Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 迁移简介

本主题简要概述了从独立的瞻博网络 IDP 系列入侵检测和保护设备或具有 IDP 安全模块的瞻博网络 ISG 系列集成安全网关迁移到瞻博网络 SRX 系列服务网关时的一些基本注意事项。

有关更多信息,请参阅以下主题:

IDP 系列设备到 SRX 系列设备的迁移概述

介绍

SRX 系列设备配备全面的安全和联网功能,是采用瞻博网络 IDP 系列入侵检测和防御设备本机集成的完全入侵防御系统 (IPS) 技术性能最强的防火墙,可对整个网络中的当前和新兴威胁提供内联保护。

虽然可以从瞻博网络 J-Web 软件中完全配置 SRX 系列 IDP 策略,但本文主要重点介绍 CLI 和 Junos Space Security Director 配置步骤,目的是为 IDP 系列新手以及熟悉使用 IDP 解决方案管理独立 IDP 系列和 ISG 系列的系统工程师提供轻松的过渡和学习路径。

由于独立 IDP 系列设备通常部署在探测器或透明模式下,因此必须解决有关网络设计的其他注意事项。这些涉及:

  • 网络接口配置

  • 安全区域配置

此外,还考虑了以下安全功能:

  • 拒绝服务 (DoS) 和泛洪防护。

  • 流量异常检测或筛选(以及适用于 SRX 系列设备的一些检测方法)。

  • 必须仔细分析配置的设置和操作,因为添加新设备可能会影响网络流量,特别是在第 3 层处理方面。

SRX 系列服务网关可在探测模式下部署(仅在 SRX5400、SRX5600 和 SRX5800 设备上)。SRX300、SRX340、SRX345 和 SRX550HM 设备不支持探测模式。

多方法检测

SRX 系列设备部署两个规则库—一个 IDP 主规则库和一个豁免规则库。

此外,SRX 系列设备使用的安全区域基于基于 ScreenOS 的安全设备所采用的技术,并提供详细的屏幕保护,作为一些基本的独立检测方法或规则库的替代方案。

测 井

必须在 SRX 系列设备上配置日志记录,以便通过系统日志记录将记录发送到预配置的 syslog 服务器,例如瞻博网络瞻博网络安全分析 (JSA)。

传感器配置设置

在独立 IDP 系列和 SRX 系列设备上,许多传感器配置设置都可以配置为微调 IDP 系列行为,也可从 CLI 和 Junos Space Security Director (SD) 访问。如果任何设置已从默认值更改或需要进一步修改,则必须手动修改这些设置。没有用于导出或导入修改设置的自动化流程。

要考虑的要点

从 IDP 系列设备迁移到 SRX 系列设备时,请注意以下要点:

  • 与 ScreenOS 上的深度检测相比,SRX 系列设备上的基本 IPS 检测功能与 IDP 系列设备或带 IDP 安全模块的 ISG 系列上提供的功能没有区别。

  • SRX 系列 IDP 并非所有 IPS 功能都提供。我们建议您熟悉详细介绍这些差异的文档。

  • 仅 SRX5400、SRX5600 和 SRX5800 设备可在探测模式(透明模式)中配置。

  • IPS 不需要单独的许可证,可以作为服务在 SRX 系列设备上运行;但是,IPS 更新需要许可证。

  • 需要基本防火墙策略,并且需要包含 IPS 应用程序服务语句,以启用 IPS 检测。

  • 不支持启用所有攻击。如果策略未加载,请检查服务日志文件,了解策略大小和负载结果。

  • 当在 SRX 系列数据平面上识别消息时,需要系统日志 (syslog) 服务器来收集安全事件相关消息。

  • 重要的是要了解,根据攻击对象的数量和策略的大小,编译和应用 IPS 策略可能需要一段时间。从 Junos OS 12.1 版和 Junos OS 17.3R1 版开始,SRX 系列设备可以用于更智能的编译引擎,同时缓存已编译的信息,从而大大缩短了编译过程所需的时间。编译过程是异步进行的,这意味着 SRX 系列设备会启动进程,但不会暂停 CLI 或 SD 会话,而是允许您在以后查看状态。

了解入侵防御系统

概述

瞻博网络入侵防御系统 (IPS) 功能可以检测并阻止网络流量中的攻击。

SRX 系列设备提供集成在 Junos OS 软件中的 IPS 功能;无需特殊硬件。IPS 管理员可以选择使用 CLI 或 Junos Space Security Director 部署和管理 IPS。

IPS 架构

IPS 架构由以下部分组成:

  • 带 IPS 的 SRX 系列设备 — IPS 功能作为 Junos OS 的一部分集成,无需特殊硬件。

  • 管理 — 可使用 CLI 命令完全管理 SRX 系列设备。但是,如果 IPS 部署涉及多个 SRX 系列设备,我们建议使用 Junos Space Security Director 应用程序。

  • 日志记录 — 瞻博网络安全分析 (JSA) 是瞻博网络的安全信息和事件管理 (SIEM) 解决方案。JSA 具有 SRX 系列设备 IPS 解决方案的预定义仪表板和报告。除了日志记录,JSA 还提供事件关联、事件管理和流量监控。SRX 系列日志采用系统日志(结构化数据系统日志)格式,这些日志可以发送到 JSA 或用户可能已有的任何其他系统日志服务器。

具有机箱群集限制的 IPS

SRX 系列设备上的主动/被动和主动/主动机箱群集模式均支持 IPS,但存在以下限制:

  • 不对故障转移或故障回传的会话执行任何检查。只有故障转移后的新会话才会受到 IPS 的检查,而较旧的会话会变成防火墙会话。

  • IP 操作表不会跨节点同步。如果对会话执行 IP 操作,并将源 IP 和/或目标 IP 添加到 IP 操作表中,则不会将此信息同步到辅助节点。因此,来自源 IP 和/或目标 IP 的会话将被转发,直到检测到新的攻击。

  • SSL 会话 ID 缓存不会跨节点同步。如果 SSL 会话重复使用会话 ID,而该会话 ID 恰好在缓存会话 ID 的节点以外的节点上进行处理,则无法解密 SSL 会话,将绕过该会话进行 IPS 检查。

了解入侵防御系统部署模式

本主题概述了 SRX 系列设备的不同类型的 IPS 部署模式。

IPS 提供三种不同的部署模式:

  • 集成模式

  • 探测器模式

集成模式

SRX 系列设备支持集成模式。集成模式是 IPS 在 SRX 系列设备上操作的默认模式(没有特定指示表明设备处于集成模式。)

注意:

我们建议在集成模式下部署 IPS。

探测器模式

仅 SRX5400、SRX5600 和 SRX5800 设备支持探测模式。您可以通过在混杂模式下配置接口并使用路由操作流量和流设置来使用 IPS 部署的探测器模式。

在 SRX5400、SRX5600 和 SRX5800 设备上,在探测模式下,入口和出口接口处理将源接口和目标接口显示为出口接口的流。

作为应对方案,在探测器模式下,使用带标记的接口。因此,日志中会显示相同的接口名称。例如,ge-0/0/2.0 作为入口(探测器)接口和 ge-0/0/2.100 作为出口接口显示在日志中,以将源接口显示为 ge-0/0/2.100。

IPS 入门

为 IPS 功能配置 SRX 系列设备之前,请执行以下操作:

  1. Install the License- 必须先安装 IDP 许可证,然后才能下载任何攻击对象。如果您仅使用自定义攻击对象,则无需安装许可证,但如果要下载瞻博网络预定义的攻击对象,则必须具有此许可证。瞻博网络为您提供了下载 30 天试用许可证的能力,以便允许此功能在短时间内评估功能。您只需运行命令, request system license add 指定文件存储位置,或者将其复制粘贴到终端中。

  2. Configure Network Access—您必须与瞻博网络下载服务器或可从中下载签名的本地服务器建立网络连接,才能下载攻击对象。这通常需要网络配置(IP/Net 掩码、路由和 DNS)和允许的访问才能到达服务器。在撰写本文时,不支持 HTTP 代理,但您可以配置一个本地 Web 服务器,从中为文件提供服务。

  3. Download Attack Objects-在部署 IPS 之前,必须先下载将编译策略的攻击对象。触发手动下载不会将 SRX 系列设备配置为将来进行下载,因此必须配置自动更新才能下载。

  4. Install Attack Objects—下载完成后,必须安装攻击更新才能真正用于策略。如果您已经配置了策略,则无需重新提交策略-安装更新会将更新添加到策略中。安装过程将已下载到阶段目录中的攻击对象编译到配置的策略中。

  5. Download Policy Templates (optional)— 您可以选择下载和安装瞻博网络提供的预定义 IPS 策略(策略模板),以开始使用。完成本章后,您应该能够配置自己的策略,因此可能不需要策略模板。

注意:

从 Junos OS 12.1 版和 Junos OS 17.3R1 版开始,SRX 系列设备会自动将签名包推送至机箱群集的辅助成员。在 Junos OS 12.1 版和 Junos OS 17.3R1 版之前,您必须在群集的两个成员上使用 fxp0,因为两个成员必须下载各自的实例。对于超过 12.1 和 17.3R1 的 Junos OS 版本,不存在显式配置。SRX 系列设备将在下载过程中下载签名包并将其推送至辅助成员。