Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

预定义的 IDP 策略模板

本主题提供有关在 Junos OS 中配置和使用 IDP 策略时预定义 IDP 策略模板的详细指导。它包含有关创建、自定义和管理策略模板的说明,以便通过识别和缓解恶意流量来保护网络基础架构免遭各种安全威胁。

您可以使用预定义的策略模板作为创建自己的策略的起点。这些模板可帮助管理员高效应用安全最佳实践,而无需手动定义每个规则,从而缩短设置时间并最大限度减少人为错误。每个模板都是一组特定规则库类型的规则,您可以复制这些规则,然后根据需要进行更新。

了解预定义的 IDP 策略模板

预定义的策略模板可在安全的瞻博网络网站上的文件 templates.xls 中找到。要开始使用模板,请从 CLI 运行命令以下载此文件并将其复制到目录 /var/db/scripts/commit 中。

每个策略模板都包含使用与攻击对象关联的默认作的规则。您应该通过选择自己的源地址和目标地址,并选择反映您的安全需求的 IDP作,自定义这些模板以便在您的网络上运行。

客户端/服务器模板旨在易于使用,并提供平衡的性能和覆盖范围。客户端/服务器模板包括客户端保护、服务器保护和客户端/服务器保护。

每个客户端/服务器模板都有两个特定于设备的版本,一个是 1 千兆字节 (GB) 版本,一个是 2 GB 版本。

注意:

标记为 1G 的 1 GB 版本只能用于内存限制为 1 GB 的设备。如果 1 GB 设备加载的是 1 GB 策略以外的任何内容,则由于内存受限或覆盖范围有限,设备可能会遇到策略编译错误。如果 2 GB 设备加载的是 2 GB 策略以外的任何内容,则设备的覆盖范围可能会受到限制。

使用这些模板作为创建策略的指南。我们建议您复制这些模板,并使用副本(而非原始副本)用于策略。这种方法允许您对策略进行更改,并避免将来由于策略模板中的更改而出现问题。

表 1 汇总了瞻博网络提供的预定义 IDP 策略模板。

表 1:预定义的 IDP 策略模板

模板名称

描述

Client-And-Server-Protection

旨在保护客户端和服务器。用于具有 2 GB 或更多内存的高内存设备。

Client-And-Server-Protection-1G

旨在保护客户端和服务器。用于所有设备,包括低内存分支设备。

Client-Protection

旨在保护客户端。用于具有 2 GB 或更多内存的高内存设备。

Client-Protection-1G

旨在保护客户端。用于所有设备,包括低内存分支设备。

DMZ Services

保护典型的停火区 (DMZ) 环境。

DNS Server

保护域名系统 (DNS) 服务。

File Server

保护文件共享服务,例如网络文件系统 (NFS)、FTP 等。

Getting Started

包含非常开放的规则。在受控的实验室环境中有用,但不应部署在流量大的实时网络上。

IDP Default

将安全性与性能完美融合在一起。

Recommended

仅包含瞻博网络标记为 recommended 的攻击对象。所有规则都设置了其“作”列,以便为每个攻击对象采取建议的作。

Server-Protection

旨在保护服务器。用于具有 2 GB 或更多内存的高内存设备。

Server-Protection-1G

旨在保护服务器。用于所有设备,包括低内存分支设备。

Web Server

保护 HTTP 服务器免受远程攻击。

要使用预定义的策略模板,请执行以下作:

  1. 从瞻博网络网站下载策略模板。

  2. 安装策略模板。

  3. 启用 templates.xls 脚本文件。如果未启用目录中的 /var/db/scripts/commit 提交脚本,则将其忽略。

  4. 选择适合您的策略模板,并根据需要进行自定义。

  5. 激活要在系统上运行的策略。激活策略可能需要几分钟时间。即使在 CLI 中显示提交完成消息后,系统仍可能继续编译策略并将其推送到数据平面。

    注意:

    有时,策略的编译过程可能会失败。在这种情况下,配置中显示的活动策略可能与设备上运行的实际策略不匹配。执行 show security idp status 命令,验证运行策略。此外,您还可以查看 IDP 日志文件以验证策略加载和编译状态。

  6. 删除或停用提交脚本文件。通过删除提交脚本文件,可以避免在提交配置时覆盖对模板的修改的风险。停用语句会向语句添加一个非活动标记,从而有效地从配置中注释掉该语句。发出 commit 命令时,标记为非活动的语句不会生效。

有关详细信息,请参阅 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490

下载和使用预定义的 IDP 策略模板(CLI 过程)

开始之前,请配置网络接口。请参阅 安全设备 Junos OS 接口配置指南

要下载并使用预定义策略模板,请执行以下作:

  1. 将脚本文件 templates.xsl 下载到 /var/db/idpd/sec-download/sub-download 目录。此脚本文件包含预定义的 IDP 策略模板。
  2. templates.xls 文件复制到 /var/db/scripts/commit 目录,并将其重命名为 templates.xsl
  3. 启用 templates.xsl 脚本文件。提交时,Junos OS 管理进程 (mgd) 会检查 /var/db/scripts/commit 目录中的脚本,并针对候选配置数据库运行脚本,以确保配置符合脚本所指示的规则。
  4. 提交配置。提交配置会将下载的模板保存到 Junos OS 配置数据库,并在层级的 CLI [edit security idp idp-policy] 中提供这些模板。
  5. 查看下载的模板列表。
  6. 激活预定义的策略。以下语句将预定义的 Recommended IDP 策略指定为活动策略:
  7. 删除或停用提交脚本文件。通过删除提交脚本文件,可以避免在提交配置时覆盖对模板的修改的风险。运行以下命令之一:
  8. 完成设备配置后,请提交配置。
  9. 您可以使用 show security idp status 命令验证配置。有关更多信息,请参阅 Junos OS CLI 参考

相关主题