Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 基本配置

瞻博网络定期在其网站上提供包含攻击数据库更新的文件。您可以下载此文件来保护您的网络免受新威胁的侵害。您可以从瞻博网络下载的安全包还包括 IDP 策略模板,可帮助您在 Junos 安全平台上实施 IDP 策略。

本主题中的过程介绍如何在安全设备上下载和配置初始 IDP 功能。

您可以对运行 Junos OS 18.3R1 版的 SRX 系列设备使用此过程。此配置示例经 Junos OS 19.3R1 版测试。

您必须完成以下步骤,然后才能在 SRX 系列设备上配置 IDP 功能:

  • 下载并安装许可证

  • 验证对安全设备的网络访问。

  • 下载和安装 IDP 签名包(也称为安全包或攻击对象)

  • 下载策略模板(可选)。

  • 将建议的策略配置为 IDP 策略(可选)

  • 在安全策略中启用 IDP 检查

下载和安装 IDP 许可证

瞻博网络维护着一个攻击签名数据库,用于 IDP 功能。您需要一个有效的许可证才能检索用于下载和安装瞻博网络提供的每日签名数据库更新的更新。IDP 签名许可证密钥不提供宽限期支持。

有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥。

检查您与更新服务器的连接

您必须将 Junos 安全平台连接到互联网,才能直接更新设备。

使用以下操作模式命令检查来自 Junos 安全平台的服务器连接。

此命令不仅可以验证网络连接,还可以提供远程数据库版本,这对于比较版本差异与之前的命令输出非常有用。

下载 IDP 签名包

您可以按指定的时间间隔手动或自动下载瞻博网络安全包。以下步骤说明了下载安全包的操作模式命令,并检查下载状态。

  1. 下载安全包。

    根据数据库大小和互联网连接速度,下载数据库可能需要一些时间。

  2. 检查安全包下载状态。

安装 IDP 签名包

完成 IDP 签名包的下载后,必须先安装 IDP 签名包,然后才能在策略中实际使用 IDP 签名包。如果您已经配置了策略,则无需重新提交策略-安装更新会将更新添加到现有策略中。

  1. 安装安全包。

    安装攻击数据库可能需要一些时间,具体取决于安全包的大小。

  2. 检查攻击数据库安装状态。

    命令输出显示有关已下载和已安装的攻击数据库版本的信息。

    如果设备上没有配置活动 IDP 策略,系统将显示以下消息。

下载并安装 IDP 策略模板

IDP 签名包下载包括各种策略模板。安装模板后,您可以按部就地使用模板策略,也可以针对您的网络环境进行自定义。

使用以下步骤下载并安装瞻博网络提供的最新策略模板。

  1. 下载预定义的 IDP 策略模板。
  2. 检查安全包下载状态。
  3. 安装 IDP 策略模板。
  4. 验证安装状态更新。

停用提交脚本文件

建议删除或停用提交脚本文件。通过删除或停用提交脚本文件,可以避免提交配置时覆盖对预定义策略(使用模板创建的)修改的风险。

使用以下步骤删除或停用提交脚本文件:

在安全策略中启用 IDP

激活建议的 IDP 策略的最后一步是将 IDP 操作应用于安全策略。

  1. 启用安全策略进行 IDP 检查。
  2. 完成配置后,提交更改。
  3. 使用 show security policies policy-name idp-policy-1 detail 命令验证安全策略中的 IDP 配置。

    示例输出确认您为安全策略启用了 IDP。

现在,您可以继续配置其他 IDP 策略。请参阅 示例:为统一安全策略配置多个 IDP 策略和默认 IDP 策略