Modelos de política de IDP predefinidos
A Juniper Networks fornece modelos de política predefinidos que você pode usar como ponto de partida para criar suas próprias políticas. Cada modelo é um conjunto de regras de um tipo de base de regras específico que você pode copiar e depois atualizar de acordo com seus requisitos.
Entendendo modelos de políticas de IDP predefinidos
Os modelos de política predefinidos estão disponíveis no arquivo em um site seguro da templates.xls
Juniper Networks. Para começar a usar um modelo, você executa um comando da CLI para baixar e copiar este arquivo para um /var/db/scripts/commit
diretório.
Cada modelo de política contém regras que usam as ações padrão associadas aos objetos de ataque. Você deve personalizar esses modelos para trabalhar em sua rede selecionando seus próprios endereços de origem e destino e escolhendo ações de IDP que reflitam suas necessidades de segurança.
Os modelos de cliente/servidor foram projetados para facilitar o uso e fornecer desempenho e cobertura equilibrados. Os modelos de cliente/servidor incluem proteção do cliente, proteção de servidor e proteção de cliente/servidor.
Cada um dos modelos de cliente/servidor tem duas versões específicas do dispositivo, uma versão de 1 gigabyte (GB) e uma versão de 2 GB.
As versões de 1 gigabyte rotuladas de 1G só devem ser usadas para dispositivos limitados a 1 GB de memória. Se um dispositivo de 1 GB carregar algo além de uma política de 1 GB, o dispositivo pode experimentar erros de compilação de políticas devido à memória limitada ou cobertura limitada. Se um dispositivo de 2 GB carregar algo além de uma política de 2 GB, o dispositivo pode experimentar cobertura limitada.
Use esses modelos como diretriz para a criação de políticas. Recomendamos que você faça uma cópia desses modelos e use a cópia (não a original) para a política. Essa abordagem permite que você faça alterações na política e evite problemas futuros devido a mudanças nos modelos de política.
A Tabela 1 resume os modelos de política de IDP predefinidos fornecidos pela Juniper Networks.
Nome do modelo |
Descrição |
---|---|
Client-And-Server-Protection |
Projetado para proteger clientes e servidores. Para ser usado em dispositivos de alta memória com 2 GB ou mais de memória. |
Client-And-Server-Protection-1G |
Projetado para proteger clientes e servidores. Para ser usado em todos os dispositivos, incluindo dispositivos de filial de baixa memória. |
Client-Protection |
Projetado para proteger os clientes. Para ser usado em dispositivos de alta memória com 2 GB ou mais de memória. |
Client-Protection-1G |
Projetado para proteger os clientes. Para ser usado em todos os dispositivos, incluindo dispositivos de filial de baixa memória. |
DMZ Services |
Protege um ambiente típico de zona desmilitarizada (DMZ). |
DNS Server |
Protege serviços de DNS (Domain Name System, Sistema de nomes de domínio). |
File Server |
Protege serviços de compartilhamento de arquivos, como o Network File System (NFS), FTP e outros. |
Getting Started |
Contém regras muito abertas. Útil em ambientes de laboratório controlados, mas não deve ser implantado em redes ao vivo de tráfego pesado. |
IDP Default |
Contém uma boa combinação de segurança e desempenho. |
Recommended |
Contém apenas os objetos de ataque marcados como recommended pela Juniper Networks. Todas as regras têm sua coluna de ações definida para tomar a ação recomendada para cada objeto de ataque. |
Server-Protection |
Projetado para proteger servidores. Para ser usado em dispositivos de alta memória com 2 GB ou mais de memória. |
Server-Protection-1G |
Projetado para proteger servidores. Para ser usado em todos os dispositivos, incluindo dispositivos de filial de baixa memória. |
Web Server |
Protege servidores HTTP contra ataques remotos. |
Para usar modelos de política predefinidos:
Baixe os modelos de políticas no site da Juniper Networks.
Instale os modelos de políticas.
Habilite o arquivo de
templates.xls
script. Os scripts de confirmação no/var/db/scripts/commit
diretório são ignorados se não estiverem habilitados.Escolha um modelo de política apropriado para você e personalize-o se necessário.
Ative a política que você deseja executar no sistema. Ativar a política pode levar alguns minutos. Mesmo após a exibição de uma mensagem completa de confirmação na CLI, o sistema pode continuar compilando e empurrando a política para o plano de dados.
Nota:Ocasionalmente, o processo de compilação pode falhar em uma política. Neste caso, a política ativa exibida em sua configuração pode não corresponder à política real em execução em seu dispositivo. Execute o
show security idp status
comando para verificar a política em execução. Além disso, você pode visualizar os arquivos de log IDP para verificar a carga da política e o status da compilação.Exclua ou desative o arquivo de script de confirmação. Ao excluir o arquivo de script de confirmação, você evita o risco de substituir modificações no modelo quando você confirma a configuração. Desativar a declaração adiciona uma tag inativa à declaração, comentando efetivamente a declaração da configuração. Declarações marcadas como inativas não surtiram efeito quando você emite o
commit
comando.
Para obter mais informações, veja https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490.
Download e uso de modelos de política de IDP predefinidos (procedimento CLI)
Antes de começar, configure interfaces de rede. Consulte o guia de configuração de interfaces do Junos OS para dispositivos de segurança.
Baixar e usar um modelo de política predefinido: