IDP 迁移简介
本主题简要概述了从独立的瞻博网络 IDP 系列入侵检测和保护设备或具有 IDP 安全模块的瞻博网络ISG Series集成安全网关迁移到瞻博网络 SRX 系列防火墙时的一些基本注意事项。
有关详细信息,请参阅以下主题:
IDP 系列设备到 SRX 系列防火墙迁移概述
介绍
SRX 系列防火墙配备了全面的安全和联网功能,是采用瞻博网络 IDP 系列入侵检测和防御设备本机集成的全面入侵防御系统 (IPS) 技术的性能最高的防火墙,可针对整个网络中当前和新出现的威胁提供内联保护。
虽然 SRX 系列 IDP 策略可以完全从瞻博网络 J-Web 软件中配置,但本文档主要介绍 CLI 和 Junos Space Security Director 配置步骤,旨在为 IDP 系列的新系统工程师和已经熟悉管理独立 IDP 系列和使用 IDP 解决方案ISG Series的系统工程师提供简单的过渡和学习路径。
由于独立的 IDP 系列设备通常以嗅探器或透明模式部署,因此必须解决有关网络设计的其他注意事项。其中包括:
网络接口配置
安全区域配置
此外,还有关于以下安全功能的注意事项:
拒绝服务 (DoS) 和防洪保护。
流量异常检测或筛选(以及适用于 SRX 系列防火墙的一些检测方法)。
必须仔细分析配置的设置和操作,因为添加新设备可能会影响网络流量,尤其是在第 3 层处理方面。
SRX 系列防火墙可以在嗅探器模式下部署(仅在 SRX5400、SRX5600 和 SRX5800 设备上)。SRX300、SRX340、SRX345 和 SRX550HM 设备不支持嗅探器模式。
多方法检测
SRX 系列防火墙部署两个规则库 — 一个主 IDP 规则库和一个豁免规则库。
此外,SRX 系列防火墙使用基于基于 ScreenOS 的安全设备可用技术的安全区域,并提供详细的屏幕保护,作为某些基本独立检测方法或规则库的替代方案。
伐木
SRX 系列防火墙上的日志记录必须配置为通过系统日志记录将响应安全事件的记录发送到预配置的系统日志服务器,例如瞻博网络瞻博网络安全分析 (JSA)。
传感器配置设置
在独立的 IDP 系列和 SRX 系列防火墙上,可以配置许多传感器配置设置来微调 IDP 系列行为,并且可以从 CLI 和 Junos Space Security Director (SD) 进行访问。如果任何设置已从默认值更改或需要进一步修改,则必须手动修改它们。没有用于导出或导入已修改设置的自动化过程。
需要考虑的要点
从 IDP 系列设备迁移到 SRX 系列防火墙时,请注意以下要点:
与 ScreenOS 上的深度检测相比,SRX 系列防火墙上的基本 IPS 检测功能与 IDP 系列设备或带有 IDP 安全模块的ISG Series上提供的功能没有区别。
并非所有 IPS 功能在 SRX 系列 IDP 上都可用。我们建议您熟悉详细说明这些差异的文档。
只能在嗅探器模式(透明模式)下配置 SRX5400、SRX5600 和 SRX5800 设备。
IPS 不需要单独的许可证即可在 SRX 系列防火墙上作为服务运行;但是,IPS 更新需要许可证。
基本防火墙策略是必需的,并且需要包含 IPS 应用程序服务语句才能启用 IPS 检查。
不支持启用所有攻击。如果未加载策略,请检查服务日志文件以了解策略大小和加载结果。
在 SRX 系列数据平面上识别与安全事件相关的消息时,需要系统日志 (syslog) 服务器来收集这些消息。
请务必了解,编译和应用 IPS 策略可能需要一些时间,具体取决于攻击对象的数量和策略的大小。从 Junos OS 12.1 版和 Junos OS 17.3R1 版开始,SRX 系列防火墙被用于更智能的编译引擎以及缓存编译的信息,从而大大减少编译过程所需的时间。编译过程以异步方式执行,这意味着 SRX 系列防火墙会启动该过程,但不会阻止 CLI 或 SD 会话,而是允许您稍后查看状态。
了解入侵防御系统
概述
瞻博网络入侵防御系统 (IPS) 功能可检测并防止网络流量中的攻击。
SRX 系列防火墙提供集成在 Junos OS 软件中的 IPS 功能;无需特殊硬件。IPS 管理员可以选择 CLI 或 Junos Space Security Director 部署和管理 IPS。
IPS 架构
IPS 架构由以下各项组成:
带 IPS 的 SRX 系列防火墙 — IPS 功能集成在 Junos OS 中,无需特殊硬件。
管理 — 可以使用 CLI 命令完全管理 SRX 系列防火墙。但是,如果 IPS 部署中涉及多个 SRX 系列防火墙,我们建议使用 Junos Space Security Director 应用程序。
日志记录 — 瞻博网络安全分析 (JSA) 是瞻博网络安全信息和事件管理 (SIEM) 解决方案。JSA 为 SRX 系列防火墙 IPS 解决方案提供了预定义的仪表板和报告。除了日志记录之外,JSA 还提供事件关联、事件管理和流量监控。SRX 系列日志采用 syslog(结构化数据系统日志)格式,这些日志可以发送到 JSA 或用户可能已有的任何其他系统日志服务器。
具有机箱群集限制的 IPS
SRX 系列防火墙上的主动/被动和主动/主动机箱群集模式都支持 IPS,但存在以下限制:
不会对故障转移或故障回复的会话执行任何检查。IPS 仅检查故障转移后的新会话,较旧的会话将成为防火墙会话。
IP 操作表不会跨节点同步。如果对会话执行了 IP 操作,并且源 IP、目标 IP 或两者添加到 IP 操作表中,则此信息不会同步到辅助节点。因此,来自源 IP、目标 IP 或两者的会话将被转发,直到检测到新的攻击。
SSL 会话 ID 缓存不会跨节点同步。如果 SSL 会话重复使用会话 ID,并且恰好在缓存会话 ID 的节点以外的节点上处理,则无法解密 SSL 会话,并且将被绕过以进行 IPS 检查。
参见
了解入侵防御系统部署模式
本主题概述了 SRX 系列防火墙的不同类型的 IPS 部署模式。
IPS 提供三种不同的部署模式:
集成模式
嗅探器模式
集成模式
SRX 系列防火墙支持集成模式。集成模式是 IPS 在 SRX 系列防火墙上运行的默认模式(没有特定迹象表明设备处于集成模式。
我们建议在集成模式下部署 IPS。
嗅探器模式
嗅探器模式仅在 SRX5400、SRX5600 和 SRX5800 设备上受支持。您可以使用 IPS 部署的嗅探器模式,方法是将接口配置为混合模式,并通过路由操纵流量和流量设置。
在 SRX5400、SRX5600 和 SRX5800 设备上,在嗅探器模式下,入口和出口接口与将源接口和目标接口都显示为出口接口的流配合使用。
解决方法是,在嗅探器模式下,使用标记的接口。因此,日志中会显示相同的接口名称。例如,日志中将显示 ge-0/0/2.0 作为入口 (sniffer) 接口,将 ge-0/0/2.100 作为出口接口,以将源接口显示为 ge-0/0/2.100。
set interfaces ge-0/0/2 promiscuous-modeset interfaces ge-0/0/2 vlan-taggingset interfaces ge-0/0/2 unit 0 vlan-id 0set interfaces ge-0/0/2 unit 100 vlan-id 100
参见
IPS 入门
在为 IPS 功能配置 SRX 系列防火墙之前,请执行以下操作:
Install the License— 您必须先安装 IDP 许可证,然后才能下载任何攻击对象。如果仅使用自定义攻击对象,则无需安装许可证,但如果要下载瞻博网络预定义的攻击对象,则必须拥有此许可证。瞻博网络为您提供了下载 30 天试用许可证的功能,以便在短时间内允许此功能以评估功能。您所需要做的就是运行命令指定
request system license add文件存储位置或将其复制并粘贴到终端中。Configure Network Access— 在下载攻击对象之前,您必须与瞻博网络下载服务器或可从中下载签名的本地服务器建立网络连接。这通常需要网络配置(IP/网络掩码、路由和 DNS)并允许访问服务器。在撰写本文时,不支持 HTTP 代理,但您可以配置从中提供文件的本地 Web 服务器。
-
Download Attack Objects— 在部署 IPS 之前,必须先下载要从中编译策略的攻击对象。触发手动下载不会将 SRX 系列防火墙配置为将来下载它们,因此您必须配置自动更新才能下载它们。
Install Attack Objects- 下载完成后,必须先安装攻击更新,然后才能在策略中实际使用它们。如果已配置策略,则无需重新提交策略 - 安装更新会将其添加到策略中。安装过程会将已下载到暂存目录的攻击对象编译到配置的策略中。
Download Policy Templates (optional)—您可以选择下载并安装预定义的 IPS 策略(称为瞻博网络提供的策略模板)以开始使用。完成本章后,您应该能够配置自己的策略,因此您可能不需要策略模板。
从 Junos OS 12.1 版和 Junos OS 17.3R1 版开始,SRX 系列防火墙会自动将签名包推送到机箱群集的辅助成员。在 Junos OS 12.1 版和 Junos OS 17.3R1 版之前,您必须在群集的两个成员上使用 fxp0,因为两个成员都必须下载自己的实例。对于 12.1 和 17.3R1 以上的 Junos OS 版本,没有显式配置。SRX 系列防火墙将下载签名包,并在下载过程中将其推送到辅助成员。