IDP 基本配置
本主题提供有关在 SRX 系列防火墙上启用 IDP 的详细信息。它涵盖了获取许可证、下载签名更新和应用预定义策略等关键步骤。该主题还重点介绍了如何将 IDP 与安全策略集成,以实现有效的流量检测和威胁防御。
瞻博网络定期在其网站上提供包含攻击数据库更新的文件。您可以下载此文件来保护您的网络免受新威胁的侵害。您可以从瞻博网络下载该安全包,其中包含 IDP 策略模板,可帮助您在 Junos 安全平台上实施 IDP 策略。
本主题中的过程说明如何在 SRX 系列防火墙上下载和配置初始 IDP 功能。
您可以将此过程用于运行 Junos OS 18.3R1 版的 SRX 系列防火墙。此配置示例使用 Junos OS 19.3R1 版进行了测试。
在 SRX 系列防火墙上配置 IDP 功能之前,必须完成以下步骤:
下载并安装许可证
验证对 SRX 系列防火墙的网络访问。
下载并安装 IDP 签名包(也称为安全包或攻击对象)
下载策略模板(可选)。
将推荐策略配置为 IDP 策略(可选)
在安全策略中启用 IDP 检查
下载并安装 IDP 许可证
瞻博网络维护一个攻击签名数据库,以便与 IDP 功能配合使用。您需要有效的许可证才能检索更新,以便下载和安装瞻博网络提供的每日特征码数据库更新。IDP 签名许可证密钥不提供宽限期支持。
有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥。
检查与更新服务器的连接
必须将 Junos 安全平台连接到互联网才能直接更新设备。
使用以下作模式命令检查来自 Junos 安全平台的服务器连接。
user@host> request security idp security-package download check-server
Successfully retrieved from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3222(Detector=12.6.180190722, Templates=3222)
此命令不仅可以验证网络连接,还可以提供远程数据库版本,这对于将版本差异与之前的命令输出进行比较非常有用。
下载 IDP 签名包
您可以手动下载瞻博网络安全包,也可以按指定时间间隔自动下载。以下步骤说明了用于下载安全包的作模式命令并检查下载状态。
安装 IDP 签名包
完成 IDP 签名包的下载后,必须先安装 IDP 签名包,然后才能在策略中实际使用签名。如果已配置策略,则无需重新提交策略,安装更新会将其添加到现有策略中。
下载并安装 IDP 策略模板
IDP 签名包下载包含各种策略模板。安装模板后,您可以按原样使用模板策略,也可以针对网络环境对其进行自定义。
使用以下步骤下载并安装瞻博网络提供的最新策略模板。
应用建议的 IDP 策略
Junos OS 以提交脚本的形式下载策略模板。下载并安装策略模板后,必须使用配置模式命令激活模板提交脚本,并执行以下步骤:
停用提交脚本文件
建议删除或停用提交脚本文件。通过删除或停用提交脚本文件,可以避免在提交配置时覆盖对预定义策略(使用模板创建)的修改的风险。
使用以下步骤删除或停用提交脚本文件:
user@host#
delete system scripts commit file templates.xsluser@host#
deactivate system scripts commit file templates.xsl