IDP 基本配置
瞻博网络定期在其网站上提供包含攻击数据库更新的文件。您可以下载此文件来保护您的网络免受新威胁的侵害。您可以从瞻博网络下载的安全包还包括 IDP 策略模板,可帮助您在 Junos 安全平台上实施 IDP 策略。
本主题中的过程介绍如何在安全设备上下载和配置初始 IDP 功能。
您可以对运行 Junos OS 18.3R1 版的 SRX 系列设备使用此过程。此配置示例经 Junos OS 19.3R1 版测试。
您必须完成以下步骤,然后才能在 SRX 系列设备上配置 IDP 功能:
下载并安装许可证
验证对安全设备的网络访问。
下载和安装 IDP 签名包(也称为安全包或攻击对象)
下载策略模板(可选)。
将建议的策略配置为 IDP 策略(可选)
在安全策略中启用 IDP 检查
下载和安装 IDP 许可证
瞻博网络维护着一个攻击签名数据库,用于 IDP 功能。您需要一个有效的许可证才能检索用于下载和安装瞻博网络提供的每日签名数据库更新的更新。IDP 签名许可证密钥不提供宽限期支持。
有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥。
检查您与更新服务器的连接
您必须将 Junos 安全平台连接到互联网,才能直接更新设备。
使用以下操作模式命令检查来自 Junos 安全平台的服务器连接。
user@host> request security idp security-package download check-server
Successfully retrieved from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3222(Detector=12.6.180190722, Templates=3222)
此命令不仅可以验证网络连接,还可以提供远程数据库版本,这对于比较版本差异与之前的命令输出非常有用。
下载 IDP 签名包
您可以按指定的时间间隔手动或自动下载瞻博网络安全包。以下步骤说明了下载安全包的操作模式命令,并检查下载状态。
安装 IDP 签名包
完成 IDP 签名包的下载后,必须先安装 IDP 签名包,然后才能在策略中实际使用 IDP 签名包。如果您已经配置了策略,则无需重新提交策略-安装更新会将更新添加到现有策略中。
下载并安装 IDP 策略模板
IDP 签名包下载包括各种策略模板。安装模板后,您可以按部就地使用模板策略,也可以针对您的网络环境进行自定义。
使用以下步骤下载并安装瞻博网络提供的最新策略模板。
应用推荐的 IDP 策略
Junos OS 以提交脚本的形式下载策略模板。下载并安装策略模板后,必须使用以下步骤使用配置模式命令激活模板提交脚本:
停用提交脚本文件
建议删除或停用提交脚本文件。通过删除或停用提交脚本文件,可以避免提交配置时覆盖对预定义策略(使用模板创建的)修改的风险。
使用以下步骤删除或停用提交脚本文件:
user@host#
delete system scripts commit file templates.xsluser@host#
deactivate system scripts commit file templates.xsl