Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

预定义的 IDP 策略模板

瞻博网络提供了预定义的策略模板,您可以将其用作创建自己策略的起点。每个模板都是一组特定规则库类型的规则,您可以复制这些规则,然后根据需要进行更新。

了解预定义的 IDP 策略模板

安全瞻博网络网站上的文件中提供了 templates.xls 预定义的策略模板。要开始使用模板,请从 CLI 运行命令以下载此文件 /var/db/scripts/commit 并将其复制到目录中。

每个策略模板都包含使用与攻击对象关联的默认操作的规则。您应该自定义这些模板,以便在您的网络上工作,方法是选择您自己的源地址和目标地址,然后选择反映您的安全需求的 IDP 操作。

客户端/服务器模板旨在易于使用,并提供平衡的性能和覆盖范围。客户端/服务器模板包括客户端保护、服务器保护和客户端/服务器保护。

每个客户端/服务器模板都有两个特定于设备的版本:1 千兆字节 (GB) 版本和 2 GB 版本。

注意:

标记为 1G 的 1 GB 版本只能用于内存限制为 1 GB 的设备。如果 1 GB 设备加载 1 GB 策略以外的任何内容,则由于内存有限或覆盖范围有限,设备可能会遇到策略编译错误。如果 2 GB 设备加载 2 GB 策略以外的任何内容,则设备可能会遇到有限的覆盖范围。

使用这些模板作为创建策略的指南。我们建议您创建这些模板的副本,并将副本(而不是原始副本)用于策略。此方法允许您对策略进行更改,并避免将来由于策略模板中的更改而出现问题。

表 1 汇总了瞻博网络提供的预定义 IDP 策略模板。

表 1:预定义的 IDP 策略模板

模板名称

描述

Client-And-Server-Protection

旨在保护客户端和服务器。用于具有 2 GB 或更多内存的高内存设备。

Client-And-Server-Protection-1G

旨在保护客户端和服务器。可在所有设备上使用,包括内存不足的分支设备。

Client-Protection

旨在保护客户端。用于具有 2 GB 或更多内存的高内存设备。

Client-Protection-1G

旨在保护客户端。可在所有设备上使用,包括内存不足的分支设备。

DMZ Services

保护典型的非军事区 (DMZ) 环境。

DNS Server

保护域名系统 (DNS) 服务。

File Server

保护文件共享服务,如网络文件系统 (NFS)、FTP 等。

Getting Started

包含非常开放的规则。在受控实验室环境中很有用,但不应用于流量较大的实时网络上。

IDP Default

包含安全性和性能的良好组合。

Recommended

仅包含标记为瞻博网络的攻击对象 recommended 。所有规则都设置了“操作”列,以便对每个攻击对象执行建议的操作。

Server-Protection

旨在保护服务器。用于具有 2 GB 或更多内存的高内存设备。

Server-Protection-1G

旨在保护服务器。可在所有设备上使用,包括内存不足的分支设备。

Web Server

保护 HTTP 服务器免受远程攻击。

要使用预定义的策略模板,请执行以下操作:

  1. 从瞻博网络网站下载策略模板。

  2. 安装策略模板。

  3. templates.xls启用脚本文件。如果未启用目录中的/var/db/scripts/commit提交脚本,则会忽略这些脚本。

  4. 选择适合您的策略模板,并根据需要对其进行自定义。

  5. 激活要在系统上运行的策略。激活策略可能需要几分钟时间。即使在 CLI 中显示提交完成消息后,系统也可能会继续编译策略并将其推送到数据平面。

    注意:

    有时,策略的编译过程可能会失败。在这种情况下,配置中显示的活动策略可能与设备上运行的实际策略不匹配。运行 show security idp status 命令以验证正在运行的策略。此外,您可以查看 IDP 日志文件以验证策略加载和编译状态。

  6. 删除或停用提交脚本文件。通过删除提交脚本文件,可以避免在提交配置时覆盖对模板的修改的风险。停用语句会将非活动标记添加到语句中,从而有效地从配置中注释掉该语句。标记为非活动的语句在发出 commit 命令时不会生效。

有关详细信息,请参阅 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490

下载和使用预定义的 IDP 策略模板(CLI 过程)

开始之前,请配置网络接口。请参阅 适用于安全设备的 Junos OS 接口配置指南

要下载并使用预定义的策略模板,请执行以下操作:

  1. 将脚本文件 templates.xsl 下载到 /var/db/idpd/sec-download/sub-download 目录。此脚本文件包含预定义的 IDP 策略模板。
  2. templates.xls 文件复制到 /var/db/scripts/commit 目录,并将其重命名为 templates.xsl
  3. 启用 模板.xsl 脚本文件。提交时,Junos OS 管理进程 (mgd) 会在 /var/db/scripts/commit 目录中查找脚本,并针对候选配置数据库运行脚本,以确保配置符合脚本规定的规则。
  4. 提交配置。提交配置会将下载的模板保存到 Junos OS 配置数据库,并使其在层次结构级别的 CLI [edit security idp idp-policy] 中可用。
  5. 显示已下载模板的列表。
  6. 激活预定义的策略。以下语句将预定义的 Recommended IDP 策略指定为活动策略:
  7. 删除或停用提交脚本文件。通过删除提交脚本文件,可以避免在提交配置时覆盖对模板的修改的风险。运行以下命令之一:
  8. 如果已完成设备配置,请提交配置。
  9. 您可以使用命令 show security idp status 验证配置。有关更多信息,请参阅 Junos OS CLI 参考

相关文档