juniper SSG (旧:ネットスクリーン)には、DeepInspection(以下、DI)というIPSオプション機能がついてる。これを使う時に調べたメモ。
- Which Attack Groups Are Included in Each DI Signature Pack?
事前設定
設定をOnにするときに、用途に応じてどういう路線のSignatureが必要かを設定する。
- Signature Packの種類
プロトコル別に、どんなSignatrueが出てるかも公開されてる。
- プロトコル別 Signature/Anomalies
説明ページが古めかしいのは、ScreenOSが終息する製品だからって事だろうか。。。いささかさみしい。
設定
DI設定時には、ポリシー単位で設定していく。流れはこんな感じ。
- ポリシーの「DeepInspection」のボタンを押す
- SignaturePackの中にある「グループ」を選択して、Action/Logginなどを決定
- 保存する
グループはこんな感じ。
Signatureを単体で扱わないので楽ちん?でも、Signatureはシステム上での有効・無効は設定できても、ポリシー単位での有効・向こうは設定できないので、こだわる時には注意が必要かも。
ただSignatureは、どんどん累積していくタイプではなく、その時々に応じて必要そうな(パフォーマンス上処理できそうな?)数が配信されているようなので、こだわった使い方をするものではないと割り切るものなのかもしれない。
その他
なお機種によっては設定できるSeverityに制限があるもよう。もうNetScreen-5使ってる人はいないかな?
- Is the full set of DI signatures available for the NetScreen-5 Series in ScreenOS 5.2 and later?
ちなみに同じIPS機能でも、Juniperのメインラインは、こんなきれいなサイトで紹介されてる。
えらい違いだ(;