Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

预定义 IDP 策略模板

瞻博网络提供的预定义策略模板可用作创建自己的策略的起点。每个模板都是特定规则库类型的一组规则,您可以复制这些规则,然后根据您的要求进行更新。

了解预定义 IDP 策略模板

安全的瞻博网络网站上的文件中提供了 templates.xls 预定义的策略模板。要开始使用模板,请从 CLI 运行命令,将此文件下载并复制到目录中 /var/db/scripts/commit

每个策略模板都包含使用与攻击对象关联的默认操作的规则。您应该通过选择您自己的源地址和目标地址,并选择反映您的安全需求的 IDP 操作,自定义这些模板以在您的网络上工作。

客户端/服务器模板旨在提供易用性,并提供平衡的性能和覆盖范围。客户端/服务器模板包括客户端保护、服务器保护和客户端/服务器保护。

每个客户端/服务器模板都有两个特定于设备的版本:1 GB (GB) 版本和 2-GB 版本。

注意:

标记为 1G 的 1 GB 版本仅适用于内存限制为 1 GB 的设备。如果 1 GB 设备加载 1-GB 策略以外的任何其他内容,则设备可能会因内存有限或覆盖范围有限而遇到策略编译错误。如果 2 GB 设备加载 2 GB 策略以外的其他任何内容,则设备覆盖范围可能有限。

将这些模板用作创建策略的准则。建议您复制这些模板并使用该副本(非原始副本)获取策略。此方法允许您对策略进行更改,并避免由于策略模板中的更改而导致的未来问题。

表 1 概括了瞻博网络提供的预定义 IDP 策略模板。

表 1:预定义 IDP 策略模板

模板名称

描述

Client-And-Server-Protection

旨在保护客户端和服务器。将在具有 2 GB 或更多内存的高内存设备上使用。

Client-And-Server-Protection-1G

旨在保护客户端和服务器。将在所有设备上使用,包括低内存分支设备。

Client-Protection

旨在保护客户端。将在具有 2 GB 或更多内存的高内存设备上使用。

Client-Protection-1G

旨在保护客户端。将在所有设备上使用,包括低内存分支设备。

DMZ Services

保护典型的非军事区 (DMZ) 环境。

DNS Server

保护域名系统 (DNS) 服务。

File Server

保护网络文件系统 (NFS)、FTP 等文件共享服务。

Getting Started

包含非常开放的规则。在受控实验室环境中有用,但不应部署在高流量实时网络上。

IDP Default

将安全性与性能很好地结合在一起。

Recommended

仅包含瞻博网络标记为 recommended 的攻击对象。所有规则的“操作”列都设置为针对每个攻击对象采取建议的操作。

Server-Protection

旨在保护服务器。将在具有 2 GB 或更多内存的高内存设备上使用。

Server-Protection-1G

旨在保护服务器。将在所有设备上使用,包括低内存分支设备。

Web Server

保护 HTTP 服务器免受远程攻击。

要使用预定义的策略模板:

  1. 从瞻博网络网站下载策略模板。

  2. 安装策略模板。

  3. templates.xls启用脚本文件。如果未启用目录中的/var/db/scripts/commit提交脚本,则这些脚本将被忽略。

  4. 选择适合您的策略模板,并根据需要进行自定义。

  5. 激活希望在系统上运行的策略。激活策略可能需要几分钟时间。即使在 CLI 中显示提交完成消息之后,系统也可能继续编译策略并将其推送到数据平面。

    注意:

    有时,策略的编译过程可能会失败。在这种情况下,配置中显示的活动策略可能与设备上运行的实际策略不匹配。运行 show security idp status 命令以验证运行策略。此外,您可以查看 IDP 日志文件来验证策略负载和编译状态。

  6. 删除或停用提交脚本文件。通过删除提交脚本文件,可以避免提交配置时覆盖对模板的修改的风险。停用语句会向语句添加一个非活动标记,从而有效地将语句从配置中注释掉。发出命令时,标记为无效的 commit 语句不会生效。

有关更多信息,请参阅 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490

下载和使用预定义 IDP 策略模板(CLI 过程)

开始之前,配置网络接口。请参阅 安全设备的 Junos OS 接口配置指南

要下载并使用预定义策略模板:

  1. 将脚本文件 模板.xls 下载到/var/db/idpd/sec-download/sub-download 目录。此脚本文件包含预定义的 IDP 策略模板。
  2. templates.xls 文件复制到 /var/db/scripts/commit 目录,并将其重命名为 templates.xsl
  3. 启用 templates.xsl 脚本文件。提交时,Junos OS 管理进程 (mgd) 在 /var/db/script/commit 目录中查找脚本,并针对候选配置数据库运行脚本,以确保配置符合脚本规定的规则。
  4. 提交配置。提交配置会将下载的模板保存到 Junos OS 配置数据库,并在层级的 CLI [edit security idp idp-policy] 中提供这些模板。
  5. 显示已下载模板列表。
  6. 激活预定义的策略。以下语句将 Recommended 预定义的 IDP 策略指定为活动策略:
  7. 删除或停用提交脚本文件。通过删除提交脚本文件,可以避免提交配置时覆盖对模板的修改的风险。运行以下命令之一:
  8. 如果完成设备配置,请提交配置。
  9. 您可以使用命令验证配置 show security idp status 。有关更多信息,请参阅 Junos OS CLI 参考