了解用于迁移的 IDP 签名数据库
特征码数据库是入侵防御系统 (IPS) 的主要组件之一。它包含在定义 IDP 策略规则时使用的不同对象的定义,例如攻击对象、应用程序签名对象和服务对象。
有关详细信息,请参阅以下主题:
了解 IPS 特征库
特征码数据库是入侵防御系统 (IPS) 的主要组件之一。它包含在定义 IDP 策略规则时使用的不同对象的定义,例如攻击对象、应用程序签名对象和服务对象。为了响应新的漏洞,瞻博网络会定期在瞻博网络网站上提供一个包含攻击数据库更新的文件。您可以下载此文件以保护您的网络免受新威胁的侵害。
IPS 不需要单独的许可证即可在 SRX 系列防火墙上作为服务运行;但是,IPS 更新需要许可证。即使设备上未安装有效的许可证和签名数据库,也可以配置和安装 IDP 策略中的自定义攻击和自定义攻击组。
IPS 特征库存储在启用 IPS 的设备上,包含预定义攻击对象和组的定义。这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。IPS 签名数据库包含 5000 多个签名和 1200 多个协议异常。
IPS 更新和应用程序签名包更新是单独许可的订阅服务。您必须在设备上安装 IPS 签名数据库许可证密钥,才能从瞻博网络网站下载和安装每日特征码数据库更新。IPS 签名许可证密钥不提供宽限期支持。
如果需要 AppSecure 和 IPS 功能,那么除了安装 IPS 签名数据库更新许可证密钥之外,还必须安装应用程序签名许可证。
签名数据库由以下组件组成:
检测器引擎 — IDP 检测器引擎是一种动态协议解码器,支持解码 60 多种协议和 500 多种服务上下文。您可以下载协议检测器引擎更新以及签名数据库更新。
攻击数据库 — 攻击特征数据库存储攻击对象和攻击对象组的数据定义。攻击对象包括状态签名和流量异常。您可以在 IDP 规则库规则中指定攻击对象。每天都会发现新的攻击,因此保持签名数据库最新非常重要。您可以从瞻博网络网站下载攻击数据库更新。
应用程序签名数据库 - 应用程序签名数据库存储应用程序对象的数据定义。应用程序对象是用于标识在标准或非标准端口上运行的应用程序的模式。
我们建议使用最新版本的特征码数据库,以确保攻击数据库是最新的。
参见
管理 IPS 特征库 (CLI)
此示例说明如何使用 CLI 安装和计划特征码数据库更新。
要求
在安装特征码数据库更新之前,请确保已安装 IPS 许可证密钥。
概述
IPS 特征码数据库管理包括以下任务:
更新特征码数据库 — 下载瞻博网络网站上提供的攻击数据库更新。每天都会发现新的攻击,因此保持签名数据库最新非常重要。
验证签名数据库版本 - 每个签名数据库都有不同的版本号,最新数据库的版本号最高。您可以使用 CLI 显示签名数据库版本。
更新协议检测器引擎 - 您可以下载协议检测器引擎更新以及签名数据库。IPS 协议检测器包含应用层协议解码器。检测器与 IDP 策略相结合,并一起更新。在策略更新时始终需要它,即使检测器没有变化也是如此。
计划特征码数据库更新 - 您可以将启用 IPS 的设备配置为在设定的时间间隔后自动更新特征码数据库。
配置
下载并安装 IPS 签名包
分步过程
每天都会发现新的攻击,因此保持签名数据库最新非常重要。在此示例中,您将从签名数据库服务器下载并安装最新的签名包:
下载瞻博网络网站上提供的攻击数据库更新:
user@host>request security idp security-package download
默认情况下,下载安全包时,会将以下组件下载到设备的暂存文件夹中:完整攻击对象组表的最新版本、应用程序对象表以及 IPS 检测器引擎的更新。由于攻击对象表通常非常大,因此默认情况下,系统仅将更新下载到攻击对象表。但是,您可以使用配置选项下载
full-update完整的攻击对象表。检查安全包下载状态:
user@host>request security idp security-package download status
成功下载后,将显示以下消息:
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
下载安全包后,必须安装该包,以使用设备中的“暂存”文件夹中新下载的更新更新安全数据库。安装安全包:
user@host>request security idp security-package install
检查安装状态:
user@host>request security idp security-package install status
成功安装后,将显示以下消息:
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
验证签名数据库版本
分步过程
每个签名数据库都有不同的版本号,最新的数据库的版本号最高。
使用 CLI 验证已安装的签名数据库版本:
user@host>show security idp security-package version
以下示例输出显示了签名包的版本号:
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
计划签名数据库更新
分步过程
您可以将启用 IPS 的设备配置为在设定的时间间隔后自动更新特征码数据库。初始手动设置后,我们建议您安排特征码更新,以便始终可以防御新漏洞。
要计划签名包下载,请在配置模式下指定下载的开始时间和间隔:
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
例如,要设置每 72 小时下载一次签名的计划,请使用以下配置:
user@host>set security idp security-package automatic interval 72 start-time
将 IPS 签名包从较旧的 Junos OS 发行版下载并安装到较新的 Junos OS 发行版
程序
分步过程
从 Junos OS 17.3 版开始,从 Junos OS 12.3X48 或 15.1X49 版升级到 Junos OS 17.3 版或从 Junos OS 17.3 版降级到 Junos OS 12.3X48 或 15.1X49 版时,必须通过下载并安装 IPS 特征码包更新来更新 IPS 特征码包。
我们建议您执行 IPS 特征码包更新,因为如果在升级或降级之前下载的先前 IPS 特征码包包含增量更新或递减更新,则重新安装 IPS 特征码包而不再次下载 IPS 特征码包时,仅使用上次下载中的增量攻击更新 IPS 特征码包,并且不包含基线版本中的任何攻击。因此,为避免任何 IDP 提交配置失败,请更新 IPS 签名包。
以下过程说明如何下载和安装 IPS 签名包,以及如何将包从较旧的 Junos OS 发行版更新到较新的 Junos OS 发行版:
执行安全包版本的完整更新。
user@host>request security idp security-package download full-update
默认情况下,下载安全包时,会将以下组件下载到设备的暂存文件夹中:完整攻击对象组表的最新版本、应用程序对象表以及 IPS 检测器引擎的更新。由于攻击对象表通常非常大,因此默认情况下,系统仅下载攻击对象表的更新。
检查安全包下载状态。
user@host> request security idp security-package download status
成功下载后,将显示以下消息:
user@host # run request security idp security-package download status Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2762(Tue Jul 26 22:26:57 2016 UTC, Detector=12.6.130160603)
安装安全包,以使用从设备中的“暂存”文件夹中新下载的更新更新安全数据库。
user@host> request security idp security-package install
检查安装状态。
user@host> request security idp security-package install status
成功安装后,将显示以下消息:
user@host # run request security idp security-package install status Done;Attack DB update : successful - [UpdateNumber=2771,ExportDate=Tue Aug 23 21:57:18 2016 UTC,Detector=12.6.130160603] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful注意:从 Junos OS 15.1X49 版升级到 Junos OS 17.3 版时,将显示以下警告消息:
WARNING: A full install of the security package is required after reboot. WARNING: Please perform a full update of the security package using WARNING: "request security idp security-package download full-update" WARNING: followed by WARNING: "request security idp security-package install"
管理 IPS 签名数据库 (Security Director)
此示例说明如何使用 Junos Space Security Director 安装和计划签名数据库更新。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙
在安装签名数据库更新之前,请确保您已:
已安装 IPS 许可证密钥
概述
可以使用 CLI 或 Junos Space Security Director 更新 IPS 特征码数据库。SRX 系列防火墙可以从 CLI 进行完全管理;但是,对于使用多个 SRX 系列防火墙的大型部署方案,使用管理平台管理安全包会更容易。
配置
下载并安装 IPS 签名包
分步过程
在此示例中,您将从签名数据库服务器下载并安装最新的签名包:
导航到 “安全控制器>下载>签名数据库”。
选择列为最新签名包的签名包,然后选择 “操作>下载 ”以将签名包下载到 Security Director。
user@host>request security idp security-package download
默认情况下,下载安全包时,会将以下组件下载到设备的暂存文件夹中:完整攻击对象组表的最新版本、应用程序对象表以及 IPS 检测器引擎的更新。由于攻击对象表通常非常大,因此默认情况下,系统仅将更新下载到攻击对象表。但是,您可以使用配置选项下载
full-update完整的攻击对象表。检查安全包下载状态:
user@host>request security idp security-package download status
成功下载后,将显示以下消息:
Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi). Version info:1884(Thu Mar 17 12:06:35 2011, Detector=11.4.140110223)
下载安全包后,必须安装该包,以使用设备中的“暂存”文件夹中新下载的更新更新安全数据库。安装安全包:
user@host>request security idp security-package install
检查安装状态:
user@host>request security idp security-package install status
成功安装后,将显示以下消息:
Done;Attack DB update: successful - [UpdateNumber=1884,ExportDate=Thu Mar 17 12:06:35 2011,Detector=11.4.140110223] Updating control-plane with new detector: successful Updating data-plane with new attack or detector: successful
验证签名数据库版本
分步过程
每个签名数据库都有不同的版本号,最新的数据库的版本号最高。
使用 CLI 验证已安装的签名数据库版本:
user@host>show security idp security-package version
以下示例输出显示了签名包的版本号:
user@host> show security idp security-package-version Attack database version:1883(Wed Mar 16 12:10:26 2011) Detector version :12.6.140121210 Policy template version :N/A
计划签名数据库更新
分步过程
您可以将启用 IPS 的设备配置为在设定的时间间隔后自动更新特征码数据库。初始手动设置后,我们建议您安排特征码更新,以便始终可以防御新漏洞。
要计划签名包下载,请在配置模式下指定下载的开始时间和间隔:
user@host>set security idp security-package automatic interval interval start-time <YYYY-MM-DD.HH:MM:SS>
例如,要设置每 72 小时下载一次签名的计划,请使用以下配置:
user@host>set security idp security-package automatic interval 72 start-time
示例:手动更新 IPS 特征码数据库
此示例说明如何手动更新 IPS 特征码数据库。
要求
开始之前,请配置网络接口。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些攻击对象组将流量与已知攻击进行匹配。
在此示例中,您将下载安全包,其中包含攻击对象和攻击对象组的完整表。安装完成后,攻击对象和攻击对象组将在 CLI 中的层次结构级别的 和 predefined-attacks 配置语句[edit security idp idp-policy]下predefined-attack-groups可用。创建策略并将新策略指定为活动策略。您只需下载瞻博网络最近上传的更新,然后使用这些新更新更新攻击数据库、正在运行的策略和 IPS 协议检测器。
配置
程序
CLI 快速配置
CLI 快速配置不适用于此示例,因为在配置过程中需要手动干预。
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要手动下载和更新签名数据库:
指定安全包的 URL。
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
注意:默认情况下,它将采用 URL 作为 https://signatures.juniper.net/cgi-bin/index.cgi。
提交配置。
[edit] user@host# commit
切换到操作模式。
[edit] user@host# exit
下载安全包。
user@host>request security idp security-package download full-update
检查安全包下载状态。
user@host>request security idp security-package download status
使用
install命令更新攻击数据库。user@host>request security idp security-package install
使用以下命令检查攻击数据库更新状态。命令输出显示有关已下载和安装的攻击数据库版本的信息。
user@host>request security idp security-package install status
切换到配置模式。
user@host>configure
创建 IDP 策略。
[edit ] user@host#edit security idp idp-policy policy1
将攻击对象或攻击对象组与策略关联。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
设置操作。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
激活策略。
[edit] user@host#set security idp active-policy policy1
提交配置。
[edit] user@host# commit
将来,如果要下载签名包,请仅下载瞻博网络最近上传的更新。
user@host>request security idp security-package download
检查安全包下载状态。
user@host>request security idp security-package download status
使用新的更改更新攻击数据库、活动策略和检测器。
user@host>request security idp security-package install
检查攻击数据库、活动策略和检测器。
user@host>request security idp security-package install status
注意:攻击可能已从新版本的攻击数据库中删除。如果在设备上的现有策略中使用此攻击,则新数据库的安装将失败。安装状态消息标识不再有效的攻击。要成功更新数据库,请从现有策略和组中删除对已删除攻击的所有引用,然后重新运行安装命令。
结果
在配置模式下,输入 show security idp 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
示例:在机箱群集模式下下载并安装 IPS 签名包
此示例说明如何将 IPS 签名数据库下载并安装到在机箱群集模式下运行的设备。
要求
开始之前,请设置机箱群集节点 ID 和群集 ID。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID 。
概述
入侵检测和防御 (IDP) 安全包包含预定义 IDP 攻击对象和 IDP 攻击对象组的数据库,您可以在 IDP 策略中使用这些对象和 IDP 攻击对象组来匹配流量与已知和未知攻击。瞻博网络会使用新发现的攻击模式定期更新预定义的攻击对象和组。
要更新签名数据库,您必须从瞻博网络网站下载安全包。下载安全包后,必须安装该包,以使用设备中的“暂存”文件夹中新下载的更新更新安全数据库。
在分支 SRX 系列防火墙上,如果控制平面上的设备内存利用率较高,加载大型 IDP 策略可能会导致设备内存不足。这可能会在 IPS 安全包更新期间触发系统重新启动。
在机箱群集模式下运行的设备上下载 IPS 安全包时,安全包将下载到主节点,然后同步到辅助节点。此同步有助于在主节点和辅助节点上维护相同版本的安全包。
下载和安装 IPS 特征数据库
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
指定安全包的 URL。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
切换到操作模式。
[edit] user@host# exit
将 IPS 安全软件包下载到主节点(在 var/db/idpd/sec-download 文件夹中下载)。
{primary:node0}[edit] user@host> request security idp security-package download将显示以下消息:
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
检查安全包下载状态。
{primary:node0}[edit] user@host> request security idp security-package download status成功下载后,将显示以下消息。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
使用
install命令更新攻击数据库。user@host> request security idp security-package install
检查攻击数据库更新状态。命令输出显示有关下载和安装的攻击数据库版本的信息。
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.注意:您必须将 IPS 特征码包下载到主节点。这样,安全包就会在辅助节点上同步。尝试将签名包下载到辅助节点将失败。
如果您为安全包配置了定时下载,则签名包文件会自动从主节点同步到备份节点。