预定义的 IDP 策略模板
瞻博网络提供了预定义的策略模板,您可以将其用作创建自己策略的起点。每个模板都是一组特定规则库类型的规则,您可以复制这些规则,然后根据需要进行更新。
了解预定义的 IDP 策略模板
安全瞻博网络网站上的文件中提供了 templates.xls
预定义的策略模板。要开始使用模板,请从 CLI 运行命令以下载此文件 /var/db/scripts/commit
并将其复制到目录中。
每个策略模板都包含使用与攻击对象关联的默认操作的规则。您应该自定义这些模板,以便在您的网络上工作,方法是选择您自己的源地址和目标地址,然后选择反映您的安全需求的 IDP 操作。
客户端/服务器模板旨在易于使用,并提供平衡的性能和覆盖范围。客户端/服务器模板包括客户端保护、服务器保护和客户端/服务器保护。
每个客户端/服务器模板都有两个特定于设备的版本:1 千兆字节 (GB) 版本和 2 GB 版本。
标记为 1G 的 1 GB 版本只能用于内存限制为 1 GB 的设备。如果 1 GB 设备加载 1 GB 策略以外的任何内容,则由于内存有限或覆盖范围有限,设备可能会遇到策略编译错误。如果 2 GB 设备加载 2 GB 策略以外的任何内容,则设备可能会遇到有限的覆盖范围。
使用这些模板作为创建策略的指南。我们建议您创建这些模板的副本,并将副本(而不是原始副本)用于策略。此方法允许您对策略进行更改,并避免将来由于策略模板中的更改而出现问题。
表 1 汇总了瞻博网络提供的预定义 IDP 策略模板。
模板名称 |
描述 |
---|---|
Client-And-Server-Protection |
旨在保护客户端和服务器。用于具有 2 GB 或更多内存的高内存设备。 |
Client-And-Server-Protection-1G |
旨在保护客户端和服务器。可在所有设备上使用,包括内存不足的分支设备。 |
Client-Protection |
旨在保护客户端。用于具有 2 GB 或更多内存的高内存设备。 |
Client-Protection-1G |
旨在保护客户端。可在所有设备上使用,包括内存不足的分支设备。 |
DMZ Services |
保护典型的非军事区 (DMZ) 环境。 |
DNS Server |
保护域名系统 (DNS) 服务。 |
File Server |
保护文件共享服务,如网络文件系统 (NFS)、FTP 等。 |
Getting Started |
包含非常开放的规则。在受控实验室环境中很有用,但不应用于流量较大的实时网络上。 |
IDP Default |
包含安全性和性能的良好组合。 |
Recommended |
仅包含标记为瞻博网络的攻击对象 recommended 。所有规则都设置了“操作”列,以便对每个攻击对象执行建议的操作。 |
Server-Protection |
旨在保护服务器。用于具有 2 GB 或更多内存的高内存设备。 |
Server-Protection-1G |
旨在保护服务器。可在所有设备上使用,包括内存不足的分支设备。 |
Web Server |
保护 HTTP 服务器免受远程攻击。 |
要使用预定义的策略模板,请执行以下操作:
从瞻博网络网站下载策略模板。
安装策略模板。
templates.xls
启用脚本文件。如果未启用目录中的/var/db/scripts/commit
提交脚本,则会忽略这些脚本。选择适合您的策略模板,并根据需要对其进行自定义。
激活要在系统上运行的策略。激活策略可能需要几分钟时间。即使在 CLI 中显示提交完成消息后,系统也可能会继续编译策略并将其推送到数据平面。
注意:有时,策略的编译过程可能会失败。在这种情况下,配置中显示的活动策略可能与设备上运行的实际策略不匹配。运行
show security idp status
命令以验证正在运行的策略。此外,您可以查看 IDP 日志文件以验证策略加载和编译状态。删除或停用提交脚本文件。通过删除提交脚本文件,可以避免在提交配置时覆盖对模板的修改的风险。停用语句会将非活动标记添加到语句中,从而有效地从配置中注释掉该语句。标记为非活动的语句在发出
commit
命令时不会生效。
有关详细信息,请参阅 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490。
下载和使用预定义的 IDP 策略模板(CLI 过程)
开始之前,请配置网络接口。请参阅 适用于安全设备的 Junos OS 接口配置指南。
要下载并使用预定义的策略模板,请执行以下操作: