支店向けUTM（統合脅威管理）実装ガイド · 設計に関する検討事項脅威の把握—エンタープライズ環境におけるutm防御の必要性分散型エンタープライズのネットワークが直面するセキュリティ脅威は、増え続ける一方です。ウィルスやトロイの木馬

Implementation Guide

ジュニパーネットワークス株式会社〒163-1035東京都新宿区西新宿 3-7-1新宿パークタワー N棟35階電話 03-5321-2600FAX 03-5321-2700URL http://www.juniper.co.jp

支店向けUTM（統合脅威管理）実装ガイド

Part Number: 801011-001 JP Jan 2009

Copyright ©2009, Juniper Networks, Inc.�


目次はじめに ……………………………………………………………………………………………………………………………… 4

適用範囲 ……………………………………………………………………………………………………………………………… 4

　対象読者 …………………………………………………………………………………………………………………………… 4

設計に関する検討事項 ……………………………………………………………………………………………………………… 5

　脅威の把握—エンタープライズ環境におけるUTM防御の必要性 …………………………………………………………… 5

　ジュニパーネットワークスのUTMソリューションを適用した、支店のセキュリティ確保 ……………………………… 5

　ハードウェア・コンポーネント ………………………………………………………………………………………………… 6

　　　SSG …………………………………………………………………………………………………………………………… 6

　　　ISG …………………………………………………………………………………………………………………………… 6

　　　SRX …………………………………………………………………………………………………………………………… 6

　集中管理 …………………………………………………………………………………………………………………………… 6

　　　NSM …………………………………………………………………………………………………………………………… 6

　　　NSMXpress ………………………………………………………………………………………………………………… 7

　　　STRM ………………………………………………………………………………………………………………………… 7

実装—UTM機能導入時のベストプラクティス …………………………………………………………………………………… 7

　ディープ・インスペクション …………………………………………………………………………………………………… 7

　アンチウィルス …………………………………………………………………………………………………………………… 8

　アンチスパム ……………………………………………………………………………………………………………………… 8

　Webフィルタリング ……………………………………………………………………………………………………………… 8

　Webフィルタリングのリダイレクト …………………………………………………………………………………………… 8

設計および実装の背景 ……………………………………………………………………………………………………………… 9

　支店の種類やアクセス、コネクティビティに関する背景 …………………………………………………………………… 9

　使用事例 …………………………………………………………………………………………………………………………… 9

　　　インターネット上の脅威に対するセキュリティ確保（インバウンド） ………………………………………………… 9

　　　支店の脅威に対するインターネットのセキュリティ確保（アウトバウンド） ………………………………………… 9

　　　支店に対するエンタープライズ向けWAN/VPNのセキュリティ確保（アウトバウンドおよびインバウンド） …10

　　　ユーザーに対するインターネット・アクセスの制限と、ゲストによるアクセスのブロッキング/ログ収集 ………10

　セキュリティポリシーの実行 ……………………………………………………………………………………………………10

　セキュリティポリシーの作成—シンプルなファイアウォールルールの設定から …………………………………………10

実装ガイドライン ……………………………………………………………………………………………………………………11

　集中ポリシー管理 …………………………………………………………………………………………………………………11

　UTMをセキュリティポリシーに追加 ……………………………………………………………………………………………11

　インターネット・セキュリティポリシー（Trustからインターネットゾーン） ……………………………………………11

　ゲストゾーンのポリシー …………………………………………………………………………………………………………13

　VPNアウトバウンドポリシー（TrustからVPNゾーン） ……………………………………………………………………14

Copyright ©2009, Juniper Networks, Inc. �


　VPNインバウンドポリシー（VPNからTrustゾーン） ………………………………………………………………………15

　補完型VPNハブ/データセンターのポリシー作成 ……………………………………………………………………………16

まとめ …………………………………………………………………………………………………………………………………17

付録A 支店のSSG構成 ………………………………………………………………………………………………………………17

　必要なライセンスの取得 …………………………………………………………………………………………………………17

　ディープ・インスペクションのデータベース更新 ……………………………………………………………………………18

　アンチウィルスのデータベース更新 ……………………………………………………………………………………………18

　URLフィルタリングの設定（Websenseリダイレクトを使用） ……………………………………………………………18

　NSMへのSSGデバイス追加 ……………………………………………………………………………………………………18

　SSGデバイスの設定をNSMにインポート ……………………………………………………………………………………18

　セキュリティポリシーを適用してデバイスを更新 ……………………………………………………………………………18

付録B NSMサービスおよび攻撃グループ …………………………………………………………………………………………19

ジュニパーネットワークスについて ………………………………………………………………………………………………22

図表リスト図1. NSM（Network and Security Manager）のTrustからUntrustに対するポリシー ………………………………12

図2. NetScreen Manager（ゲストゾーンに関するポリシー） ………………………………………………………………13

図3. NetScreen Manager（TrustからVPNに関するポリシー） ……………………………………………………………14



図6. アウトバンドHTTP/FTPトラフィック（アウトバウンドVPNおよびアウトバウンド・インターネット）用　　ディープ・インスペクション・プロファイル ………………………………………………………………………………19

図7. その他の共通インターネット・サービス用ディープ・インスペクション・プロファイル　　（アウトバウンドVPNおよびインターネット） ………………………………………………………………………………20

図8. インターネットおよびエンタープライズの電子メール検査用ディープ・インスペクション・プロファイル　　（アウトバウンドVPNおよびインターネット） ………………………………………………………………………………20

図9. 共通のエンタープライズ・アプリケーション用ディープ・インスペクション・プロファイル　　（インバウンド/アウトバウンドVPN） ………………………………………………………………………………………21

図10. リモート管理サービス用NSMサービスオブジェクト（インバウンドVPN） …………………………………………21



はじめに今日の分散型エンタープライズ環境では、インターネット上で新しいさまざまなアプリケーションが導入されていることから、新種のセキュリティ脅威が発生しています。こうした状況を受けて、ITのセキュリティ分野は目覚しい成長を遂げ、現在では数百社ものベンダーが、あらゆる脅威を防御するためのポイントソリューションを提供しています。企業は多様な製品を使用して、さまざまな「攻撃のベクター」からの防御を行うとともに、リスクを低減しています。エンタープライズ向けネットワークでは、URLフィルタリングなどの「Anti-X」技術や、ネットワークのアンチウィルス、侵入防御などが選択的に導入されてきました。こうしたAnti-Xテクノロジーは主に、大規模なキャンパスやデータセンターのネットワークなどで導入されており、最も重要とされるリソースを保護しています。

数百もの小規模な支店を抱える分散型エンタープライズ環境では通常、オンサイトのITサポートが最小限しか備わっていないため、こうした種類のセキュリティ技術をエンタープライズ環境全体に導入することは、コストも非常に高いことから、これまで非現実的だとされてきました。支店のセキュリティに関しては、支店に配置する大量のセキュリティ機器を管理するためのコストと、それに伴うセキュリティ上のメリットとの間で常にバランスを取る必要がありました。この結果、大規模な分散型エンタープライズではたいていの場合、すべてのインターネット・トラフィックをヘッドエンドでバックホールするため、さらにヘッドエンドの広帯域幅が必要となり、コストが大幅に上昇していました。また、企業は支店のセキュリティに関しては軽視しがちなため、多層防御が行われず、支店のユーザーやエンタープライズ・ネットワーク全体が、インターネット上で無数の脅威にさらされてしまいます。

ジュニパーネットワークスは、支店のファイアウォール全体を対象として最新のセキュリティ技術を統合し、重要なセキュリティ機能を1つのデバイス上に集約しました。ジュニパーネットワークスのセキュア・サービス・ゲートウェイ（SSG）は、内蔵URLフィルタリング機能や、アンチウィルス/ワームおよび侵入防御機能だけでなく、実績のあるファイアウォールやVPN、ルーティング機能なども搭載しています。これらの機能は、ジュニパーネットワークスのNetwork and Security Manager（NSM）を使用して、シームレスに幅広く管理できます。

適用範囲本書は、ジュニパーネットワークスのUTM機能の実装方法および管理方法について説明します。今日の分散型エンタープライズ環境が直面している典型的なセキュリティ脅威を取り上げ、ジュニパーネットワークスのSSG製品シリーズが実行する適切なセキュリティポリシーをどのように活用すればこれらの脅威を低減できるか、その方法について検討します。さらに、分散型エンタープライズ環境全体において、ジュニパーネットワークスの実績あるセキュリティゲートウェイで防御された、数百ヶ所に及ぶ遠隔地の支店に対して、これらの機能を効率的かつ統合的に導入・管理する方法についても詳細に説明します。

対象読者◦ セキュリティ /ITエンジニア

◦ ネットワーク・アーキテクト



設計に関する検討事項脅威の把握—エンタープライズ環境におけるUTM防御の必要性分散型エンタープライズのネットワークが直面するセキュリティ脅威は、増え続ける一方です。ウィルスやトロイの木馬、ワームなどといった脅威は、Webサイトや電子メール、Webメール、インスタントメッセージ（IM）、ピアツーピアのアプリケーションなどを介して、次々となくユーザーに感染します。このため、脅威に対処するためのITスタッフも増員する必要があります。

不正なWebサイトにアクセスしたり違法なファイルをダウンロードするユーザーの数も増加し続けていることから、貴重な回線容量が占有され、企業の責任問題も発生しています。よく知られているようにユーザーやゲストが脆弱性を利用してサーバーを攻撃したり、深刻な情報の漏えいやセキュリティ違反などを起こす可能性もあるのです。

不正なインターネットサイトは、ユーザーを標的としてサーバーからクライアントを攻撃し、ネットワークへのバックドアを作成したり、他のユーザーに感染したりします。さらに、DoS（サービス拒否）攻撃という脅威は、ネットワークの回線容量やリソースを消耗させて、ダウンタイムや生産性の低下を引き起こします。こうした脅威の発生源（攻撃ベクター）としては、インターネットや感染ユーザー、悪意のあるユーザー、サーバー、ゲスト、不正ユーザーなどが挙げられます。これらの脅威の標的は、企業内のユーザーやゲスト、サーバー、ストレージシステム、VoIPインフラなどです。しかし最も重要なのは、自社のネットワークそのものが標的になる場合もあるということです。米国の「ダークリーディング（Dark Reading）誌」（2008年8月13日付）によると、2008年第2四半期中に、平均で1,000万台以上のゾンビコンピュータ（「ボット」に感染したためにサイバー犯罪者によって遠隔操作されるシステム）が、マルウェアを搭載したスパムや電子メールを毎日のように送信していたことが明らかになっています。

企業は現在、自社ネットワーク上のインターネットそのもの（他のサイト）を、悪意あるユーザーや感染したユーザーに対して保護しなければならないという問題にも直面しています。企業が、企業ネットワーク内部から発生する攻撃やウィルス、ワームなどを防御し、責任問題に関する保護対策を進めていく上で、こうした問題への対処の重要性はますます高まっています。このような保護対策に関しては、不正なWebサイトやピアツーピアのファイル共有、IMでの会話などの防御やログ収集なども含まれ、その対象範囲は拡大しています。

セキュリティ管理者やIT管理者にとって、すべての攻撃ベクターを防御するのは不可能かもしれません。しかし、ネットワーク管理者やIT専門家が、セキュリティポリシーの設計や構築に膨大な時間を費やす必要はもうありません。ジュニパーネットワークスのSSGを採用して、本書に記載されている構築例やベストプラクティスなどを組み合わせることにより、セキュリティの向上や、使用する帯域幅の最適化、分散型エンタープライズ環境の負担軽減などを正しい方向に進めることができるのです。

ジュニパーネットワークスのUTMソリューションを適用した、支店のセキュリティ確保ジュニパーネットワークスのUTMソリューションは、ベンダー各社の従来の統合脅威管理レベルを一段と高め、特定の用途に限定した製品を超える機能を提供します。さらに、データセンターや大規模な支店を対象としたハイエンドな統合セキュリティ・ゲートウェイ（ISG）だけでなく、支店や支社に向けて、UTM機能を内蔵したSSGデバイスも一式取りそろえています。全デバイスに搭載されているScreenOSは、ハイパフォーマンスや、ポリシーベースのステートフル・ファイアウォール、IPsec VPNコネクティビティなどを確実に実現する設計を採用しています。さらに、デバイスはすべて、NSMを使用してシームレスに管理され、集中的なポリシー管理やログの統一、レポート作成などを実行します。

UTMのセキュリティ機能は、以下のとおりです。

◦ アクセス・コントロールを実行してネットワークレベルの攻撃を防御する、ステートフル・インスペクション・ファイアウォールを搭載。

◦ アプリケーションレベルの攻撃を防御する、侵入検知防御（ディープ・インスペクション・ファイアウォール）を搭載。

◦ カスペルスキーラボ（Kaspersky Lab）社のスキャニングエンジンをベースとした、クラス最高のアンチマルウェア防御機能を搭載。アンチウィルスやアンチフィッシング、アンチスパイウェア、アンチアドウェアなどを搭載し、ウィルスやトロイの木馬などさまざまなマルウェアによるネットワークのダメージを未然に防御。

◦ シマンテック社との協業により、スパムやフィッシングを防御するアンチスパム機能を搭載。

◦ Websenseを使用することで、不正かつ悪質なWebサイトやWebコンテンツを検出してアクセスを防御する、Webフィルタリング機能を搭載。

◦ オフィス間のセキュアな通信を確立する、サイト間のIPSec VPNを搭載。

◦ DoS攻撃緩和機能を搭載。

◦ H.323 ALGやSIP、SCCP（Skinny Client Control Protocol）、MGCP（Media Gateway Control Protocol）に対応し、VoIPトラフィックの調査・防御を実行。



詳細については、『Concepts & Examples ScreenOS Reference Guide Vol. 6, Voice-over-Internet Protocol』を参照してください。このリファレンスガイドは、対応するVoIP ALGや、H.323プロトコルに関する詳細について説明します。また、ジュニパーネットワークスのセキュリティデバイスやSIP ALGでのH.323 ALGの設定例や、MGCP ALGに関する概要などを説明し、ファイアウォールセキュリティの実装リストについてもまとめています。典型的な実装例については、MGCPアーキテクチャのまとめの後に示します。

ハードウェア・コンポーネントジュニパーネットワークスのUTM関連のハードウェア・コンポーネントには、SSG/ISGファイアウォールとSRXシリーズサービス・ゲートウェイなどがあります。

SSGジュニパーネットワークスが誇る、業界屈指のSSG製品シリーズは、最先端の包括的な攻撃防御機能を搭載したScreenOSを採用しており、常に新しい機能の開発や調整を積み重ねてきました。製品リリースのたびにUTM機能を進化させ、あらゆる企業のセキュリティポリシーに関するニーズを満たすことができるよう、カスタマイズ性の向上を実現しています。ScreenOSは現在、最高クラスのUTM機能を提供しており、SSGデバイスに内蔵されています。搭載している機能には、DoS防御やDPI

（ディープ・パケット・インスペクション）、URLログ収集とフィルタリング、ネットワークのアンチウィルスおよびアンチスパム防御などをはじめとするAnti-X防御機能などがあります。

ISGジュニパーネットワークスのISGデバイスは、第4世代のセキュリティ ASIC（特定用途向け集積回路）「GigaScreen3」を搭載した、目的特化型のセキュリティソリューションです。また、高速マイクロプロセッサを搭載し、圧倒的なパフォーマンスを実現するファイアウォールとVPNを提供します。さらにISG製品シリーズは、ハードウェアベースの統合型侵入検知防御（IDP）を搭載しているため、企業はハイパフォーマンスなシングルボックス・ソリューションを導入することで、支店からデータセンターやVPNヘッドエンドに向けたコネクティビティのセキュリティを確保できます。

SRXジュニパーネットワークスのSRX製品シリーズは、画期的なアーキキテクチャを採用し、市場をリードする拡張性とサービス統合機能を備えた、次世代のサービスゲートウェイです。

SRXシリーズの高度なセキュリティ機能は、自動的に脅威を検知して緩和します。その一方で、ルーティング機能によって、インテリジェントかつ迅速にトラフィックの優先度を設定します。こうした機能を活用し、高度なサービスやアプリケーションを保護して分散することにより、ネットワーク上で何百万人もの加入者やさまざまな企業の部署に対応することが可能です。

SRXシリーズは、以下のコンポーネントを搭載しています。

◦ ファイアウォール

◦ 侵入検知防御（IPS）

◦ DoS

◦ QoS（Quality of Service：サービスの質）

◦ NAT

◦ ルーティングおよびスイッチング

SRXシリーズのサービスゲートウェイは、共有カードや電源などをはじめとするパフォーマンスの拡張性に優れています。

集中管理ジュニパーネットワークスの集中管理技術は主に、Network and Security Manager（NSM）と管理アプライアンス

「NSMXpress」で構成されています。

NSMセキュリティ機器が地理的に分散されている場合は、集中的に管理することが非常に重要です。ジュニパーネットワークスのNSMは、集中型ポリシー管理やログの統合、レポート作成などの機能を提供します。NSMは、SSGデバイスやNetScreenファイアウォール、IDPアプライアンス、EXシリーズイーサネットスイッチ、Jシリーズルーター、Secure Access SSL VPN、統合型アクセス・コントロール（UAC）のインフラネット・コントローラなどを管理します。



また、ジュニパーネットワークスのデバイスは通常、NSMのサポートリストに追加されています。最新のサポートリストについては、製品&サービスをご覧ください。さらにNSMは、デバイス管理やライセンス供与、設定のアップデートが失敗した場合の自動「ロールバック」機能など、分散型エンタープライズ環境に特化した重要な機能を搭載しています。

NSMXpressNSMXpressは、NSMの管理アプライアンスです。管理インタフェースを1つに統合して、各デバイスのパラメータを制御することにより、複雑になりがちなセキュリティ機器管理を簡素化します。この堅牢なハードウェア管理システムは、優れた高可用性（HA）を実現しているため、わずか数分でインストールでき、拡張や導入も簡単です。

大規模な分散型エンタープライズ環境では、http://www.juniper.net/techpubs/software/management/security-manager/nsm2008_1/nsm2008.1_admin_guide.pdfに掲載されている『Network and Security Manager Administration Guide』の概要に従い、少なくとも4つのボックス型NSM構成を採用する必要があります。

4つのボックス型手法では、主要なGUIサーバーとデバイスサーバーを個別のボックスに分類し、地理的に離れたデータセンターにそれぞれのボックスを配置します。こうして、物理的な場所に関係なく個別に高可用性を実現することで、デバイス管理やログ収集を行うことができます。

STRMジュニパーネットワークスのSecurity Threat Response Manager（STRM）は、統合的なログ管理機能や脅威の検出機能、SIEM（セキュリティ情報・イベント管理）、単独のコンソール上におけるネットワーク状況の分析機能などを提供します。これにより、セキュリティ管理ソリューションの取得コストを削減できるだけでなく、IT効率の向上も実現できます。

ジュニパーネットワークスは、集中型SIEMソリューションを採用することでエンタープライズ環境のセキュリティ状況を包括的に可視化し、リアルタイムで脅威に対処することを推奨しています。

支店に配置されているミッションクリティカルなデバイスは、STRMにログを送信するよう設定が必要です。搭載されている大量の相関ルールを使用することで、ネットワーク内に存在するウィルスやワームの動きを検知することができます。STRMは、日常のネットワーク活動に潜んでいる危険性に対してソースを隔離し、講じるべき措置を指定します。STRMのフロー処理およびイベント処理機能では、ネットワークイベントおよびセキュリティイベントや、ネットワークおよびアプリケーションのフローデータを処理する拡張機能が分散されています。STRM 500/2500を支店に導入することで、エンタープライズ向けSIEMソリューションの拡張性を高めることができます。

STRMは、さまざまな支店からのUTMログ情報を効率的に関連付けます。さらに、ワームやウィルスが発生して、支店からデータセンターまでのネットワーク全体に広がる可能性がある場合は、セキュリティ・オペレーション・センター /ネットワーク・オペレーション・センター（SOC/NOC）の管理者に警告を発信することも可能です。

実装—UTM機能導入時のベストプラクティス以下のセクションでは、UTM導入時に推奨されるベストプラクティスについて説明します。

ディープ・インスペクションジュニパーネットワークスは、片方のエンドポイントに、もう一方のエンドポイントの脆弱性を悪用しかねない不正コードが含まれている可能性があるサービスに対して、ディープ・インスペクション（DI）の採用を推奨しています。例えば、ネットワークのUntrustゾーンの内側/外側に出入りするネットワークトラフィックなどが例として挙げられます。ネットワークは、Untrustゾーンインタフェースを使用してインターネットに接続します。Untrustゾーンは、支店のセキュリティゲートウェイに対して、企業全体で完全に制御されていないネットワークを接続します。

DIは、Regular Expressions（Regex）に従って、パケット内の不正なコンテンツを特定し、アプリケーションレイヤー上のトラフィックを調査することができます。例えば、インターネット上にまん延したワームが、Webサーバーに対して有害な文字列を送信し、IIS（Internet Information Server）のWeb脆弱性を不正利用しようとした場合は、カスタムシグネチャが攻撃文字列を識別して阻止します。カスタムシグネチャをポリシーに適用すると、そのポリシー内のトラフィックに対して、特定の文字列に関する検査が実行されます。

このため、インバウンド/アウトバウンド・トラフィックに関連するシグネチャのみを使用することが重要です。例えば、社員のコンピュータからインターネットに（TrustからUntrustに）送信されるアウトバウンドHTTPトラフィックに関しては、サーバーからクライアントへの脆弱性ベクターのセキュリティを確保し、社員のコンピュータに対するリスクを低減することが非常に重要です。



さらにジュニパーネットワークスは、クライアントからサーバーへの相互作用のセキュリティを確保することで、IPアドレス空間から攻撃が発生する場合に備え、企業の責任を制限することを推奨しています。また、攻撃に対する防御や識別についてはすべて、定期的にログ収集や監視を行うことが不可欠です。

アンチウィルスジュニパーネットワークスは、支店のデバイスが不正なコンテンツを絶対に受信しないよう、すべてのピアツーピア・トラフィックや電子メールトラフィックに対して、ワームやウィルス、トロイの木馬などといったマルウェアに関するスキャンを実施することを推奨しています。顧客企業によっては、ピアツーピア・トラフィックを完全にブロックアウトする場合もあります。

また、外部のファイル転送/共有に関しても、すべてスキャニングを実施することを推奨しています。特に、以下の3種類のトラフィックが重要です。

◦ Webメール

◦ ユーザーのPOP3（Point of Presence）メール取得

◦ メールサーバー SMTP（Simple Mail Transfer Protocol）のインバウンド電子メール

さらに、アンチウィルスエンジンから発生するログをすべて集中的に回収することが重要です。これにより、責任の所在を明らかにする監査証跡が可能になり、感染したユーザーに関するレポートも簡単に作成できます。

注：マルウェアは通常、企業ネットワーク上に存在していない機器に感染します。例えば、ユーザーがラップトップ型コンピュータを自宅に持ち帰ったり、出張に持ち運んだりする場合などが該当します。また、マルウェアへの感染は、支店のネットワーク内で発生する場合や、USBアダプタやMP3プレーヤー、CD-ROMなどを介して広がる場合もあります。ジュニパーネットワークスは、ウィルスに対して最大限の防御を保証すべく、常に徹底的な防御対策を実行することを推奨しています。IT管理者は、従来のホストベースのアンチウィルスやセキュリティソフトウェアなどを追加して、ネットワークレベルのアンチウィルスを増強する必要があります。これにより、ユーザーのハードドライブのスキャンや、圧縮ファイルやスクリプトのデコードを行うとともに、ユーザーのコンピュータのコンテンツすべてに対して潜在的な脅威に関する診断を行います。

アンチスパムジュニパーネットワークスは、支店にメールサーバーが設置されている場合は、UTMデバイスにアンチスパムエンジンをインストールするよう推奨しています。ただし、分散型エンタープライズ環境の場合は、アンチスパムエンジンはデータセンターまたは本社に配置されるため、必ずしもインストールが必要とは限りません。

Webフィルタリングジュニパーネットワークスは、Webフィルタリングを使用して、脅威に対してすべてのHTTP/FTPトラフィックをフィルタリングすることを推奨しています。これにより、支店のユーザーが、感染したコンテンツをネットワーク上で送受信できないようにします。さらに企業は、カスタマイズや不正利用の検出が可能になるだけでなく、インターネット・アクセスに関する利用規定も実行できます。Webフィルタリング・プロファイルは、企業の最高レベルのセキュリティポリシーと利用規定に準拠する必要があります。全支店を対象として、Webフィルタリングエンジンからのログをすべて集中的に回収し、ほかのセキュリティログと同時に確認できるようにすることが重要です。

Webフィルタリングのリダイレクト大規模な支店でVPNを導入する場合は、Webに関する主な検討事項としてログ収集やレポート作成が挙げられます。このためジュニパーネットワークスでは、HTTPのURLを集中型Websenseサーバーにリダイレクトしてログ収集やクラス分け機能を実行する「リダイレクト」メソッドの採用を推奨しています。この場合、フィルタリングやレポート作成、日常管理、アップデートなどはすべて、ヘッドエンドで維持されている集中型のWebsenseサーバーで実行されます。管理上のメリットとしては、Webフィルタリングポリシーが変更された場合にアップデートが必要となるのは集中サーバーのみであるため、支店のデバイスすべてをアップデートする必要がないという点があります。高可用性が懸念事項となる場合は、2台のWebsenseサーバーを使用することもできます。一方のサーバーを各データセンターに配置して、別のVPN経由でアクセスすることにより、障害許容力を強化できます。また、ScreenOSファイアウォールについても、Webフィルタリングサーバーに接続できない場合は「フェイルオープン」に設定することが可能です。



設計および実装の背景支店の種類やアクセス、コネクティビティに関する背景ジュニパーネットワークスの参照アーキテクチャは、企業だけでなく、特定の支店を拠点とする数々のユーザーからのセキュリティおよび可用性に関するニーズに対応するモデルを構築します。支店のアーキテクチャは、「タイプA – ベーシック」、「タイプB – 最適化」、「タイプC – 重要」という3つの支店プロファイルに分類されます。これらの3種類のプロファイルはそれぞれ、5人程度から数百人のユーザー数の規模に対応します。

支店タイプA – ベーシック：このタイプの支店は通常、1つの統合セキュリティ /ルーティングデバイスと、1つ以上のイーサネットスイッチで構成されており、数々の接続デバイスに対応します。データセンターへのWAN接続は、シングル/デュアルインターネット接続で実行します。このプロファイルは、コスト効率を最優先事項とする小規模な支店（例：小売施設やスモールオフィスなど）向けに設計されており、標準的な可用性を備えた基本的な機能セットに対応しています。こうしたロケーションでは通常、シンプルなLANインフラを構築して社員にアクセスを提供しています。規模が非常に小さい支店の場合は、統合セキュリティとルーティングデバイスのスイッチング性能のみを利用します。

支店タイプB – 最適化：このタイプの支店は、2つの統合セキュリティ /ルーティングデバイスと、2つ以上のイーサネットスイッチで構成され、すべてフルメッシュ構成で配備されています。データセンターへのWAN接続には、プライベートWANとインターネット接続の両方を使用します。このプロファイルは、小規模から中規模の支店に対応し、高可用性を実現します。大規模なオフィスの場合は通常、認証ベースのアクセス・コントロールが必要な社員用ネットワークやゲスト用ネットワークなどといった、ネットワークのセグメンテーションや個別ネットワークに対するサポートが必要です。

支店タイプC – 重要：このタイプの支店は、2台のエッジルーターと2台のセキュリティゲートウェイ、2台以上のイーサネットスイッチで構成され、すべてフルメッシュ構成で相互接続されています。データセンターへのWAN接続には、インターネット接続とプライベートWAN接続の両方を使用します。このプロファイルは、最高レベルのパフォーマンスと可用性を実現し、VoIPや動画配信などといったサービスに対する多様な要件にも対応可能な設計となっています。また、このタイプの支店は、MPLSネットワーク上に直接接続されている場合もあります。ネットワークのセグメンテーションや個別ネットワークだけでなく、個別サーバーのLANネットワークを必要とする、一部のローカルサーバーやサービスなどをホスト接続することも可能です。

使用事例本セクションでは、支店のセキュリティや分散型エンタープライズ環境に関連した、4件の使用事例について考察します。

◦ インターネット上の脅威に対するセキュリティ確保（インバウンド）

◦ 支店の脅威に対するインターネットのセキュリティ確保（アウトバウンド）

◦ 支店に対するエンタープライズ向けWAN/VPNのセキュリティ確保（アウトバウンドおよびインバウンド）

◦ ゲストユーザーに対するインターネット・アクセスの制限と、支店/VPNアクセスのブロッキング

インターネット上の脅威に対するセキュリティ確保（インバウンド）この設計では、UTMを使用して、インターネット上の脆弱性に対して支店の社員を保護します。この場合のUTMの目的は、脅威に対して支店自体を防御し、社員の生産性を向上させるとともに、ウィルスやトロイの木馬、ワームなどによる感染を検出しなければならないIT業務の負担を軽減することです。このためには、UTMを使用するだけでなく、DIやURLフィルタリング、ネットワークレベルでのアンチウィルスなどといった機能も利用して、サーバーからクライアントへの攻撃に伴う不正なWebサイトに対し、支店の社員を保護する必要があります。このように実装することで支店の帯域も節約でき、アウトバウンドQoSを使用した本来のビジネス目標を達成できます。

支店の脅威に対するインターネットのセキュリティ確保（アウトバウンド）この設計では、UTMを使用して、支店の社員やゲストに対してインターネットを保護します。この場合のUTMの目的は、厳格なファイアウォールルールやURLフィルタリングを採用して、インターネットの利用ポリシーを実行し、社員の生産性を向上させることです。また、DIやアプリケーションを実行して、アウトバウンドからの攻撃やファイルの共有、不正サイトなどをブロックし、「信用障壁」を構築します。

Copyright ©2009, Juniper Networks, Inc.10


支店に対するエンタープライズ向けWAN/VPNのセキュリティ確保（アウトバウンドおよびインバウンド）この設計では、UTMを使用して、支店に対して分散型エンタープライズ環境を保護するだけでなく、その反対に、分散型エンタープライズ環境に対して支店を保護します。ネットワークレベルのアンチウィルスを採用し、ワームやトロイの木馬、スパイウェアなどが各支店のネットワークを超えてまん延しないよう防御する必要があります。また、DIやスパム防止機能を使用して、攻撃や大量の迷惑データを発生源（支店）で防御する必要があります。さらに、本来のビジネス目標を達成するためには、インバウンド/アウトバウンドQoSを使用して、データセンターや支店でVPN帯域を節約する必要があります。

ユーザーに対するインターネット・アクセスの制限と、ゲストによるアクセスのブロッキング/ログ収集この設計では最初に、ゲストユーザーを別のサブネットやファイアウォールゾーンに隔離する必要があります。UTM機能は、ゲストのインターネット・アクセスを制限するため、ゲストユーザーが攻撃を展開したり、企業の責任を制限できないようにします。個別のゲストゾーンやポリシーを使用し、ゲストに対して支店やエンタープライズ向けVPNを隔離します。このポリシーに基づき、こうした種類のアクセス攻撃を防御してログ収集を行います。

セキュリティポリシーの実行最初のセクションでは、支店の脅威について検討し、こうした脅威に対して支店を保護する際にSSG（セキュア・サービス・ゲートウェイ）が果たす役割について考察しました。SSGの機能を活用すれば、分散型エンタープライズ環境に最適なセキュリティポリシーを策定できます。ここで定義するネットワーク・セキュリティ・ポリシーは、各企業のニーズに正確に適合しない可能性もありますが、少なくとも出発点として、各企業のニーズに合わせた拡張やカスタマイズが可能です。

支店の分散型ネットワークに関するセキュリティポリシーを作成する場合は、ビジネス面から技術面にいたるまで、目標を明確に定義することが大切です。理想的かつ「特定の対象に限定した」セキュリティポリシーは通常、小売店などのような「オープンな」企業に対しては効果がありません。こうした環境では、Webアクセスやインスタントメッセージ、電子メールなどを完全にブロックしたり、ネットワークにアクセスするすべてのユーザーに対してセキュアIDの認証を要求するなどといった徹底的な手法を採用すると、企業の負担が大きすぎて対応できない可能性があります。最終的にセキュリティポリシーを確定する場合は、平均的なユーザーのコンピュータ操作能力を考慮する必要があります。特定の企業環境にあるユーザーに対して、習得が困難な技術を要求したり、ソフトウェアのインストールまたはアップデートを要求したりするのは不適切だといえます。

セキュリティポリシーの作成—シンプルなファイアウォールルールの設定から大規模な企業の支店のファイアウォールは増加する一方であるため、その規模によっては管理が難しく、さらにコストも増大します。管理を簡素化するためには、必要なソースや宛先IP、プロトコルの使用などを実行すると同時に、支店のレイヤー 3/4ファイアウォールのセキュリティポリシーを可能な限り汎用化する必要があります。支店のセキュリティポリシーに対する変更は、最小限に抑えることを目標とします。（毎週1,000台のデバイスのポリシーを更新しなければならない状況だけは避ける必要があります。）ポリシー実行時に使用するハブや、前述の設計に関する主な利点の1つとして、特定のホストを対象としたダイナミックなファイアウォールセキュリティ・ポリシーを、支店からのトンネルの一方であるVPNハブで管理したり実行できることが挙げられます。このため支店のポリシーは、極めてシンプルかつ汎用的なものに維持されます。既存のサブネットにサーバーやリソースを追加する場合、更新が必要なのはハブのVPNポリシーだけとなるため、通常は2 ～ 4台のデバイスのみで済みます。

支店のファイアウォールポリシーは、UTMを追加実行する前や、（可能であれば）VPNハブデバイスに対して厳格なセキュリティポリシーを適用する前に、最初に作成して試験を実施する必要があります。こうした手法によって、試験やトラブルシューティングを簡素化できるだけでなく、後でポリシーを再度作成する必要もなくなります。3つのタイプの支店に関するファイアウォールポリシーは、以下のとおりです。

◦ タイプA – ベーシック：ユーザーゾーン（ファイアウォールはトラフィックシェーピングを搭載）

◦ タイプB – 最適化：ユーザーゾーン、ゲストゾーン（ファイアウォールはトラフィックシェーピングを搭載）

◦ タイプC – 重要：ユーザーゾーン、ゲストゾーン、非武装地帯（DMZ）（ファイアウォールはポリシー上でDiffServ（Differentiated Services）マーキングを使用し、別のルーターが実際のトラフィックシェーピングを実行）

Copyright ©2009, Juniper Networks, Inc. 11


実装する際は、ネットワークを徹底的に構築するために、IPアドレススキーマを明確に定義します。この場合のセキュリティポリシーでは、類似しているスーパーネットをベースとしたネットワークのアドレスを使用することができます。ただし、長期間にわたって構築と拡大を繰り返してきたネットワークの場合は、こうしたシンプルで一貫性のあるIPアドレススキーマの持つメリットを生かせない場合が多く見られます。このような種類のネットワークの場合は、複数のネットワークを含むアドレスグループを使用して、シンプルなポリシーを作成することもできます。

スーパーネットをベースとする送信元アドレスおよび宛先アドレスのオブジェクトは、あらゆる支店で採用されており、レイヤー3/4のアクセス・コントロール用として初期テンプレートを作成します。

支店のファイアウォールポリシーを作成する際は、以下の内容について十分に検討しながら取り組む必要があります。

◦ 来月または来年までに追加予定の、将来的な拡張計画や新規ネットワーク、IP範囲などを検討。

◦ データセンターやDMZ、音声、トリプルプレイ・ネットワークなどや、既存ネットワークに統合予定の新規買収企業などに伴い拡張する、さまざまなタイプの支店を対象とした汎用的なファイアウォールポリシーの作成に要する期間を延長。

◦ 他社のエンジニアや別の部署が、自社のIPルーティングやアドレス割り付けを行う場合は、支店のセキュリティポリシー作成時に話し合いが必要。

実装ガイドラインこのセクションでは、以下のタイプのセキュリティポリシーに関する実装ガイドラインについて説明します。

◦ インターネットセキュリティ

◦ ゲストゾーン

◦ VPNアウトバウンド/インバウンド

◦ 補完型VPNハブ/データセンター

注：ポリシーと関連ゾーンについて説明する前に、集中ポリシー管理の役割を検討し、UTMをポリシーベースで選択的に有効にする必要があります。

集中ポリシー管理NSMの「Security Policy Editor」を使用して、最初にシンプルなファイアウォールポリシーを作成します。

NSMは、オブジェクトやグループ、プロトコルグループに共通のアドレスを割り当てることができるため、NSM内でのオブジェクト作成は1回のみです。最初に作成した「支店タイプA – ベーシック」のポリシーを簡素化することによって、1つのセキュリティポリシー（テンプレート）を各タイプの支店に使用できます。まず、「支店タイプA – ベーシック」のポリシーを[Save As]でコピーし、「タイプB – 最適化」を作成します。そして同様に、「タイプC – 重要」ポリシーを作成します。

作成したこれらのポリシーは、各SSGデバイスに適用して試験を実施してから、すべての支店のSSGデバイスに対して「展開」されます。

UTMをセキュリティポリシーに追加ジュニパーネットワークスのポリシーをベースとしたアーキテクチャでは、UTMセキュリティ機能の有効性をポリシーごとに選択できるため、UTMのエンフォースメントの際に、きめ細やかな制御を実現します。このため、UTM機能が有効になる前に、最初にファイアウォールポリシーを作成して試験を行うことができるのです。

インターネット・セキュリティポリシー（Trustからインターネットゾーン）以下のポリシーは、インターネット上の脅威に対して支店のローカルユーザーを保護すると同時に、支店のユーザーによってもたらされる脅威に対してインターネットを保護します。これらのポリシー概要については、図1を参照してください。

ポリシー 100は、全支店のユーザーに対して、インターネット上のメールサーバーへのアクセスを許可します。このメールサービスで使用されているサービスグループには、SMTPやPOP3、IMAP（Internet Message Access Protocol）などがあります。このポリシーではアンチウィルスが有効なため、すべての添付ファイルをスキャンして、不正なコンテンツを含むものはすべてブロックされます。「付録B NSMサービスおよび攻撃グループ」に記載されているとおり、MAILプロファイルを使用することでDIが有効になるため、インターネットのメールサーバー上の攻撃を防御します。

Copyright ©2009, Juniper Networks, Inc.1�


ポリシー 9は、全支店のユーザーに対して、Port 80または8080（http-ext）上のWebサービスに対するアクセスを許可します。このポリシーでは、アンチウィルスが有効なため、すべてのHTTPベースのファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツをブロックします。また、このルール上ではWebフィルタリング機能が有効なため、URL要求はすべて検証およびレポート作成のためにWebsenseサーバーに対してリダイレクトされます。「付録B NSMサービスおよび攻撃グループ」に記載されているように、HTTP/FTPプロファイルを使用してDIが有効になっています。このため、メールサーバーに対するアウトバウンド攻撃や、不正なWebサイトによるサーバーからクライアントへの（インバウンド）攻撃に対して、支店のユーザーが感染しないよう防御できます。

ポリシー 20は、全支店のユーザーに対して、インターネット上のFTPサーバーへのアクセスを許可します。このポリシーでは、アンチウィルスが有効なため、すべてのFTPファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツをブロックします。「付録B NSMサービスおよび攻撃グループ」に記載されているように、HTTP/FTPプロファイルを使用してDIが有効になっています。このため、支店のユーザーがインターネットのFTPサーバーに対してアウトバウンド攻撃を送信しないよう防御できます。

ポリシー 14は、「付録B NSMサービスおよび攻撃グループ」で作成されたサービスグループを使用し、全支店のユーザーに対して、DNS（ドメイン・ネーム・システム）やLDAP（ライトウェイト・ディレクトリ・アクセス・プロトコル）などといった他のインターネット・サービスへのアクセスを許可します。このポリシーでは、アンチウィルスが有効なため、すべてのFTPファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックします。「付録B NSMサービスおよび攻撃グループ」に記載されているように、Inet Appsプロファイルを使用してDIが有効になっています。このため、支店のユーザーがインターネット上でアウトバウンド攻撃を送信しないよう防御できます。

ポリシー 16は、「付録B NSMサービスおよび攻撃グループ」で作成されたサービスグループを使用し、全支店のユーザーに対して、MSNまたはYahooメッセンジャーなどといったインターネット・メッセージングへのアクセスを許可します。このポリシーでは、アンチウィルスが有効なため、全ファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックします。このため、支店のユーザーがインターネット上でアウトバウンド攻撃を送信しないよう防御できます。

ポリシー 8は、trustゾーン内から発生するすべてのトラフィックに対して、インターネットを含むuntrustサブネットにアクセスしないよう防御します。このポリシーは、認証されていないプロトコルをすべて防御します。ログ収集とカウンティングが有効なため、インターネットへの接続がブロックされると、すべて記録されます。

トラフィックシェーピングに関する注記：トラフィックシェーピングは、trustからインターネットに対するすべてのポリシー上で有効になっています。2番目に低い優先度で設定されているため、帯域は保証されません。このため、支店のインターネット・アクセス上では、エンタープライズ向けVPNトラフィックの優先度が保証されます。

図1. NSM（Network and Security Manager）のTrustからUntrustに対するポリシー

Copyright ©2009, Juniper Networks, Inc. 1�


ゲストゾーンのポリシー以下のポリシーは、ゲストゾーンのある支店にも適用が拡大されます。これらのポリシー概要については、図2を参照してください。

ポリシー 24/25は、リソースやログ収集を拒否するという特定のポリシーを実行し、ローカルユーザー（trustゾーン）やリモートオフィス、データセンターのリソース（VPNゾーン）などに対して、ゲストゾーンに接続されているすべてのホストがアクセスしないよう防御します。カウンティングを指定すれば、これらのネットワークに対してゲストゾーンからのアクセスが防御された場合に、すべてのログを収集することができます。

ポリシー 26は、ゲストに対して、「MAIL-Services」グループを再利用し、アウトバウンドSMTPやPOP3、IMAPトラフィックなどを許可する電子メールへのアウトバウンドアクセスを許可します。このポリシーに従い、アンチウィルスとDIを後から有効にして、電子メールトラフィックに対するUTM防御を実行することができます。

ポリシー 27は、すべての支店のゲストに対して、ポート80または8080（http-ext）上のWebサービスに対するアクセスを許可します。このポリシーではアンチウィルスが有効になっているため、すべてのHTTPべースのファイルアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックします。また、このルールではWebフィルタリングも有効なため、Websenseサーバーに対するURL要求はすべてリダイレクトされ、検証およびレポート作成を行います。「付録B NSMサービスおよび攻撃グループ」に記載されているとおり、HTTP/FTPプロファイルを使用してDIが有効となっています。これにより、不正なWebサイトからメールサーバーに対するアウトバウンド攻撃や、サーバーからクライアントへの（インバウンド）攻撃によって、支店のゲストが感染しないよう防御できます。

ポリシー 30は、全支店のゲストに対して、インターネット上のFTPサーバーへのアクセスを許可します。このポリシーではアンチウィルスが有効になっているため、すべてのFTPファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックします。「付録B NSMサービスおよび攻撃グループ」に記載されているとおり、HTTP/FTPプロファイルを使用してDIが有効となっています。これにより、支店のゲストがインターネットのFTPサーバーに対してアウトバウンド攻撃を実行しないよう防御します。

ポリシー 28は、すべての支店のゲストに対して、「付録A 支店のSSG構成」で作成したサービスグループを使用し、DNSやLDAPなどといった他のインターネット・サービスへのアクセスを許可します。このポリシーではアンチウィルスが有効になっているため、すべてのFTPアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックします。「付録A 支店のSSG構成」の記述に従い、Inet Appsプロファイルを使用してDIが有効となっています。このため、支店のゲストがインターネット上でアウトバウンド攻撃を実行しないよう防御します。

ポリシー 20は、上述の中で特に指定されていない、ゲストからのその他のトラフィックをすべてインターネット上にドロップします。ログ収集とカウンティングでは、暗黙のドロップルールが使用されます。このため、ゲストユーザーによる不正な接続について、集中的なログ収集を行うことができます。図1を参照してください。

トラフィックシェーピングは、ゲストからインターネットに対するすべてのポリシー上で有効になっています。優先度は一番低いため、帯域は保証されません。このため、支店のゲストのアクセスよりも、エンタープライズ向けVPNトラフィックと支店のユーザーが優先的に保証されます。さらに、ゲストが過剰に帯域幅を占領することによって正規のVPNユーザートラフィックに影響が及ぶことがないよう保証できます。このようなトラフィックシェーピングがなければ、たった1人のゲストユーザーが大容量のファイルをダウンロードしただけでも、上流のリンクが飽和状態になってしまい、ビジネス上で不可欠なトラフィックにまで悪影響が及んでしまいます。

図2. NetScreen Manager（ゲストゾーンに関するポリシー）



VPNアウトバウンドポリシー（TrustからVPNゾーン）以下のポリシーは、支店のローカルユーザーゾーン（trustゾーン）から発生する不正トラフィックに対して、各支店やVPNヘッドエンドを保護します。これらのポリシー概要については、図3を参照してください。

ポリシー 10は、支店のtrustサブネットから、他の各支店やデータセンターのサブネットに対して、アウトバウンドSIPトラフィックを許可します。このルールに適合するトラフィックは、アプリケーション・インスペクションに従い、正規のSIPトラフィックのみが有効となります。トラフィックシェーピングが実行されると、SIPトラフィックが最優先となり、アウトバウンドSIPトラフィックに対して300kbpsの帯域幅が保証されます。

ポリシー 15は、全支店のtrustサブネットに対して、データセンターネットワーク内の電子メールサービスへのアクセスを許可します。サービスグループ「MAIL-Services」には、SMTPやPOP3、IMAPなどが含まれています。このルールに適合するトラフィックは、アンチウィルスの検疫が必須であるため、インバウンドとアウトバウンド両方のウィルスやワームを防御できます。また、DIを実行することにより、作成したMAILプロファイルを使用して、メールプロトコルに対する周知の攻撃を防御します。トラフィックシェーピングは、メールトラフィックの優先度を、SIPに次ぐ2番目に設定しています。

ポリシー 11は、データセンターのネットワークすべてに対して、全支店のtrustサブネットのHTTPアクセスを許可します。アプリケーション・インスペクションを実行することで、本ルールに適合する正規のHTTPトラフィックのみが有効になります。さらに本ルールでは、アンチウィルスとURLフィルタリングだけでなく、DIも有効なため、HTTPプロファイルが周知のHTTPアウトバウンド攻撃をブロックしたり、サーバーからクライアントへのHTTP攻撃などもブロックします。トラフィックシェーピングは、このトラフィックの優先度を、SIPに次ぐ2番目に設定しています。

ポリシー 19は、全データセンターのネットワークに対するFTPクライアントのアクセスを許可します。アプリケーション・インスペクションにより、有効なFTPトラフィックのみが確実に本ルールに適合するよう保証します。アンチウィルスは、ファイルアップロードまたはダウンロードに含まれるウィルスやワームをすべて検出し、防御します。DIが有効なため、周知のFTP攻撃からデータセンターのリソースを保護します。トラフィックシェーピングは、このトラフィックの優先度を、HTTPと集中アプリケーションに次ぐ3番目に設定しています。

ポリシー 12は、全支店のtrustサブネットに対して、全データセンターのネットワークに付随する集中アプリケーションへのアクセスを許可します。HTTPSトラフィックに対するURLフィルタリングが有効なため、DIは、あらかじめ作成したエンタープライズ向けAppsプロファイルを使用して、周知の攻撃を防御します。

ポリシー 6は、trustゾーン内で発生するすべてのトラフィックに対して、VPNゾーン内でVPNと交差しないよう防御します。また、ログ収集とカウンティング（LogCount）が有効なため、接続が防御されると、すべて記録されます。

図3. NetScreen Manager（TrustからVPNに関するポリシー）



VPNインバウンドポリシー（VPNからTrustゾーン）以下のポリシーは、他の支店またはVPNヘッドエンドから発生する不正トラフィックに対して、支店のユーザーを保護します。これらのポリシー概要については、図5を参照してください。


ポリシー 1は、VPNゾーンから全支店のtrustゾーンに対するインバウンドアクセスを許可するとともに、SIPを使用するサブネットが企業のVoIPインフラストラクチャに対応するよう許可します。音声トラフィックは、レイテンシや帯域制限の影響を受けやすいため、このポリシーではトラフィックシェーピングを実行し、インバウンドSIPトラフィックを最優先に設定して300kbpsの帯域幅を確保します。アプリケーション・インスペクションはDIを使用して、有効なSIPトラフィック（ポート5060）のみが本ルールに適合しているかを検証します。

ポリシー 18は、支店のtrustゾーンや、ポート80および8080/8000（http-ext）上のHTTPを使用するサブネットに対する、VPNゾーンのNOC管理者からのインバウンドアクセスを許可します。アプリケーション・インスペクションはDIを使用して、有効なHTTPトラフィックのみが処理されているかについて検証します。本ポリシーには、カスタムの攻撃プロファイル（HTTPプロファイル）が適用され、サーバーからクライアントへの攻撃などといった、重大かつ高度なHTTP攻撃をドロップします。本ポリシーではアンチウィルスが有効ですが、URLフィルタリングについては、必要に応じてNOC管理者用の送信ポイントで実行されるため、不要です。トラフィックシェーピングは、このトラフィックの優先度を2番目に設定しています。

ポリシー 2は、VPNゾーンのNOC管理者から、支店のtrustゾーンと、FTPを使用しているサブネットに対するインバウンドアクセスを許可します。アプリケーション・インスペクションはDIを使用して、有効なFTPトラフィックのみが処理されているかを検証します。本ポリシーには、カスタムの攻撃プロファイル（FTPプロファイル）が適用されており、サーバーからクライアントへの攻撃などといった、重大かつ高度なFTP攻撃をドロップします。本ポリシーではアンチウィルスが有効ですが、URLフィルタリングについては、必要に応じてNOC管理者用の送信ポイントで実行されるため、有効にはなっていません。トラフィックシェーピングは、このトラフィックの優先度を3番目に設定しています。

ポリシー 3は、NOC管理者からの各種リモート管理サービスを許可します。このサービスグループ「リモート管理」は、NOC管理者がICMP（インターネット・コントロール・メッセージ・プロトコル）やTelnet、RDP（Reliable Data Protocol）、VNC（バーチャル・ネットワーク・コンピューティング）、SSHなどを使用して、支店のユーザーにアクセスすることを許可します。適合する攻撃プロファイル（リモート管理プロファイル）は、これらのリモート管理サービスに対してもDIを適用します。トラフィックシェーピングは、このトラフィックの優先度を2番目に設定しています。

ポリシー 5は、VPNゾーンから発生するその他のトラフィックが、支店のtrustゾーン内で終了しないように防御します。ログ収集やカウンティングが有効なため、接続が防御されると、すべて記録されます。




補完型VPNハブ/データセンターのポリシー作成VPNハブデバイスは、トンネルの片側でアクセス・コントロールを実行し、重要ながらも二次的な役割を担います。ハイエンドなデバイスを数台しか使用していない場合は、特定のルールや変更点などをもっと簡単に日常ベースで管理できます。この段階で、すべての支店で対応デバイスを導入しなくても、IDPまたはリダイレクトURLフィルタリングなどの追加検査を行うことができます。実装する際は、IDP機能を搭載したISGファイアウォールが、インバウンドやアウトバウンド、バックホール方式のインターネット・トラフィックなどに対して完全なIDP検査を行います。

データセンターのアドレスオブジェクトとポリシーについても、ヘッドエンドでさらに具体化することができます。例えば、サーバーの種類（例：ティア1、2、3）やDNSサーバー、メールサーバーなどを分離することができます。既存のデータセンターは、サブネットで分離できない場合があるため、こうしたデータセンターにとって必要なポリシーだといえます。また、アドレスオブジェクトとグループを使用して、共通のアプリケーションサービスと共通のポリシーを組み合わせることも可能です。

このため、中央のデータセンターのデバイスが必要とするファイアウォールは2 ～ 4つのみであることから、ほとんどのポリシーを変更することが可能です。こうした方法は、数百～数千台もの支店のデバイスに対してポリシーを再度作成するよりも、はるかに効率的です。さらに、支店全体に対して汎用的なポリシーを実行することで、トラブルシューティングも容易になり、VPNの集線装置やデータセンターのファイアウォールで、特定のフィルタリングを追加することも可能です。また、ネットワーク管理権限者がデータセンターのチームに対して、支店やVPNグループに影響を及ぼすことなく、デバイスへのアクセスを管理する権限を委任することも可能です。



まとめUTM機能とその性能は一般的に、遠隔地に支店を持ち、従来のファイアウォール以上のセキュリティ機能を備えたアクセスを必要とする、中規模～大規模な企業や政府機関などに最適です。SOX（Sarbanes-Oxley：サーベンス・オクスリー法）やHIPAA（Healthcare Insurance Portability and Accountability Act：医療保険の相互運用性と説明責任に関する法律）、PCI（Payment Card Industry）などといった特定の順守要件に対しては、UTMを実装することで、厳しいセキュリティ要件や性能要件に対しても容易に準拠することが可能です。

UTMの実装と管理により、絶え間なく変化し続ける脅威に対して、支店のセキュリティを確保するという重大なメリットを享受できます。UTMは、遠隔地の各支店が数百ヶ所に散在する分散型エンタープライズ環境全体において、効率的かつ均一的に実装可能なため、ネットワーク管理者やIT専門家はセキュリティデバイスを簡単に集中管理できるだけでなく、セキュリティ攻撃の認識や低減に必要な業務の手間を省くことも可能です。UTMのセキュリティ機能は、ジュニパーネットワークスのポリシーベースのアーキテクチャを採用しているため、ポリシーごとに選択して有効にすることができます。このためネットワーク管理者は、UTMを実行する上で、きめ細やかな制御を実現できます。さらに、支店の共通プラットフォーム上にUTM機能を統合することにより、コストの大幅な削減を実現できるだけでなく、管理もしやすくなるというメリットが生まれます。

ジュニパーネットワークスの製品を使用して、実装ガイドラインの推奨事項に従い実践することにより、分散型エンタープライズ環境全体において、厳格なセキュリティ構築に向けた基礎を築くことができます。これによりネットワーク管理者は、企業のセキュリティに関する目標を達成できます。本実装ガイドのポリシー作成に関する説明は、共通のシナリオに基づきUTMを使用して、ビジネスネットワークのセキュリティを確保する上でのベストプラクティスを提供しています。

付録A 支店のSSG構成支店のSSG構成方法について、主な手順を以下に説明します。

必要なライセンスの取得SSGデバイスは全種とも、ライセンス供与を受けたUTM機能が内蔵されています。ジュニパーネットワークスが提供するアンチウィルスやDI、URLフィルタリングは、保有するSSGデバイスのシリアルナンバーに関連付けられており、毎年更新が必要です。本ガイドの中で実装されている機能については、アンチウィルスとDI（基本パッケージ）の両方が必要です。保有デバイスのシリアルナンバーを今すぐ確認する場合は、以下に従い入力してください。

SSG5-D-> get system | include serial

Serial Number: 0168102006001518, Control Number: 00000000

現在設定されているライセンスを確認する場合は、以下に従い入力してください。SSG5-D-> get license

...

Sessions: 16064 sessions

Capacity: unlimited number of users

NSRP: ActiveActive

VPN tunnels: 40 tunnels

Vsys: None

Vrouters: 4 virtual routers

Zones: 10 zones

VLANs: 50 vlans

Drp: Enable

Deep Inspection: Enable

Deep Inspection Database Expire Date: 2009/4/23

Signature pack: Standard Deep Inspection Pack

IDP: Disable

AV: Enable(1)

Antispam: Enable(1)

Url Filtering: Expire Date: 2009/4/23



マニュアルのライセンス更新については、いつでも以下のコマンドを使用して実施できます。ライセンス更新を開始する前に、保有デバイスがインターネットにアクセス可能な状態にあるか、また、DNSが正しく設定されているかを必ず確認してください。

ディープ・インスペクションのデータベース更新SSG5-D-> exec attack-db update (ensure working Internet Default Gateway and DNS)

またはSSG5-D-> save attack-db from tftp 1.2.3.4 attack.db to flash (Manual download from TFTP)

アンチウィルスのデータベース更新SSG5-D-> exec av scan-mgr pattern-update

AV：パターン更新を間もなく開始します。URL http://update.juniper-updates.net/AV/5GT/

URLフィルタリングの設定（Websenseリダイレクトを使用）set url protocol websense

set config enable

set server 192.168.4.39 15858 10

set server src-interface bgroup0

exit

NSMへのSSGデバイス追加NSM管理者ガイドを参照して、デバイスを追加します。「実行可能な」方法が推奨されています。

以下を参照してください。 http://www.juniper.net/techpubs/software/management/security-manager/nsm2008_1/nsm2008.1_admin_guide.pdf

SSGデバイスの設定をNSMにインポート既存のSSGデバイスが使用中で、すでにNSMへの追加設定が完了している場合は、デバイスをインポートする方法が推奨されています。

セキュリティポリシーを適用してデバイスを更新デバイスのインポートが無事完了してから、NSM搭載デバイスにセキュリティポリシーを適用し、デバイスを更新します。



付録B NSMサービスおよび攻撃グループ以下の図は、本書のセキュリティポリシーで使用されているNSMディープ・インスペクションの攻撃グループとサービスについて示しています。最初に必ずこれらのグループを作成してから、本書の説明に従ってセキュリティポリシーに適用してください。

図 6 . アウトバンド H T T P / F T P トラフィック（アウトバウンド V P N およびアウトバウンド・インターネット）用ディープ・インスペクション・プロファイル

Copyright ©2009, Juniper Networks, Inc.�0


図 7 . その他の共通インターネット・サービス用ディープ・インスペクション・プロファイル（アウトバウンドVPNおよびインターネット）

図 8 . インターネットおよびエンタープライズの電子メール検査用ディープ・インスペクション・プロファイル（アウトバウンドVPNおよびインターネット）

Copyright ©2009, Juniper Networks, Inc. �1


図 9 . 共通のエンタープライズ・アプリケーション用ディープ・インスペクション・プロファイル（インバウンド/アウトバウンドVPN）

図10. リモート管理サービス用NSMサービスオブジェクト（インバウンドVPN）

��


Copyright© 2009, Juniper Networks, Inc. All rights reserved.Juniper Networks、JUNOS、NetScreen、ScreenOS、Juniper Networks ロゴ、および JUNOSe は、米国およびその他の国における Juniper Networks Inc. の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

日本ジュニパーネットワークス株式会社東京本社〒163-1035東京都新宿区西新宿3-7-1 新宿パークタワーN棟35階電話　03-5321-2600FAX　03-5321-2700

西日本事務所〒541-0041大阪府大阪市中央区北浜1-1-27グランクリュ大阪北浜

URL http://www.juniper.co.jp

米国本社Juniper Networks, Inc.1194 North Mathilda AveSunnyvale, CA 94089USA

電話　888-JUNIPER　　 (888-586-4737)または408-745-2000FAX　408-745-2100

URL　http://www.juniper.net

米国東海岸Juniper Networks, Inc.10 Technology Park DriveWestford, Massachusetts 01886-3146USA

電話　978-589-5800 FAX　978-589-0800

アジアパシフィックJuniper Networks (Hong Kong) Ltd.26/FCityplaza One1111 King’s Road,Taikoo Shing, Hong Kong

電話　852-2332-3636FAX　852-2574-7803

ヨーロッパ、中東、アフリカJuniper Networks IrelandAirside Business ParkSwords, County DublinIreland

電話　35-31-8903-600FAX　35-31-8903-601

801011-001 JP Jan 2009

ジュニパーネットワークスについてジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションの一元化されたネットワークにおける展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンスなネットワーク・インフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に貢献します。ジュニパーネットワークスに関する詳細な情報は、以下のURLでご覧になれます。

http://www.juniper.co.jp/

Documents