Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 IDP 迁移

本主题提供有关安装和配置 IDP 的详细信息。

有关详细信息,请参阅以下主题:

初始配置概述

在 SRX 系列防火墙上启用功能齐全的 IPS 服务包括以下基本配置步骤:

基本配置

  1. 配置基本网络、安全和接入组件(在大多数情况下,已经配置好了)。

  2. 配置并激活 IPS 策略。

  3. 配置防火墙策略以将特定规则与 IPS 关联。

  4. 下载攻击对象,包括传感器更新。

  5. 配置日志记录。

  6. 更新安全包。

  7. 验证配置和测试功能。

初始配置假设

在开始 IPS 策略配置之前,本文档假定存在初始网络配置,并且管理员用户对 SRX 系列具有完全访问权限。示例系统上的初始设备配置如下:

注意:

在本文档中,我们提供了配置特定功能所需的命令;但是,为了激活关联的功能,需要成功提交配置更改(使用 commit 命令)。

此功能需要许可证。要了解有关 IPS 许可证的更多信息,请参阅 安装 IPS 许可证 (CLI)。有关许可证管理的一般信息,请参阅 瞻博网络许可指南 。有关详细信息,请参阅 SRX 系列服务网关 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。

IPS 配置 (CLI)

配置接口

  1. 显示当前接口(假设接口已正确布线)
  2. 配置转发接口。
  3. 验证配置。

配置安全区域

  1. 配置安全区域。
    1. 显示现有区域:

    2. 配置区域 abc-trust 和 abc-untrust,并相应地分配接口。

  2. 验证配置。

配置 IPS 安全策略

  1. 配置 IPS 策略 abc-idp-policy。

    本部分中的简单配置涉及设置一个规则来查找所有严重攻击,如果找到匹配项,则删除关联的连接,将该事件设置为严重事件并记录警报。第二条规则配置为查找重大攻击,并在检测到严重攻击时执行建议的操作,并记录事件。

    注意:

    日志记录意味着将系统日志 (syslog) 消息发送到适当的、预配置的系统日志服务器。后续各节将提供日志记录配置步骤。

  2. 验证 IPS 策略 abc-idp 策略。
  3. 设置跟踪选项。
    1. 要提供详细的 IPS 进程事件信息(策略编译结果、策略加载结果、DFA 匹配等),以便进行进一步的系统分析、调整和更轻松地进行故障排除,强烈建议启用跟踪选项。下面是一个示例设置,该设置将跟踪配置为写入包含所有调试级别(错误、信息、通知、详细和警告)的所有安全事件。如果未将跟踪文件名写入以被跟踪的进程命名的文件中,则不会指定跟踪文件名,IDP/var/log/idpd 就是这种情况:
    2. 对于此示例,我们将文件大小限制为 100 MB。这意味着该过程将写入此文件,一旦达到 100 MB,它将将其重命名为 idpd.0 并继续使用新的 idpd。默认文件数为 3,如果文件编号用尽,则最旧的文件 (idpd.2) 将被覆盖。
  4. 验证跟踪选项设置。
  5. 激活 IPS 系列策略。
  6. 验证活动的 IPS 策略。
注意:

要在 SRX 系列防火墙上部署 IPS 策略,还需要执行一个步骤 — 配置防火墙安全策略以确定 IPS 服务要处理哪些流量。下一节将对此进行介绍。

配置防火墙安全策略

要使进入 SRX 系列防火墙的流量由 IPS 安全策略防火墙处理,需要相应地配置安全策略。

以下是在 SRX 系列网关上配置防火墙安全策略和完成入侵防御系统配置所需的步骤。这将导致 IPS 安全策略 abc-idp-policy 检查安全区域 abc-untrust 和 abc-trust 之间的流量。

  1. 确保系统配置了拒绝所有流量的默认策略。这基本上意味着流量将 1。在整个网关中被拒绝,除非防火墙安全策略明确允许。
  2. 配置策略。
  3. 验证配置。

IPS 日志记录

当事件与启用了日志记录的 IPS 策略规则匹配时,IPS 会生成事件日志。配置日志记录规则时,设备会为与该规则匹配的每个事件创建一个日志条目。

配置为执行此操作后,IPS 服务将通过封装在 514/udp 中的模拟 IP 地址直接从数据平面将与策略条目匹配的事件发送到日志记录服务器。

配置日志记录:

  1. 配置接口数据平面以从以下位置发送系统日志消息:
  2. 选择格式(标准格式或结构化格式)。
  3. 设置模拟的源 IP 地址(接口不能为 fxp0)。
  4. 设置严重性。
  5. 指示系统日志服务器 IP 地址(日志通过 514/udp 发送到该地址)。
  6. 验证日志配置。