックリストでフィルターし、

リストに含まれている IP アドレスをメールサーバーとして無効なアドレスとみなします。メールサーバーの IP アドレスをスパムとし

てリストするには、基準を満たす必要があります。

SBL のスパム識別基準はつぎのとおりです。

• オープンリレーサービスを実行している

• オープンプロキシ（種類はさまざま）を実行している

• ゾンビホスト

• 動的 IP 範囲（メールサーバーのホストには不適切）

• スパムと確認された送信元（スパム送信者の所有する既知の IP）

電子メールにスパムとみなされる要素が何も見つからない場合、通常通りに送信されます。

スパムメールの処理

SRX デバイスでスパムが識別されると、電子メールのトラフィックがブロックされるか、タグが付けられます。ブロックされたスパ

ムは、コネクションレベルまたは電子メールレベルでドロップされます。

コネクションレベルでのブロック：

• SMTP の送信元が、IP アドレスまたはドメイン名に基づきスパムの送信者であることがわかると、その SMTP コネク

ションは拒否されます。

• この場合、SMTP のエラーコードに対応したエラーメッセージが送られ、コネクションが終了します。

電子メールレベルでのブロック：

• SMTP の送信元が、メールアドレスに基づきスパムの送信者であることがわかると、その電子メールは拒否されます。

• この場合、SMTP のエラーコードに対応したエラーメッセージが送信者に送られます。



SRX デバイスによって、IP アドレスまたはドメイン名に基づき識別されたスパムにコネクションでタグが付けられた場合、そのコネ

クションレベル内のすべての電子メールにタグが付けられます。一方、電子メールレベルでスパムにタグが付けられた場合、個々のメールにタグが付けられます。SRX デバイスは、スパムが見つかるごとにログメッセージを生成します。このログには、スパムの送

信者、一致したスパムフィルタの種類、SRX デバイスがとったアクションが記録されます。

アンチスパムの設定

スパムメールを防いだり、受信数を減らすには、カスタムオブジェクト、アンチスパム・プロファイル、および UTM ポリシーを設定

する必要があります。

ローカルリストのスパムフィルタリングを使用する場合、カスタムオブジェクト配下にホワイトリストとブラックリストを設定しなければなりません。サーバーベースのスパムフィルタリングのみを使う場合、カスタムオブジェクト配下にローカルリストを設定する必要はありません。

アンチスパムの feature-profile には、設定したローカルリストを適用します。feature-profile には、デフォルトのスパムア

クションも設定します。アンチスパム・プロファイルを設定した場合、SBL サーバーを有効または無効にする必要があります。

次に、アンチスパム・プロファイルを参照する UTM ポリシーを作成します。後に、UTM ポリシーをセキュリティポリシーに適用

します。



CLI を使ったアンチスパムの設定

この図は、コマンドライン・インターフェイス（CLI）を使った、 UTM のカスタムオブジェクトとアンチスパムの機能プロファイルの

設定を表します。custom-objects の階層の下には、ローカルのホワイトリストとブラックリストを指定します。エントリの照合順

序は、IP アドレス、ドメイン名、電子メールアドレスの順です。

feature-profile 階層の下にホワイトリストとブラックリストを指定し、sbl 階層レベルの下にアンチスパム・プロファイルの設

定を指定します。プロファイルに名前を付けた後（この図では profile1 としています）、sbl-default-server 設定ステートメ

ントで SBL サーバーを使用するかどうかを指定することができます。SBL サーバーを使用しない場合、no-sbl-default-serverを指定します。ローカルリストのフィルタリングのみを使う場合、no-sbl-default-server を指定しなければなりません。

次に、spam-action 階層の下に block または tag のスパムアクションを指定します。ブロックする場合、block コマンドを指定

します。tag-subject というスパムアクションを指定した場合、電子メールの件名に追加するユーザー定義の文字列を指定します。

tag-header というスパムアクションを指定した場合、メールのヘッダーに追加するユーザー定義の文字列を指定します。タグアク

ションは 1 つしか指定できません。



アンチスパムの UTM ポリシー

この図は、UTM とセキュリティポリシーの設定方法を示しています。まず、UTM ポリシーの名前を選択します。この図では、ポリ

シーに spam1 という名前が付けられています。次に、UTM ポリシーのアンチスパムレベルの下にある smtp-profile を指定します。

この図では、プロファイルに profile1 という名前が付けられています。このプロファイルは、前の図の機能プロファイルで作成し

た SBL プロファイルです。

次に、UTM ポリシーをセキュリティポリシーに適用します。セキュリティポリシーは、2 つの適切なゾーンを参照していることを確

認してください。1 つ目は外部から SMTP トラフィックを受け取るゾーン、2 つ目は SMTP サーバーがある場所です。

図に示すように、application-services の拡張 permit アクションを使って UTM ポリシーを適切なセキュリティポリシーに適用

します。



J-Web での UTM オブジェクトの設定

この図は、Junos Web ユーザーインターフェイス（J-Web）を使って UTM カスタムオブジェクトを設定する方法を示しています。UTMの設定は、左側のセキュリティメニューの下にあります。初めにカスタムオブジェクトを設定します。その後、設定したカスタムオブジェクトは、機能プロファイルと UTM ポリシーで使用できます。

J-Web でのアンチスパムの設定

この図は、J-Web を使ってアンチスパムのプロファイルを設定する方法を示しています。カスタムオブジェクトはすでに（前の図に

示したように）設定されているため、アンチスパム・プロファイルにホワイトリストとブラックリストを適用できます。

この図では、ユーザー定義のプロファイルに test という名前が付けられています。プロファイルを編集する際、デフォルトの SBLサーバーを使用することもできますが、識別されたスパムにデフォルトのアクションを使用することもできます。このケースでは、tag-subject オプションが選択され、カスタムタグの文字列に ***spam*** が設定されているため、この文字列がスパムの電子

メールの件名に追加されます。



この画面には、もう 1 つ junos-as-defaults というプロファイルも表示されています。このプロファイルは事前に定義されたシ

ステムプロファイルで、アンチスパムのフォールバックオプションと共に事前に設定されます。次の動作モードコマンドを使うと、デフォルトを表示できます。

user@srx> show configuration groups junos-defaults security utm feature-profile anti-spam sbl { profile junos-as-defaults { sbl-default-server; spam-action block; custom-tag-string ***SPAM***; }}

アンチスパム動作の確認

この図は、電子メールの送信者がスパムと識別されるかどうかを確認するために使用する test コマンドを示しています。この図に

コマンドが表示されています。

テスト文字列に IP アドレスを指定すると、ローカルのホワイトリストとブラックリスト、および SBL サーバーと照合します。テスト

文字列が非 IP アドレス（つまり、ドメイン名やメールアドレス）の場合、ローカルのリストのみと照合します。

この図には、2 つのコマンドの例を示しています。1 つ目の例では、ローカルのブラックリストに設定された IP アドレスに一致して

います。クエリーの返り値は IP アドレスがスパムであることを報告しています。2 つ目の例では、juniper.net というドメイン名

の文字列を照合しています。この文字列はどのリストにも一致するものがないので、NON SPAM という値が返されます。



アンチスパムの監視

この図は、SRX デバイス上でアンチスパムの動作を確認および監視するコマンドを示します。コマンドの前半では、何件の電子メー

ルがスキャンされ、タグ付けされ、ドロップされたかを示しています。

user@srx> show security utm anti-spam statistics UTM Anti Spam statistics:

Total connections: 3 Denied connections: 0Total greetings: 3Denied greetings: 0Total e-mail scanned: 3White list hit: 1Black list hit: 2Spam total: 2Spam tagged: 2Spam dropped: 0DNS errors: 0Timeout errors: 0Return errors: 0Invalid parameter errors: 0

Statistics start time: 11/12/2010 16:32:13Statistics for the last 10 days (permitted emails / spams):day 1: 1/2

出力には、電子メールの合計数と、ホワイトリストまたはブラックリストにヒットした数、スパムメールの合計数が示されます。

次の show コマンドは、ホワイトリストとブラックリストのサーバー情報を含め、接続に関するアンチスパムステータスを表示します。

user@srx> show security utm anti-spam status SBL Whitelist Server:SBL Blacklist Server: msgsecurity.juniper.net

DNS Server: Primary : 208.67.222.222, Src Interface: ge-0/0/0 Secondary: 0.0.0.0, Src Interface: ge-0/0/8 Ternary : 0.0.0.0, Src Interface: ge-0/0/9



このコマンドは、特に SBL サーバーステータスを確認するときに便利です。このコマンドの出力から、SBL サーバーに接続するため

に使用するドメイン名が msgsecurity.juniper.net であり、DNS サーバーが指定されていることも確認できます。このコマンドの出力

では、DNS サーバーに接続するために使用するソースインターフェイスもリストされます。

さらに、スパムが見つかるたびに SRX デバイスはログメッセージを生成します。アンチスパムのログメッセージだけを見るには、パ

イプシンボル（|）と match オプションを使います。

user@srx> show log messages | match antispam

ケーススタディ：アンチスパムの実装

この図は、以下に示すいくつかの図で使用するトポロジーを表しています。説明を簡単にするため、1 つの外部ドメイン（xyz.com）

に注目し、SRX240 デバイスを通じて着信 SMTP トラフィックを送ります。

この図は、このケーススタディの目的を示しています。



UTM の設定

UTM の設定の前半部分は、カスタムオブジェクトです。ここでローカルのホワイトリストとブラックリストを定義します。この設定

では、ホワイトリストは white、ブラックリストは black という名前が付けられています。white リストには、xyz.com というド

メイン名が含まれています。black リストには、[email protected] という電子メールアドレスが含まれています。これらのリストの処

理方法に基づき、ケーススタディの目的はこの設定で達成できます。[email protected] という電子メールアドレスはブロックされる一

方で、xyz.com のその他の電子メールはすべて許可されます。

次の設定は、アンチスパムの機能プロファイルです。ホワイトリストとブラックリストは、address-whitelist および

address-blacklist というコマンドを使って適用します。アンチスパムの機能プロファイルは、[edit security utmfeature-profile anti-spam sbl] 階層の下に作成します。このプロファイルによって、SBL サーバーを有効にし、デフォルト

のスパムアクションを指定することができます。このケーススタディでは、SBL サーバーを有効にし、スパムメールの件名にタグを

付けるようデフォルトアクションを指定します。



UTM とセキュリティポリシーの設定

この図は、UTM とセキュリティポリシーの設定および適用方法を示したものです。UTM ポリシーでは、アンチスパム smtp-profileを設定する必要があります。このプロファイルは、前の図でアンチスパムの feature-profile 階層の下に指定した SBL プロファ

イルの名前です。

ネームサーバーの設定

SBL サーバーを有効にしたら、name-server（DNS サーバー）も設定する必要があります。この図の例で示すアドレスは、パブリッ

ク DNS サーバーのものです。

アンチスパム動作の確認

この図は、アンチスパムのプロファイルをテストし、リストに設定した内容が適切に照合されるかどうかを確認する方法を示します。CLI コマンドでは、ブラックリストに設定した「[email protected]」という文字列をテストします。この図に示した出力では、この文字

列がローカルのブラックリストに一致するため、SRX デバイスはスパムとみなしています。



復習問題

解答

1.

アンチスパムのグローバル UTM 設定要素には、カスタムオブジェクトとして設定するホワイトリストとブラックリストがあります。

2.

スパムを識別するための照合優先順位は、ホワイトリストの IP アドレス、ブラックリストの IP アドレス、SBL サーバーの IP アドレス、

ホワイトリストのドメイン名、ブラックリストのドメイン名、ホワイトリストの電子メールアドレス、ブラックリストの電子メールアドレスの順です。

3.

アンチスパムの動作を確認する CLI コマンドは、test security utm anti-spam profile profile-name test-string test-string?show security utm anti-spam status、および show security utm anti-spam statistics です。





第 3 章：完全ファイルベースのアンチウィルスおよび高速アンチウィルス


• アンチウィルスプロセスがトラフィックを検証する方法

• 完全ファイルベースと高速アンチウィルスの違い

• アンチウィルスの設定

• サポートされたプロトコルで使用できるスキャンオプション

• アンチウィルスの機能の確認

ウィルスとは

ウィルスとは、他の実行可能コードを感染させたり、それに自らを添付することで増殖する実行可能コードです。悪質なウィルスは、ファイルを削除したり、エンドホストシステムをロックアップさせたり、ネットワークの動作を妨げたりします。さらに、ファイルを感染させるだけのウィルスや、偽造データを送りつけて対象のホストやネットワークを動作不能にするものがあります。ウィルスに関連するその他の脅威には、トロイの木馬やルートキット、その他の悪質なコードがあります。通常、ウィルスはプロトコルトラフィック内のファイルやスクリプトに自らを添付することで拡散します。

アンチウィルスとは

アンチウィルスとは、Junos OS の統合脅威管理（UTM）機能の一部で、エンタープライズ・ネットワーク・セキュリティ戦略の重

要な一機能です。小中規模向け SRX ゲートウェイのアンチウィルス機能は、ウィルスがネットワークに侵入する前にゲートウェイ

でウィルスを防ぎます。SRX デバイスでは、スキャンエンジンとウィルス・シグネチャ・データベースが含まれるアンチウィルスモ

ジュールを使います。アンチウィルスモジュールは、ネットワークトラフィックを既知のウィルスのタイプと比較します。ウィルスが検知されると、ファイルはドロップされ、トラフィックの送信者に通知が送られます。アンチウィルススキャンは、独立したライセンスが必要な購読サービスです。アンチウィルスのライセンスキーが失効しても、ローカルに保存されているアンチウィルスシグネチャを更新せずに使い続けることができます。ただしその場合、ローカルデータベースを削除するとアンチウィルススキャンは無効になります。管理者は、2 種類のアンチウィルススキャンのいずれかの方法を選ぶことができます。一度に適用できるスキャン

方法は 1 つだけです。

© 2013 Juniper Networks, Inc. All rights reserved. 完全ファイルベースのアンチウィルスおよび高速アンチウィルス • 3 － 1


完全ファイルベースのアンチウィルススキャン

1 つ目の方法の完全ファイルベースのアンチウィルススキャンについて説明します。ジュニパーネットワークスは、Kaspersky Lab と提携し、完全ファイルベースのスキャンエンジンとウィルス・シグネチャ・データベースを提供しています。完全ファイルベースのスキャンエンジンは、アプリケーションレイヤーのデータストリームを検査し、電子メールに添付されたファイル、ハイパーテキスト転送プロトコル（HTTP）トラフィック、FTP ダウンロード、FTP アップロードを検索します。このスキャン方法では、HTTP 形式の

Web ページをダウンロードするときに埋め込みスクリプトも検索します。SRX デバイスで FTP トラフィックをスキャンするには、FTPALG を有効にする必要があります。

スキャンエンジンは、ファイルやスクリプトに検査のフラグを立てた場合、元のアプリケーション・コンテンツ（電子メールに添付されたファイルや埋め込みスクリプト）が再構築されるまで、受信したデータパケットを収集します。スキャンエンジンはメモリにファイル（またはスクリプト）をキャッシュし、ウィルス・シグネチャ・データベースと照合します。完全ファイルベースのアンチウィルススキャンは、ウィルスの検出率が高く、多様形ウィルスや変形性ウィルスを含むあらゆるタイプのウィルスや悪質なコードを防ぎます。ウィルスには自ら形を変えるものがあります。この図は、ファイル全体を受け取り、再構築してから、ウィルススキャンを開始する方法を示しています。このプロセスは CPU に負荷がかかります。同時にスキャンできるファイルの数やスキャンできる

ファイルの容量は、使用可能なメモリや CPU サイクルによって制限されます。

3 － 2 • 完全ファイルベースのアンチウィルスおよび高速アンチウィルス © 2013 Juniper Networks, Inc. All rights reserved.


高速アンチウィルススキャン

高速アンチウィルススキャン

2 つ目の方法は、高速アンチウィルススキャンです。高速アンチウィルススキャンは、完全ファイルベースのアンチウィルススキャ

ンに比べると CPU への負荷が軽くなります。高速スキャンは完全ファイルベースと同様、特定のアプリケーションレイヤーのトラ

フィックをウィルス・シグネチャ・データベースと照合し、ウィルスをチェックします。しかし、完全ファイルベースとは異なり、高速アンチウィルスでは元のアプリケーション・コンテンツを再構築することはしません。高速スキャンは、データパケットを受け取ると同時に、スキャンを始めます。高速アンチウィルスは、ウィルススキャンをハードウェアのパターンマッチエンジンで行います。このため、スキャン実行中のパフォーマンスは向上しますが、セキュリティレベルは低下します。高速アンチウィルスは、完全ファイルベースのアンチウィルスとは異なるシグネチャデータベースを使用します。高速アンチウィルスのシグネチャデータベースは、ワームやトロイの木馬、スパイウェアなど、も重要なウィルスやマルウェアのみを対象としています。そのため、データベースのサイズは完全ファイルベースのものよりも小さく、対象範囲も小さくなります。高速アンチウィルスは、自ら形を変える多様形ウィルスや変形性ウィルスを防ぐことができません。このエンジンはパターン認識のみを使用しており、これらのウィルスを検出するその他の経験則は使いません。この図は、ファイルを受け取ると同時にファイルのスキャンを行うことで、全体的なデータスループットの遅延が減少する様子を示しています。



Sophos Live Antimalware Protection

Sophos アンチウィルススキャンは、完全ファイルベースよりも CPU への負荷が少ないアンチウィルス機能です。Sophos は、完全

ファイルベースのアンチウィルスと同じプロトコルおよび同様の機能をサポートしていますが、スキャンに必要なメモリの容量が少なく、メモリ容量の少ないローエンドのデバイスにも互換性があります。ウィルスのパターンデータベースとマルウェアデータベースは外部の Sophos 拡張リスト（SXL）サーバーで管理されており、ジュニパーのデバイスに大きなパターンデータベースをダウン

ロードし管理する必要がありません。また Sophos のアンチウィルススキャナはローカルの内部スキャナライブラリキャッシュも使

用し、SXL サーバーからのクエリーレスポンスを保持し、ルックアップを高速化します。クエリーは DNS プロトコルを使って行われ

ます。

SRX で処理されるトラフィックの多くは HTTP ベースであるため、ユニフォームリソース識別子（URI）のチェックにより、悪質なコ

ンテンツがエンドポイントのクライアントやサーバーに届くのを効率的に防ぎます。HTTP トラフィックには、URI ルックアップ、真

のファイルタイプの検出、ファイルのチェックサムルックアップのチェックが行われます。サポートされるアプリケーションレイヤーのプロトコルは、HTTP、FTP、SMTP、POP3、IMAP です。Sophos Antivirus の主な機能は、次の通りです。

• Sophos Antivirus 拡張 MIME デコーディングサポート：Sophos Antivirus は、HTTP、POP3、SMTP、IMAP のデコー

ディングをサポートしています。MIME デコーディングは、対応している各プロトコルにおいて、以下をサポートして

います。

－マルチパートおよびネスト型のヘッダーデコーディング

－ Base64 デコーディング、プリンティッド・クオート・デコーディング、件名フィールドに含まれるエンコードさ

れた文字列のデコーディング

• Sophos の URII チェック：Sophos では、アンチスパムのリアルタイム・ブラックホール・リスト（RBL）・ルックアッ

プと同様の URI チェックが行われます。URI チェックとは、HTTP トラフィック内の URI コンテンツを Sophos データ

ベースに照合して分析する方法で、マルウェアや悪質なコンテンツを識別する機能です。マルウェアの多くは静的なので、チェックサムメカニズムを使えば高いパフォーマンスでマルウェアを検出できます。チェックサムに使用できるファイルは、.exe、.zip、.rar、.swf、.pdf、.ole2（doc および xls）です。

パターンマッチング

完全ファイルベースおよび高速アンチウィルスのモジュールには、ウィルスシグネチャパターンのデータベースが含まれています。SRX デバイスは、ファイルをこのデータベースに照合して一致するものがないかどうかをチェックします。このプロセスを、パター



ンマッチングといいます。完全ファイルベースのスキャンも高速スキャンもウィルス・シグネチャ・データベースと照合しますが、その方法が異なります。完全ファイルベースのアンチウィルス・ソフトウェアは、パターンマッチングを CPU で行います。高速アンチ

ウィルス・スキャン・エンジンは、パターンマッチングをコンテンツ・セキュリティ・アクセラレータ（CSA）というハードウェアエ

ンジンで行うため、必要な CPU やメモリの容量が大幅に軽減されます。CSA のハードウェアエンジンは、SRX210、SRX220、SRX240、SRX650 の各プラットフォームで使用でき、ウィルスの検出率はやや低くなりますが、データスループットのパフォーマンスは高く

なります。CSA を実装していないプラットフォームでも、ソフトウェアによるパターンマッチングが実行可能ですが、パフォーマン

スは低下します（UTM は常に高メモリオプションを必要とします）。

パターンの更新

新しいウィルスの脅威に対抗するため、ウィルスデータベースは常に新の状態にしておかなければなりません。パターンの更新オプションは完全ファイルベースと高速スキャンのいずれでも使用でき、アンチウィルスエンジンとシグネチャデータベースの更新を制御します。ウィルス・シグネチャ・データベースを手動で更新するには、データベースサーバーの URL を指定します。URL を指定

しない場合、デフォルトの URL である http://update.juniper-updates.net/AV が使われます。パターンの更新設定については、この

章の後半で説明します。Sophos アンチウィルスのアンチウィルスおよびマルウェアのデータベースは、SXL サーバー上に保存されます。

これらのサーバーは Sophos が管理しており、SRX デバイス上で大きなパターンデータベースをダウンロードし管理する必要はあり

ません。データベースがリモートにあるため、サイズ制限はなく、新しいウィルスにも迅速に対応します。Sophos アンチウィルスの

データファイルは、定期的に更新する必要があります。このデータファイルは通常のウィルスパターンファイルとは異なり、ウィルススキャンのロジックを導く小さなファイルの集合体です。データファイルは手動でダウンロードすることも、自動的にダウンロードするよう設定することもできます。

インテリジェント・プレスクリーニング

アンチウィルススキャンの効率を高める方法の 1 つとして、インテリジェント・プレスクリーニングがあります。完全ファイルベー

スのスキャンは、SRX デバイスがファイルのすべてのパケットを受信してからスキャンを始めます。高速スキャンはデータパケット

を受け取ると同時にスキャンを開始しますが、終的にファイルのすべてのパケットをスキャンします。インテリジェント・プレスクリーニングは、ファイルの初の 1 つまたは複数のパケットを使って、そのファイルに悪質なコードが含まれている可能性がある

かどうかを識別するよう、アンチウィルス・スキャン・エンジンに指示を送ります。スキャンエンジンは初のパケットをすばやくチェックし、感染している可能性が低い場合、通常のスキャン手順を迂回しても安全だと判断します。この場合、ファイル全体を保存してスキャンする必要はありません。インテリジェント・プレスクリーニングは、完全ファイルベースや高速アンチウィルススキャンと同様に動作します。デフォルトでは、アンチウィルススキャンのパフォーマンスを高めるため、インテリジェント・プレスクリーニングは有効になっています。次のコマンドを使い、これを無効にすることもできます。

set security utm feature-profile anti-virus kaspersky-lab-engine|juniper-express-engine profile profile-name scan-options no-intelligent-prescreening



SRX アンチウィルスモジュール

アンチウィルスモジュールとは、SRX デバイスのソフトウェア・サブシステムで、特定のアプリケーションレイヤーのトラフィック

をスキャンし、ユーザーをウィルスの攻撃から守り、ウィルスの拡散を防ぎます。アンチウィルスモジュールは、トラフィックを分析し、データをウィルススキャンのスキャンエンジンに送ります。ソフトウェア・サブシステムは、アプリケーションプロキシ、スキャンマネージャ、スキャンエンジン、およびウィルス・シグネチャ・データベースから構成されます。クライアントはサーバーに

TCP で接続し、トランザクションを開始します。アンチウィルスモジュールが使用中のアプリケーション・プロトコルをスキャンす

る場合、トラフィックはアプリケーションプロキシに転送され、添付ファイルがパースされます。スキャンマネージャはアンチウィルスセッションを監視し、データコンテンツのプロパティをアンチウィルスの設定に照合してチェックします。スキャンリクエストが送られると、スキャンエンジンがデータをスキャンし、ウィルス・シグネチャ・データベースをクエリーします。スキャンが終わると、スキャンマネージャが結果を処理します。

完全ファイルベースのスキャン

この図は、完全ファイルベースのアンチウィルスのフロープロセスを示しています。このプロセスのスキャンエンジンとウィルス・シグネチャ・データベースは、Kaspersky Lab 社が提供するものです。スキャンが有効な場合、TCP データパケットが SRX デバイス

に送られ、TCP プロキシによって処理されます。プロトコルパーサーが HTTP、電子メール、FTP データストリームに添付ファイルや

埋め込みスクリプトがあるかどうかを検査します。Web ページのダウンロード中にスクリプトが見つかることもあります。プロトコ

ルパーサーが検査すべきファイルにフラグを立てると、元のアプリケーションコンテンツを再構成するため、そのファイル（または埋め込みスクリプト）をメモリにキャッシュし、スキャンエンジンを使ってウィルス、トロイの木馬、ルートキット、その他の悪質なコードを検索します。ウィルスが検知されるとファイルはただちにドロップされ、トラフィックの送信者に通知が送られます。ウィルスが検知されなかったトラフィックは、SRX デバイスに転送されます。



高速アンチウィルスのフロープロセス

この図は、高速アンチウィルスのフロープロセスを示しています。高速アンチウィルスでは、Kaspersky 社のシグネチャ・データベー

スの改訂バージョンを使用しています。高速アンチウィルスでのウィルスの検出率は完全ファイルベースのアンチウィルスよりも低くなりますが、も一般的なウィルスは検出できます。高速アンチウィルスの主なメリットは、ハードウェアによって処理が高速化されるため、高いスループットが得られることです。ファイルはローカルに保存されず、パケットは SRX デバイスを介して転送され

検査されます。しかし、TCP ストリームを再構成してパケットの順番を並べ替える必要があるため、パケットは TCP プロキシとデー

タバッファを通らなければなりません。高速アンチウィルスは、ウィルススキャンを行っている間にもパケットを転送できるので、転送の遅延を小限に抑えられます。

グローバルアンチウィルスの設定

アンチウィルスモジュールには、グローバル、ポリシーベース、およびプロファイルベースの設定があります。グローバル設定とはアンチウィルスモジュール全体に共通するもので、特定のアンチウィルス・プロファイルのみに適用されるものではありません。アンチウィルスのグローバル設定には、UTM カスタムオブジェクトが含まれます。ここで、アンチウィルススキャンを迂回させる特定

の HTTP トラフィックをホワイトリストに設定することができます。これらのリストの動作や設定については、この章の後半で説明

します。

ポリシーベースのアンチウィルスの設定

ポリシーベースのアンチウィルスは、UTM ポリシーで設定します。UTM ポリシーは、アンチウィルス・スキャン・エンジンに送るべ

きプロトコルトラフィックを制御します。UTM ポリシーには、FTP、HTTP、POP3、SMTP、IMAP トラフィック用のアンチウィルス・

プロファイルがあります。UTM ポリシーはセキュリティポリシーに適用されます。セキュリティポリシーは、トラフィックフローの

プロトコルがアンチウィルスのプロファイルに一致するかどうかを判断します。プロトコルのトラフィックが一致する場合、アンチウィルスモジュールに送られウィルススキャンが行われます。

プロファイルベースのアンチウィルスの設定

アンチウィルスの設定の多くは、アンチウィルスの機能プロファイルで指定します。プロファイルベースのアンチウィルス設定は、アンチウィルスモジュールの中で各プロトコルがどのようにスキャンされるかを制御します。アンチウィルスの機能プロファイルには、スキャンのタイプ、モード、コンテンツのサイズ制限、スキャンのタイムアウト値、セッションスロットル、圧縮ファイルのスキャン設定などのオプションが含まれます。また機能プロファイルの設定では、フォールバックや通知オプションも定義します。



All スキャンモード

完全ファイルベースのスキャンオプションでは、all または by-extension のいずれかのスキャンモードを指定でき

ます。スキャンモードに all を指定すると、アンチウィルス・スキャン・エンジンはファイルの拡張子にかかわらず、

すべてのファイルをスキャンします。この図は、さまざまなタイプのファイルが SRX240 を通って通過するインバウン

ドおよびアウトバウンドのトラフィックを示しています。アンチウィルススキャンによって、すべてのタイプのファイルが処理されます。

By-Extension スキャンモード

この図は、by-extension スキャンモードを使った SRX240 を示しています。このモードでは、トラフィックのファイル拡張子に基

づき SRX デバイスがスキャンを行うかどうかが決まります。拡張子リストに指定されているファイルのみがスキャンされます。この

図では、ローカルユーザーが XSLT という拡張子を持つファイルを送っていますが、この拡張子は拡張子リストに指定されていないの

でアンチウィルスではスキャンされません。SRX デバイスには事前にデフォルトのファイル拡張子リストが定義されています。この

リストを見るには、図に示されているコマンドを実行します。

デフォルトの拡張子リストは編集できません。ただし、カスタム拡張子リストを作成して、デフォルトのリストの代わりに使うことができます。カスタム拡張子リストの設定については、この章の後半で説明します。ファイルの拡張子が拡張子リストにない場合、そのファイルはスキャンされません。拡張子が付いていないファイルは、スキャンされます。

圧縮ファイルのスキャン

この図は、完全ファイルベースのその他のスキャンオプションを示しています。SRX のアンチウィルス機能は、ウィルスが圧縮デー

タに含まれ送信された場合に備えて、圧縮データの検知をサポートしています。圧縮データには、圧縮ファイル（zip、tar、gzip）、多

目的インターネットメール拡張（MIME）などのエンコードデータ、パッケージデータ（OLE、CAP、MSI、TAR、EML）の 3 タイプ

があります。ウィルス・シグネチャ・データベースがより大きくなり、スキャンのアルゴリズムがより洗練されるにしたがって、スキャンエンジンは、埋め込まれたマルウェアデータをより深く精査する能力を備えるようになりました。その結果、圧縮データのよ

り多くのレイヤーを精査できるようになりました。圧縮ファイルのスキャンは、HTTP と POP3 トラフィックのみサポートされていま

す。ファイルによっては、複数回圧縮できるものがあります。SRX のアンチウィルス機能では、ユーザーが定義した圧縮解凍の制限

回数に達するまで、またはメモリの割り当てに応じたデバイスの圧縮解凍レイヤー制限まで、ファイルの圧縮解凍を行います。圧縮レイヤーの制限を超えたファイルは、指定されたフォールバックオプションに従ってドロップまたは転送されます。



コンテンツのサイズ制限

アンチウィルスでは、ウィルススキャンを行うファイルのコンテンツをメモリに保存する必要があります。リソース制限のため、ファイルの大コンテンツサイズにはデバイスに依存したデフォルトの制限があります。通常、コンテンツのサイズとはファイルの大きさのことをいい、プロトコルヘッダーのコンテンツの長さフィールドによって決まります。または、受信パケットの TCP ペイロード

の累積サイズを指す場合もあります。コンテンツの大サイズの制限は、ユーザーが指定できます。サイズ制限を超えるファイルは、設定されたフォールバックオプションに基づき、ドロップまたは転送されます。

スキャンのタイムアウト値

SRX デバイスには、スキャンに長時間かかる場合のタイムアウト値を設定することができます。このタイムアウト値は、スキャンの

リクエストが生成されてから、スキャンの結果がスキャンエンジンから返されるまでの時間に適用されます。指定できる範囲は 1 ～1800 秒です。デフォルトでは、180 秒に設定されています。このパラメータはすべてのプロトコルで使用され、プロトコルごとに

異なる値を指定することができます。

セッションスロットル

セッションスロットルは、1 つのソースが一度に消費できるトラフィックの容量を制限します。制限は整数で指定します。デフォル

トでは 100 に設定されています。この整数値は、1 つのソースに許可する大セッション数を表します。デフォルトの制限を変更す

ることはできますが、高く設定しすぎると制限がないときと同等になることに注意してください。

HTTP アンチウィルススキャンの例

アンチウィルススキャンは、プロトコルごとに有効または無効にすることができます。あるプロトコルのスキャンをアンチウィルス・プロファイルで無効にし、そのプロトコルにアプリケーション・インテリジェンスがない場合、多くのケースではそのプロトコルを使用するトラフィックはスキャンされません。ただし、そのプロトコルがアンチウィルス・プロファイルで有効な別のプロトコルに基づいている場合、そのプロトコルが有効になるため、そのトラフィックはスキャンされます。内蔵アンチウィルス・スキャン・エンジンでは、特定のアプリケーションレイヤーのトランザクションのスキャンをサポートしており、HTTP、FTP、SMTP、POP3、IMAPの各トラフィックのどのコンテンツをスキャンするかを選択できます。

この図は、HTTP トラフィックをインターセプトし、スキャンを行う一般的な方法例を示しています。ホスト -A は HTTP リクエスト

を Web サーバーに送ります。SRX アンチウィルスモジュールがリクエストをインターセプトし、ファイルやスクリプトのプロトコル

をパースします。ファイルまたはスクリプトが識別されると、データがアンチウィルススキャナーに渡され、ウィルスがないかどうかスキャンされます。スキャンを終えたら、アンチウィルス・スキャン・エンジンは 2 つの処理のうちいずれかを行います。ウィル

スが検出されなかった場合、Web サーバーにリクエストを送ります。ウィルスが検出された場合、リクエストをドロップし、感染を

知らせる HTTP 形式のメッセージをクライアントに送ります。アンチウィルススキャンは HTTP GET、POST（HTTP アップロードを含

む）、PUT の各メソッドをサポートしています。RFC 2616 は、これらのプロトコルメソッドの参照です。HTTP 1.0 と 1.1 が対応して

います。

HTTP トリックリングは、アンチウィルスのスキャン中に HTTP クライアントや HTTP サーバーがタイムアウトするのを防ぐ、時間

ベースのメカニズムです。HTTP トリックリングは、スキャンマネージャがダウンロードされた HTTP ファイルを検査している間にブ

ラウザウィンドウがタイムアウトしないよう、スキャンしなかった HTTP トラフィックをリクエスト元の HTTP クライアントに転送し



ます。SRX デバイスは、スキャンしたファイル全体を転送する前に、少量のデータを前もって転送します。デフォルトでは、トリッ

クリングは無効になっています。HTTP トリックリングは、HTTP 接続でのみサポートされています。

Sophos Live Protection の例

この図は、Sophos Live Antimalware Protection の例を示しています。

アンチウィルスのホワイトリスト

SRX アンチウィルスモジュールがトラフィックをパースする際、有害でないとみなし、スキャンする必要のないファイルのタイプを

識別することができます。HTTP MIME ヘッダーと URL 情報から、転送中のファイルタイプが得られます。URL ホワイトリストは Webフィルタリングの UTM 機能で使われ、そのリストの URL や IP アドレスは常にスキャンされません。URL ホワイトリストには、アン

チウィルススキャンを迂回するトラフィックを指定します。SRX デバイスは MIME タイプも使い、アンチウィルススキャンを迂回す

るトラフィックを識別します。この図は、アンチウィルススキャンに関する HTTP の処理順序を示しています。初に URL ホワイト

リストと照合され、次に MIME ホワイトリストと照合されます。どちらのホワイトリストにも一致しない場合、アンチウィルス機能

プロファイルの設定によってウィルススキャンが行われます。URL ホワイトリストと MIME ホワイトリストは、HTTP トラフィック

においてのみ有効です。



ブロックと通知

スキャンエンジンがウィルスを検出すると、ファイルがブロックされ、通知オプションにより、検出したウィルスについてユーザーに通知されます。通知にはさまざまなタイプがあります。1 つ目のオプションは、通知タイプメッセージです。コンテンツがブロッ

クされ、通知タイプメッセージが生成されると、アプリケーションのクライアントは成功のレスポンスコードを受け取りますが、アラームメッセージと共に修正されたコンテンツも受け取ります。アラームメッセージは、カスタム定義することができます。protocol-only の通知タイプメッセージでは、プロトコル固有のエラーコードがクライアントに返されます。これにより、クライアン

トは何らかの理由により、プロトコルが正しく転送されなかったことがわかります。HTTP と FTP のトラフィックでは、通知はプロト

コルと共に表示されます。たとえば、HTTP リクエストの処理中にウィルスが検出されると、ユーザーがアクセスしようとしている

ページにカスタムエラーメッセージが表示されます。迷惑メールが届くと、SMTP、IMAP、POP3 プロトコルの電子メール通知がエ

ラーメールを作成し、受信者に知らせます。任意で送信者に通知することもできます。電子メールでの通知には、次の 3 つの設定が

あります。

• Virus-detection/notify-mail-sender：これを有効にすると、ウィルスが検出された場合に送信者に電子メールで通知が

送られます。

• Fallback-block/notify-mail-sender：これを有効にすると、その他のスキャンコードやスキャンエラーが返された場合に

送信者に電子メールで通知が送られ、メッセージはドロップされます。

• Fallback-non-block/notify-mail-recipient：これを有効にすると、その他のスキャンコードやスキャンエラーが返された

場合に受信者に電子メールで通知が送られ、メッセージは通過します。

スキャンのフォールバックオプション

フォールバックオプションは、トラフィックがスキャンできないときにどのような動作を行うかを指定します。フォールバック動作は、block または log-and-permit のいずれかです。トラフィックは、次の特定の状況ではスキャンされません。

• content-size：コンテンツのサイズが設定された制限を超える場合、max-content-size フォールバックオプションに

従って、コンテンツは通過、またはブロックされます。デフォルトの動作は BLOCK です。

• corrupt-file：ファイルが壊れていることをスキャンエンジンが検知すると、破損ファイルエラーが返されます。デフォ

ルトの動作は PASS です。

• decompress-layer：スキャンされたファイルの圧縮レイヤーが多すぎる場合、スキャンエンジンは圧縮解凍レイヤーエ

ラーを返します。デフォルトの動作は BLOCK です。

• default：上記以外のすべてのエラーがこのカテゴリに入ります。これには、未処理のシステム例外（内部エラー）や、

その他の不明なエラーが含まれます。デフォルトの動作は BLOCK です。

• engine-not-ready：スキャンエンジンは、たとえばシグネチャデータベースを読み込むなど、自動的に初期化されます。

この間、ファイルをスキャンする準備はできていません。この設定によって、ファイルは通過、またはブロックされます。デフォルトの動作は BLOCK です。

• out-of-resources：ウィルスのスキャンには、かなり大きなメモリと CPU のリソースが必要です。リソース制限のため、

システムがメモリの割り当てリクエストを拒否することがあります。その場合、スキャンエンジンから（スキャンコー

ドとして）、またはスキャンマネージャからエラーが返されます。out-of-resources が発生すると、スキャンは中止され

ます。デフォルトの動作は BLOCK です。



• password-file：パスワードで保護されたファイルをスキャンしようとすると、スキャンエンジンからエラーが返されま

す。デフォルトの動作は PASS です。

• timeout：複雑なファイルをスキャンすると、リソースと時間を消費します。スキャンにかかる時間がアンチウィルス・

プロファイルに設定したタイムアウト時間を超えると、処理が中止され、ウィルスチェックを完了しないままコンテンツは通過、またはブロックされます。どちらが行われるかは、タイムアウトのフォールバックオプションによって決まります。デフォルトの動作は BLOCK です。

too-many-requests：同時に受信したメッセージの数がデバイスの制限数を超えると、too-many-request のフォールバックオプション

に応じて、コンテンツは通過、またはブロックされます。デフォルトの動作は BLOCK です。（許可するリクエストの制限数は設定で

きません）。

UTM カスタムオブジェクトの設定

UTM custom-objects の階層には、アンチウィルスのグローバル設定が含まれます。URL ホワイトリスト、MIME ホワイトリスト、

およびファイル名拡張子リストを設定することができます。ファイル名拡張子リストは、完全ファイルベースのアンチウィルスの

by-extension スキャンモードで使用されます。拡張子リストには、スキャン対象拡張子のデフォルトのリストに追加するファイル

拡張子を指定します。この図は、URL ホワイトリスト、MIME ホワイトリスト、およびファイル名拡張子リストの設定を示していま

す。url-pattern name の階層ではパターンリスト名を定義し、value にはアンチウィルススキャンを迂回する URL のエントリを

指定します。パターン名は、custom-url-category value の階層レベルに適用します。

MIME ホワイトリストは、MIME タイプの 1 つまたは多数のエントリから構成されます。MIME エントリでは大文字と小文字が区別さ

れます。MIME エントリの末尾に「/」を付けると、プレフィックス照合が行われます。それ以外は、完全照合が行われます。MIMEリストには、MIME ホワイトリストと MIME 例外リストの 2 種類があります。MIME ホワイトリストは、アンチウィルススキャンを

迂回するために使用します。MIME 例外リストは、MIME タイプの一部を MIME ホワイトリストから除外するために使用します。た

とえば、MIME ホワイトリストに video/ と設定し、例外リストに video/x-shockwave-flash と設定すると、video/ の MIME タイプを持つトラフィックに対してはアンチウィルススキャンを迂回しますが、video/x-shockwave-flash の MIME タイプを持つトラ

フィックに対してはアンチウィルススキャンを迂回しません。

ファイル名拡張子リストには、デフォルトの拡張子リストに追加したい拡張子の値エントリを指定します。ファイル名拡張子リスト、MIME リスト、例外リスト、およびカスタム URL カテゴリはすべて、アンチウィルス機能プロファイルに適用されます。



自動更新の設定

新規ウィルスが発見されると、パターンファイルが更新されます。デフォルトのアンチウィルスのパターン更新間隔は 60 分です。

Kaspersky Lab がパターン・データベース・シグネチャを更新すると、SRX デバイスがその更新内容をダウンロードします。これに

より、アンチウィルススキャナーが新のシグネチャデータベースに基づきトラフィックをスキャンできるようになります。更新のダウンロードプロセスは、完全ファイルベースのアンチウィルスでも高速アンチウィルスでも同様です。この図は、アンチウィルス機能プロファイルのパターン更新の設定を示しています。

手動での強制更新

セキュリティデバイスは、これらの更新を（デフォルトで）自動で行うことができますが、この図に示す CLI コマンドを使って、パ

ターンの更新を手動で行うこともできます。

パターンが正しく更新されたかどうかを確認するには、show security utm anti-virus status コマンドを実行します。この

コマンドの出力結果は、この章の後半で紹介します。



フォールバックと通知オプションの設定

この図は、完全ファイルベースと高速アンチウィルスのフォールバックと通知オプションの設定を示しています。これらの設定は、アンチウィルス・プロファイルで指定します。Sophos アンチウィルスがサポートするフェールモードオプションは、content-size、default、engine-not-ready、out-of-resource、timeout、および too-many-requests です。フォールバックオプションは、トラフィッ

クをスキャンできなかった場合に実行されます。フォールバックオプションには block または log-and-permit のいずれかの動作

を指定します。通知オプションには、fallback-block、fallback-non-block、または virus-detection を設定できます。こ

れらの 3 つのいずれのオプションにもカスタム通知メッセージを設定できます。また、fallback-block と virus-detection オプション

のみ、 message または protocol-only の通知タイプを指定できます。

アンチウィルス・プロファイルを UTM ポリシーに適用する

UTM ポリシーは、アンチウィルス・スキャン・エンジンに送るべきプロトコルトラフィックを制御します。この図に示した UTM ポリシーは policy1 という名前で、 av-profile というアンチウィルス・プロファイルが FTP ダウンロードと HTTP トラフィックに

適用されています。したがって、UTM ポリシーが適用される FTP ダウンロードや HTTP トラフィックはすべてアンチウィルスモジュー

ルによって処理され、アンチウィルス・プロファイルで定義した設定に従います。



UTM ポリシーをセキュリティポリシーに適用する

この図では、policy1 という UTM ポリシーが client-to-server というセキュリティポリシーに適用されています。このポリシー

は、SRX デバイスの client と server ゾーン間のすべてのトラフィックで参照されます。

パターン更新の確認

この図に示すように、show security utm anti-virus status コマンドの出力には、更新サーバーパス、パターン更新ステー

タス、新結果が表示されます。パターン更新が正しく行われると、新結果には、新しいデータベースが読み込まれた、または SRXデバイスのデータベースがすでに新であることが示されます。パターン更新が正しく行われると、スキャンエンジンが準備完了の状態になります。パターン更新が正しく行われなかった場合、スキャンエンジンの準備が整わず、フォールバックオプションのengine-not-ready 動作が適用されます。



ライセンスの確認

アンチウィルスの正しい動作には、ライセンスが必要です。上の図は show system license コマンドの出力結果です。この結果、

インストールされているライセンスが表示されます。この例では、av_key_kaspersky_engine というライセンスが正しくインストー

ルされていることを示しています。SRX デバイスにアンチウィルス用のライセンスがない場合、show security utm anti-virusstatus コマンドの出力結果にライセンスがインストールされていないことが示されます。

アンチウィルスのスキャン結果

show security utm anti-virus statistics コマンドは、クリーンファイルの数や感染したファイルの数、スキャンエンジン

のステータスなど、接続に対するアンチウィルスの統計を表示します。また、フォールバックオプションに一致したトラフィックに関する統計も表示します。



アンチウィルスのログメッセージ

この図は、ウィルスが検出された場合に、ログメッセージとどのように照合するかを示しています。ウィルスが検出されると、SRXSeries デバイスは、送信元と宛先のアドレス、ファイル名、トラフィックの送信元ゾーンに関するメッセージを記録します。

復習問題

解答

1.

完全ファイルベースの 2 つのスキャンモードタイプは、all と by-extension です。違いは、all モードではファイルの拡張子にかか

わらずすべてのファイルがスキャンされ、by-extension モードでは拡張子リストにあるファイルのみがスキャンされるという点です。

2.

HTTP トラフィックがアンチウィルススキャンを迂回するための方法は、URL ホワイトリストと MIME ホワイトリストです。どちら

も、UTM カスタムオブジェクトで指定します。

3.

インテリジェント・プレスクリーニングは、ファイル全体を保存してスキャンする必要をなくすことで、スキャンのパフォーマンスを高めます。ファイルの最初の 1 つまたは複数のパケットを使って、そのファイルに悪質なコードが含まれている可能性があるかどうかを識

別します。





第 4 章：コンテンツ・フィルタリングおよび Web フィルタリング


• コンテンツ・フィルタリングと Web フィルタリングの目的

• コンテンツ・フィルタリングと Web フィルタリングの設定に使用するパラメータ

• コンテンツ・フィルタリングと Web フィルタリングの設定

• コンテンツ・フィルタリングと Web フィルタリングの監視

コンテンツ・フィルタリング

コンテンツ・フィルタリングとは、多目的インターネットメール拡張（MIME）タイプ、ファイル拡張子、プロトコルコマンド、埋

め込みオブジェクトタイプに基づき、トラフィックを許可またはブロックする機能です。この機能は、HTTP、FTP、および SMTP やポスト・オフィス・プロトコル 3（POP3）、インターネット・メッセージ・アクセス・プロトコル（IMAP）などのメールプロトコル

をサポートしています。

コンテンツがブロックされた場合、プロトコルに応じてカスタムメッセージまたは電子メールでユーザーに通知することができます。

この機能にはライセンスは必要ありません。

パラメータに基づきトラフィックを許可する

コンテンツ・フィルタリングでは、次のパラメータに基づきトラフィックが許可またはブロックされます。

• mime-pattern：HTTP のトラフィックのタイプやメールプロトコルを識別します。

• filename-extension：ファイルのタイプ別にトラフィックのタイプを識別します。

• protocol-command：プロトコルが使用するコマンドのタイプを識別します。FTP を例にとると、プロトコルコマンド

は、ユーザーが FTP で入力したコマンドではなく、FTP クライアントとサーバー間のコマンドを指します。次に、サ

ポートされているプロトコルコマンドの例を示します。

－ HTTP：GET、HEAD、POST、PUT、DELETE、TRACE、OPTIONS、OTHERS

－ FTP：USER、PASS、ACCT、CWD、CDUP、SMNT、REIN、QUIT、PORT、PASV

－ SMTP：HELO、EHLO、MAIL、RCPT、DATA、SIZE、QUIT、VRFY、EXPN

－ POP3：APOP、DELE、LIST、NOOP、PASS、QUIT、RETR、RSET、STAT、TOP、UIDL、USER

－ IMAP：CAPABILITY、NOOP、LOGOUT、AUTHENTICATE、LOGIN、SELECT、EXAMINE

HTTP、FTP、メールプロトコルをサポート

HTTP は、MIME パターン、ファイル拡張子、プロトコルコマンドを含む、コンテンツ・フィルタリングのすべての属性をサポート

しています。HTTP トラフィックは、ActiveX、Java アプレット、cookies、EXE ファイル、ZIP ファイルに基づきブロックすることも

できます。コンテンツフィルタは、クライアントとサーバー間のすべての HTTP リクエストをチェックします。コンテンツフィルタ

がプロトコル・コマンド・リストを使ってリクエストをブロックするよう設定されている場合、リクエストはドロップされ、説明と共にそのページが送り返されます。ファイルをダウンロードするリクエストの場合、リクエストヘッダーの MIME タイプとファイル

拡張子がチェックされます。コンテンツフィルタは、ActiveX および Java アプレットについてもファイルヘッダーをチェックし、そ

のいずれかがブロックコンテンツに設定されている場合、レスポンスをドロップします。

© 2013 Juniper Networks, Inc. All rights reserved. コンテンツ・フィルタリングおよび Web フィルタリング • 4 － 1


FTP は、コンテンツ・フィルタリングの属性、ファイル拡張子、プロトコルコマンドをサポートしています。コンテンツフィルタは

各コマンドをチェックし、コマンドがプロトコルリストやファイル拡張子リストに設定されている場合、そのコマンドをドロップします。コマンドがドロップされると、カスタム・ブロック・メッセージとドロップの理由がクライアントに送られます。コンテンツ・フィルタリングで FTP をサポートするには、FTP ALG を有効にする必要があります。

メールプロトコルは、MIME パターン、ファイル拡張子、およびプロトコルコマンドのコンテンツ・フィルタリング属性をサポート

しています。MIME タイプとファイル拡張子に対しては、コンテンツ・フィルタリングの機能は制限されています。電子メールのヘッ

ダーは 1 レベルのみがスキャンされます。すなわち、再帰的な電子メールのヘッダーや暗号化された添付ファイルはチェックされま

せん。また、電子メール全体が MIME でエンコードされている場合、MIME タイプのみがチェックされます。コンテンツフィルタは

各コマンドをチェックし、コマンドがプロトコルリストやファイル拡張子リストに設定されている場合、そのコマンドをドロップします。コマンドがドロップされた場合、エラーコードとその説明がクライアントに送られます。

コンテンツがブロックされたことをユーザーに通知する 2 つの方法

プロトコルに埋め込まれたメッセージや電子メールをユーザーに送ることができます。いずれも、メッセージの内容は管理者が設定します。

コンテンツ・フィルタリングの設定オプション

コンテンツフィルタは、許可またはブロックするオブジェクトを指定したカスタムオブジェクトのリストと一致する必要があります。例外は HTTP トラフィックで、HTTP トラフィックはコンテンツフィルタで直接コンテンツをブロックするよう設定できます。

この図は、カスタムオブジェクトとコンテンツ・フィルタリングで使用できるすべての設定オプションを示しています。

カスタムオブジェクトのオプションには、次のような設定オプションがあります。

• mime-pattern：このオプションを使い、MIME タイプを許可またはブロックするためのリストを作成できます。MIME パターンの末尾に「/」が付いている場合（例： video/）、プレフィックス照合が行われます。MIME パターンの末尾に「/」が付いていない場合、完全照合が行われます。

• filename-extension：このオプションを使い、ブロックするファイル拡張子のリストを作成できます。

• protocol-command：このオプションを使い、プロトコルコマンドを許可またはブロックするためのリストを作成でき

ます。プロトコルコマンドのチェックは、大文字と小文字を区別せずに文字列を比較します。

コンテンツ・フィルタリングには、次の設定オプションがあります。

• block-command または permit-command：block-command リストは、ブロックするコマンドを示し、

permit-command リストは例外リストとして使用します。permit-command リストにあるコマンドは、たとえそれが block-command リストにあってもブロックされません。permit-command リストにないコマンドは、 block-command リストにもない場合、許可されます。

4 － 2 • コンテンツ・フィルタリングおよび Web フィルタリング © 2013 Juniper Networks, Inc. All rights reserved.


• block-extension：カスタムオブジェクトの filename-extension を適用することで、拡張子に基づきファイルをブ

ロックできます。事前に定義された拡張子リストの junos-default-extension を設定することもできます。事前に

定義されたカスタムオブジェクトを見るには、show groups junos-defaults security utm custom-objects を実行します。

• block-mime：この図に示すように、MIME タイプの video/ をブロックする一方、video/quicktime を許可するリストを

作成できます。block-mine の例外リストは、block-mime のリストよりも優先順位が高くなります。事前に定義された MIME リストの junos-default-bypass-mime を設定することもできます。

• block-content-type：ActiveX、Java アプレット、cookies、EXE ファイル、ZIP のファイルタイプに基づきファイルをブ

ロックすることもできます。block-content-type の設定は、HTTP のみに使用されます。

• notification-options：トラフィックがブロックされた場合に、クライアントに送るカスタムメッセージを作成できます。

コンテンツ・フィルタリングの設定

コンテンツ・フィルタリング・プロファイルを作成した後、UTM ポリシーを作成し、フィルタ対象のトラフィックにそのプロファイ

ルを適用します。コンテンツ・フィルタリング・プロファイルは、複数のプロトコルに適用できます。後に、その UTM ポリシーを

適切なセキュリティポリシーに適用します。

この図は、コンテンツ・フィルタリング・プロファイルを適用する際に使用できるオプションと、UTM ポリシーをセキュリティポリ

シーに適用する例を示しています。

HTTP のコンテンツ・フィルタリングの例

この図は、この例におけるトポロジーを示しています。次に、HTTP を使った ZIP ファイルのダウンロードをブロックするためのコン

テンツ・フィルタリングの設定手順を説明します。



コンテンツ・フィルタリングの設定

この図は、コンテンツフィルタの設定手順を示しています。

1. HTTP を使った ZIP ファイルのダウンロードをブロックするためのコンテンツ・フィルタリング・プロファイルを、

Web ページに表示するカスタムメッセージと共に設定します。

2. http-profile で、コンテンツ・フィルタリング・プロファイルを UTM ポリシーに適用します。

3. 後に、application-services の拡張 permit アクションを使って、この UTM ポリシーを適切なセキュリティポ

リシーに適用します。

コンテンツ・フィルタリングの機能の確認

この図は、クライアントが ZIP ファイルをダウンロードしようとしたときに Web ブラウザにどのように表示されるかを示しています。



CLI を使った確認と監視

syslog メッセージは、許可されたコンテンツとブロックされたコンテンツをログに残し、show security utm content-filteringstatistics コマンドは、カスタムオブジェクトまたはブロックされた HTTP コンテンツのブロックされた数をカウントします。

syslog メッセージは、重要度を any または info に設定する必要があります。

J-Web を使った確認と監視

Junos Web ユーザーインターフェイス（J-Web）には CLI と同様の監視オプションがあり、さらにブロックしたトラフィックの統計と

グラフを表示する機能があります。

Web フィルタリング

Web フィルタリングまたは URL フィルタリングは、属するカテゴリに基づき特定の URL へのアクセスを許可または拒否する機能を

提供します。Web フィルタが HTTP リクエストをインターセプトし、外部サーバー（SurfControl や Websense）、または SRX デバイ

ス（ホワイトリストやブラックリスト）上で、HTTP リクエストを許可するかブロックするかを決定します。



Web フィルタリングは第一の防御線として機能します。ある Web サイトがマルウェアの送信元であることがわかっている場合、その

サイトへのアクセスをブロックする一番簡単な方法は何でしょうか。

この機能を実装するには次の 3 つの方法があります。

• SurfControl：このオプションは、Web サイトのカテゴリデータベースを持つクラウド内サーバーを使用します。

• Websense：このオプションは、カテゴリデータベースと Web フィルタリングポリシーを持つローカル管理のサーバー

を使用します。

• Local lists：このオプションは、SRX デバイス上に設定したホワイトリストとブラックリストを使用します。

トラフィックがブロックされると、クライアントは Web ブラウザでカスタムメッセージを受け取ることができます。

Junos の 4 つの Web フィルタリングソリューション

まずも一般的な Web フィルタリングの方法は、クラウド内またはインターネット上の SurfControl サーバーを使用する方法です。

SurfControl サーバーには、およそ 40 件のカテゴリとそれに関連付けられた URL のデータベースがあります。統合 SurfControl オプ

ションは、Juniper Web フィルタリング・ライセンスを購入する必要があります。

2 つ目のオプションは、ローカルの Websense サーバーを購入し、ローカルで管理する方法です。Websense サーバーでは、カテゴ

リデータベースや Web フィルタリングポリシーを管理します。Websense のリダイレクトオプションは、Juniper Web フィルタリン

グ・ライセンスを購入する必要はありません。

3 つ目のオプションは、ローカルの URL ブラックリストとホワイトリストを使用する方法です。ローカルリストは、SurfControl また

は Websense のオプションと共に使用できます。

4 つ目のオプションは、拡張 Web フィルタリングを使用する方法です。拡張 Web フィルタリングは、95 件以上のカテゴリとそれに

関連付けられたサイトの評判情報に関するデータベースを持つインターネット Websense サーバーを使用します。拡張 Web フィルタ

リングオプションは、Juniper Web フィルタリング・ライセンスを購入する必要があります。

SurfControl 統合 Web フィルタリングソリューション

SurfControl サーバーには、カテゴリデータベースと関連付けられた URL が保存されています。ユーザーがサイトにアクセスしようと

するたびに、SRX デバイスがリクエストされた URL をキャプチャーし、SurfControl データベースをクエリーします。サーバーは、

SRX デバイスの Web フィルタリングポリシーで使われる Web サイトのカテゴリと共に、許可または拒否を返します。SRX デバイス

は、動作を記録するログメッセージを生成します。アクセスを拒否した場合、ユーザーにカスタムメッセージを送ることができます。サイトがカテゴリに関連付けられると、結果はローカルにキャッシュされます。その後は、同じ URL をリクエストしても中央のデー

タベースへのクエリーは行われません。このソリューションの一番のメリットは、ユーザーがデータベースをホストする必要がなく、冗長なサーバー・インフラストラクチャが不要な点です。

SurfControl データベースの機能：

• 2600 万件以上の URL

• およそ 40 件のカテゴリ

• 70 か国語以上



Websense リダイレクト Web フィルタリングソリューション

Websense リダイレクトソリューションには個別の Juniper ライセンスは必要ありませんが、ローカルデータベースを利用するため、

Websense とは別にライセンスを購入する必要があります。SurfControl サーバーにクエリーする代わりに、SRX デバイスは URL をローカルの Websense サーバーにリダイレクトします。Websense サーバーには、カテゴリデータベースと Web フィルタリングポリ

シーが含まれます。次に Websense サーバーは URL をカテゴリデータベースと照合し、設定されたポリシーに応じて結果を返しま

す。URL へのアクセス許可または拒否を示すレスポンスが SRX デバイスに転送されます。

Websense リダイレクトサーバーの機能：

• 95 件のカテゴリ

• 100 以上のプロトコルをサポート

• ローカルポリシーの評価

• ログ記録とレポートのサポート

このソリューションは、データベースがローカルに保存されているため、処理による遅延が小限に抑えられるというメリットがあります。ただし、管理者がデータベースを新の状態に更新しなければならないほか、冗長性が必要な場合は複数のサーバーが必要になります。

ローカルのブラックリストとホワイトリスト

カスタム URL カテゴリを設定し、SRX デバイスで評価されるブラックリストとホワイトリストに含めることもできます。（SRX デバ

イスにライセンスは必要ありません）。ブラックリストにあるカテゴリの URL はすべて拒否され、ホワイトリストにあるカテゴリの

URL はすべて許可されます。処理順序は次の通りです。

1. 新しい URL は、まず初にブラックリストの URL と照合されます。一致するものが見つかるとトラフィックはドロッ

プされ、それ以降は何も処理されません。

2. 一致するものが見つからなかった場合、次にホワイトリストと照合し、一致するものが見つかればトラフィックは許可されます。

3. いずれのリストにも一致するものがなかった場合、SurfControl または Websense によって処理が継続されます。



拡張 Web フィルタリング

拡張 Web フィルタリングは、事前に定義された 95 件以上のカテゴリとそれに関連付けられたサイトの評判情報に関するデータベー

スを持つインターネット Websense サーバーを使用します。拡張 Web フィルタリングオプションは、Juniper Web フィルタリング・

ライセンスを購入する必要があります。拡張 Web フィルタリングは、HTTP リクエストと HTTPS リクエストをインターセプトし、

HTTP の URL または HTTPS のソース IP を Websense ThreatSeeker Cloud（TSC）サーバーに送ります。TSC サーバーは、事前に定

義されたカテゴリのうちの 1 つに URL を分類し、サイトの評判情報を入手します。TSC サーバーは URL カテゴリと評判情報を SRXデバイスに返します。SRX デバイスは、TSC から返された情報と、機能プロファイルの設定に基づき、アクセスを許可するかブロッ

クするかを判断します。拡張 Web フィルタリングは、次の HTTP メソッドをサポートしています。

• GET

• POST

• OPTIONS

• HEAD

• PUT

• DELETE

• TRACE

• CONNECT

この図は、拡張 Web フィルタリングソリューションが HTTP または HTTPS のトラフィックをインターセプトし、スキャンし、処理

する例を示しています。SRX デバイスは TSC サーバーに TCP ソケットで接続します。SRX デバイスは HTTP または HTTPS のクライ

アント接続をインターセプトし、HTTP リクエストの URL、または HTTPS リクエストの IP アドレスを抽出します。SRX デバイスは、

ユーザーが設定したブラックリストまたはホワイトリストにその URL があるかどうかを確認します。ユーザーが設定したブラックリ

ストに URL があった場合、デバイスはその URL をブロックします。ユーザーが設定したホワイトリストに URL があった場合、デバ

イスはその URL を許可します。ローカルリストに一致するものが見つからなかった場合、SRX デバイスは TSC サーバーにクエリー

し、URL カテゴリのルックアップを行います。TSC サーバーは、URL のカテゴリとサイトの評判情報を返します。 SRX デバイスは、

機能プロファイルでユーザーが定義したカテゴリをクエリーし、そのカテゴリにユーザーが定義した動作に基づき URL を許可または

ブロックします。



SurfControl の設定オプション

この図は、SurfControl Web フィルタリングで使用できる設定オプションを示しています。

SurfControl のオプション：

• type：このオプションでは、使用する Web フィルタリングのタイプを設定します。Web フィルタリングのデフォルト

のタイプは SurfControl です。

• cache：このオプションでは、キャッシュのサイズと期間を設定します。キャッシュは、SurfControl サーバーの URL カテゴリに使用します。

• server：このオプションでは、SurfControl サーバーのホストまたはアドレス、およびポートを設定します。サーバーの

ホストまたはアドレスは必須です。

• category：このオプションでは、SurfControl サーバーが返したカテゴリに基づき URL を許可するかブロックするかを

設定します。ユーザーが設定したカスタムカテゴリを許可またはブロックすることもできます。

• default：このオプションでは、許可またはブロックのデフォルトのアクションを設定します。カテゴリに一致しない URL は許可またはブロックされます。デフォルトのオプションが設定されていない場合、URL は許可されます。

• custom-block-message：このオプションでは、カスタムメッセージを設定します。このメッセージは、URL がブロッ

クされた場合にクライアントに表示されます。

• fallback-settings：このオプションでは、次のエラーが発生した場合に、ユーザーが URL を許可するかブロックするか

を設定します。

－ default：デフォルトのエラー状態

－ server-connectivity：Web フィルタサーバーに接続できない

－ timeout：Web フィルタのリクエストがタイムアウトした

－ too-many-requests：同時リクエストが多すぎる

• timeout：このオプションでは、タイムアウト値を秒で設定します。この時間を超えると、リクエストはタイムアウト

したとみなされます。



Websense の設定オプション

この図は、Websense Web フィルタリングの設定オプションを示しています。

Websense オプションには次のものがあります。

• type：このオプションでは、使用する Web フィルタリングのタイプを設定します。Websense が設定されていない場

合、SurfControl が使用されます。

• server：このオプションでは、Websense サーバーのホストまたはアドレス、およびポートを設定します。

• custom-block-message：このオプションでは、カスタムメッセージを設定します。このメッセージは、URL がブロッ

クされた場合にクライアントに表示されます。

• fallback-settings：このオプションでは、エラーが発生した場合に、ユーザーが URL を許可するかブロックするかを設

定します。エラー状態の設定オプションは SurfControl と同様です。

• timeout：このオプションでは、タイムアウト値を秒で設定します。この時間を超えると、リクエストはタイムアウト

したとみなされます。

• sockets：このオプションでは、Websense サーバーに対して持続的にオープンするソケットの数を設定します。

• account：このオプションでは、Websense サーバーのアカウントを設定します。



ローカルのブラックリストとホワイトリストのオプション

ローカルの Web フィルタリングは、デフォルトですべての URL を許可します。そのため、URL を許可するための URL パターンは必

要ありません。juniper-local プロファイルでデフォルトのアクションをブロックに設定した場合のみ、ホワイトリストを設定する必要

があります。Web フィルタリングのタイプは juniper-local で設定するか、デフォルトの Web フィルタリング SurfControl を使用しま

す。ブロックする Web サイトの URL パターンを設定し、その URL パターンをカスタム URL カテゴリに適用する必要があります。こ

のカスタム URL カテゴリは、URL をブロックするため、web-filtering 階層下に url-blacklist として適用されます。また同様のカスタ

ムメッセージやフォールバックオプションを前述のように設定することができます。

この図は、URL パターンがカスタム URL カテゴリにどのように関連付けられているか、またカスタム URL カテゴリが Web フィルタ

にどのように関連付けられているかを示しています。

Web フィルタの適用は必須

Web フィルタリング・プロファイルを UTM ポリシーに適用し、UTM ポリシーを該当するセキュリティポリシーに適用する必要があ

ります。

この図は、Web フィルタリング・プロファイルを UTM ポリシーに適用し、UTM ポリシーをセキュリティポリシーに適用する例を示

しています。



カスタムオブジェクトの設定

拡張 Web フィルタリングの設定は、まず拡張 Web フィルタリングの機能プロファイルに適用するカスタムオブジェクトの作成から

始めます。この図の例では、urllist3 という名前の URL パターンリストを作成します。これには、パターン値として http://www.juniper.net および 1.2.3.4 が含まれています。次に、urllist3 カスタムオブジェクトを、カスタム URL カテゴリ

custurl3 に追加します。この図は、Trust サイト urllistwhite と Untrust サイト urllistblack の URL パターンリストも示し

ています。URL パターンリストは、custwhitelist および custblacklist という名前の custom-objects custom-url-category リストに適用されています。



カスタムオブジェクトの機能プロファイルへの適用

次に、拡張 Web フィルタリングの機能プロファイルにグローバルオプションを設定します。デフォルトでは、拡張 Web フィルタリ

ングのプロファイル名は、junos-wf-enhanced-default になります。この図の例では、URL ホワイトリストに custwhitelistというカスタムオブジェクトを適用し、URL ブラックリストに custblacklist というカスタムオブジェクトを適用しています。拡

張 Web フィルタリングの Web フィルタリングエンジンのタイプは、Juniper-Enhanced です。次に、キャッシュサイズとキャッ

シュタイムアウトのパラメータを設定します。拡張 Web フィルタリングサーバーは rp.cloud.threatseeker.com と設定します。

サーバーと接続するための TCP ポート番号を設定します。デフォルトのポート番号は 80 です。



機能プロファイルの URL カテゴリとサイトの評判の設定

次に、拡張 Web フィルタリングの機能プロファイルを編集し、URL カテゴリのアクションリストタブに移動します。含まれているホ

ワイトリストとブラックリストのカテゴリからカテゴリを 1 つ選択するか、フィルタリング用に作成したカスタム URL カテゴリのリ

ストを 1 つ選択します。それぞれのカテゴリに、許可、ログに記録して許可、ブロックのいずれかのアクションを設定します。この

図の例では、Enhanced_Gambling カテゴリの URL はブロックされ、Enhanced_Hacking カテゴリの URL はログに記録して許可

されます。また、一致するカテゴリが見つからない場合、返された URL に対するサイトの評判に基づき、取るべきアクションを設定

します。HTTP リクエストがブロックされた場合に送るカスタムメッセージを設定することができます。この図には、それぞれの URLに設定できるサイトの評判に基づくアクションも示しています。



UTM ポリシーのセキュリティポリシーへの適用

後に、拡張 Web フィルタリングの機能プロファイルを参照する UTM ポリシーを作成します。この図の例では、UTM ポリシーに

junos-wf-policy という名前が付けられています。この図では、セキュリティポリシーのアプリケーション・サービス・タブで、

UTM ポリシーが適用されています。

ローカル Web フィルタリング

この図は、この例におけるトポロジーを示しています。次に示すいくつかの例は、評判の悪い Web サイトへのアクセスをブロックす

るための Web フィルタリングの設定手順を示しています。



カスタム URL パターンとカテゴリの設定

この図は、URL パターンの設定と、その URL パターンをカスタム URL カテゴリに適用する例を示しています。

Web フィルタプロファイルの設定

この図は、カスタム URL カテゴリを Web フィルタに適用し、カスタムブロックメッセージ付きのローカルプロファイルを作成する

例を示しています。URL ホワイトリストとブラックリストは、SurfControl など他の Web フィルタリングソリューションで使用でき

ます。



ポリシーの適用

この図は、Web フィルタリング・プロファイルを UTM ポリシーに適用し、UTM ポリシーをセキュリティポリシーに適用する例を示

しています。

UTM ポリシーには、事前に定義された Web フィルタリング・プロファイルを適用することができます。事前に定義された Web フィル

タリング・プロファイルを表示するには、show group junos-defaults security utm feature-profile web-filteringコマンドを実行します。

次の出力では、Web フィルタリング UTM ポリシーのオプションを示しています。

user@srx# set utm-policy policy1 web-filtering http-profile ?Possible completions: <http-profile> Web-filtering HTTP profile block-bad [security utm feature-profile web-filtering juniper-local profile] junos-wf-cpa-default [security utm feature-profile web-filtering surf-control-integrated profile] junos-wf-local-default [security utm feature-profile web-filtering juniper-local profile] junos-wf-websense-default [security utm feature-profile web-filtering websense-redirect profile]

Web フィルタリングの機能の確認

この図は、ブロックされた Web サイトにクライアントがアクセスしようとしたときに Web ブラウザに表示される内容を示しています。



CLI を使った確認と監視

syslog メッセージは、許可されたコンテンツまたはブロックされたコンテンツをログに残し、show security utm web-filteringstatistics コマンドは、URL が許可された数、またはブロックされた数をカウントします。syslog メッセージは、重要度を any または info に設定する必要があります。

J-Web を使った確認と監視

J-Web には CLI と同様の監視オプションがあり、さらにブロックしたトラフィックの統計とグラフを表示する機能もあります。



復習問題

解答

1.

Junos OS は、ファイル拡張子およびプロトコル・コマンドのコンテンツ・フィルタリング属性をサポートしています。

2.

Web フィルタリングには、SurfControl、Websense、ローカルのホワイトリストとブラックリストの 3 つのソリューションがあります。

3.

Web フィルタリングの SurfControl ソリューションには、Juniper ライセンスが必要です。




Documents

SRX シリーズ スタディガイド パート 2 - Juniper …... 目次 • v 目次 このスタディガイドでは、Web フィルタリング、アンチウィルス、アンチスパム、およびコンテンツ・

SRX シリーズスタディガイドパート 2 - Juniper …... 目次 • v 目次このスタディガイドでは、Web フィルタリング、アンチウィルス、アンチスパム、およびコンテンツ・