Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

IDP 签名数据库概述

基于签名的 IDP 可以监控网络中的数据包,并将这些攻击模式与预先配置且预先确定的攻击模式(称为签名)进行比较。

有关更多信息,请参阅以下主题:

了解 IDP 签名数据库

签名数据库是入侵检测和防御 (IDP) 的主要组件之一。它包含定义 IDP 策略规则中使用的不同对象(例如,攻击对象、应用程序签名对象和服务对象)的定义。为了应对新漏洞,瞻博网络会定期在瞻博网络网站上提供包含攻击数据库更新的文件。您可以下载此文件来保护您的网络免受新威胁的侵害。

注意:

默认情况下,IDP 功能处于启用状态,无需许可证。即使设备上未安装有效的许可证和签名数据库,也可以配置和安装 IDP 策略中的自定义攻击和自定义攻击组。

IDP 签名数据库存储在支持 IDP 的设备上,其中包含预定义攻击对象和组的定义。这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以在 IDP 策略规则中将攻击对象和组配置为匹配条件。

注意:

您必须在设备上安装 IDP 签名-数据库更新许可证密钥,才能下载和安装瞻博网络提供的每日签名数据库更新。IDP 签名许可证密钥不提供宽限期支持。有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥

从 Junos OS 18.3R1 版开始,您可以通过显式虚拟服务器下载 IDP 安全包。要下载外部服务器上托管的 IDP 安全包,您需要配置代理配置文件,并使用在代理配置文件中配置的代理主机和端口详细信息。借助此功能,您可以使用设备上已部署的 Web 代理服务器对您的整体安全解决方案进行 HTTP(S) 出站会话的访问和身份验证。

您可以执行以下任务来管理 IDP 签名数据库:

  1. 更新签名数据库 — 下载瞻博网络网站上提供的攻击数据库更新。每天都会发现新的攻击,因此保持签名数据库最新至关重要。

  2. 验证签名数据库版本 — 每个签名数据库都有不同的版本号,最新数据库具有最高编号。您可以使用 CLI 显示签名数据库版本号。

  3. 更新协议检测器引擎 — 您可以下载协议检测器引擎更新,同时下载签名数据库。IDP 协议检测器包含应用层协议解码器。探测器与 IDP 策略结合在一起更新。即使检测器没有变化,在策略更新时间始终需要它。

  4. 计划签名数据库更新 — 您可以将支持 IDP 的设备配置为在设定的间隔后自动更新签名数据库。

更新 IDP 签名数据库概述

瞻博网络会定期更新预定义的攻击数据库,并在瞻博网络网站上提供。此数据库包括攻击对象组,您可以在入侵检测和防御 (IDP) 策略中使用这些对象组,将流量与已知攻击进行匹配。尽管无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可在 IDP 策略中使用的攻击对象列表。

要更新签名数据库,请从瞻博网络网站或显式 Web 虚拟服务器下载安全包。安全包包含以下 IDP 组件:

  • 攻击对象

  • 攻击对象组

  • 应用程序对象

  • IDP 检测器引擎的更新

  • IDP 策略模板(策略模板是独立下载的。请参阅 了解预定义 IDP 策略模板。)

默认情况下,下载安全包时,您将以下组件下载到设备的“暂存”文件夹中:完整攻击对象组表的最新版本、应用程序对象表以及 IDP 检测器引擎的更新。由于攻击对象表通常较大,因此默认情况下,系统仅下载对攻击对象表的更新。但是,您可以使用配置选项下载完整的攻击对象表 full-update

下载安全包后,必须安装软件包,以使用从设备中的“暂存”文件夹中新下载的更新来更新安全数据库。

安装安全软件包后,当您提交配置时,将检查所有策略的语法(不仅仅是活动策略)。此检查与提交检查相同。如果从您下载的新签名数据库中移除在任何现有策略中配置的攻击,提交检查将失败。

更新 IDP 签名数据库时,不会自动更新在策略中配置的攻击。例如,假设您配置了一个策略,以包括系统上的签名数据库 1200 版中可用的攻击 FTP:USER:ROOT 。然后,下载签名数据库 1201 版,该版本不再包含攻击 FTP:USER:ROOT。由于新下载的数据库缺少在策略中配置的攻击,因此 CLI 中的提交检查失败。要成功提交配置,必须从策略配置中移除攻击 (FTP:USER:ROOT)。

谨慎:

如果新的 IDP 策略加载因任何原因失败,IDP 签名更新可能会失败。当新的 IDP 策略加载失败时,将加载最后一个已知良好的 IDP 策略。解决新策略负载问题且新有效策略处于活动状态后,签名更新即可正常运行。

另请参阅

通过显式虚拟服务器下载 Junos OS IDP 签名包概述

从 Junos OS 18.3R1 版开始,您可以通过显式虚拟服务器下载 IDP 安全包。要下载外部服务器上托管的 IDP 安全包,您需要配置代理配置文件,并使用在代理配置文件中配置的代理主机和端口详细信息。借助此功能,您可以使用设备上已部署的 Web 代理服务器对 HTTP (S) 出站会话进行访问和身份验证。

您需要配置安全包下载的代理配置文件选项,以便通过指定的虚拟服务器连接到外部服务器。代理配置文件在层次结构下 [edit services proxy] 配置。

您可以在层次结构下 [edit services proxy] 配置多个代理配置文件。IDP 只能使用一个代理配置文件。不支持在 IDP 下同时使用多个代理配置文件。在层次结构下 [security idp security-package] 配置代理配置文件时,idpd 进程会连接到代理主机,而不是连接到签名包下载服务器。然后,代理主机与下载服务器通信,并将响应反馈给 idpd 进程。每次层级发生 [edit services proxy] 更改时,idpd 进程都会收到通知。

在不需要时,您可以禁用用于下载 IDP 签名包的虚拟服务器。

要禁用用于 IDP 签名下载的虚拟服务器,请使用 delete security idp security-package proxy-profile proxy-profile

IDP Web 代理支持取决于在系统级别配置的代理配置文件。要使用 Web 代理服务器进行下载,必须配置代理配置文件,其中包含代理服务器的主机和端口详细信息,并在层次结构中 [security idp security-package] 应用代理配置文件。

示例:自动更新签名数据库

此示例说明如何自动下载签名数据库更新。

要求

开始之前,配置网络接口。

概述

瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组将流量与已知攻击进行匹配。您可以将设备配置为按指定的时间间隔自动下载签名数据库更新。

在此示例中,从 12 月 10 日晚上 11:59 开始,每 48 小时下载一次攻击对象和攻击对象组完整表的安全包。您还可以启用安全包的自动下载和更新。

配置

程序

逐步过程

要下载并更新预定义的攻击对象:

  1. 指定安全包的 URL。

    注意:

    默认情况下,它将采用 URL 作为 https://services.netscreen.com/cgi-bin/index.cgi。

  2. 指定下载时间和间隔值。

  3. 启用安全包的自动下载和更新。

  4. 完成设备配置后,提交配置。

验证

要确认配置工作正常,请执行以下任务:

手动验证 IDP 签名数据库

目的

手动显示 IDP 签名数据库。

行动

在操作模式下,输入 show security idp 命令。

手动更新 IDP 签名数据库概述

瞻博网络会定期更新预定义的攻击数据库,并在瞻博网络网站上提供。此数据库包括攻击对象组,您可以在入侵检测和防御 (IDP) 策略中使用这些对象组,将流量与已知攻击进行匹配。尽管无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可在 IDP 策略中使用的攻击对象列表。下载安全包后,必须安装软件包,以使用从设备中的“暂存”文件夹中新下载的更新来更新安全数据库。

示例:手动更新 IDP 签名数据库

此示例说明如何手动更新 IDP 签名数据库。

要求

开始之前,配置网络接口。

概述

瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组来将流量与已知攻击进行匹配。

在此示例中,您将下载包含攻击对象和攻击对象组完整表格的安全包。安装完成后,攻击对象和攻击对象组将在 CLI 中位于 [编辑安全 idp idp-policy] 层级的预定义攻击组和预定义攻击配置语句下提供。您可以创建一个策略,并将新策略指定为活动策略。您还可以仅下载瞻博网络最近上传的更新,然后使用这些新更新更新更新攻击数据库、运行策略和检测器。

配置

程序

CLI 快速配置

此示例不提供 CLI 快速配置,因为配置期间需要手动干预。

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要手动下载和更新签名数据库:

  1. 指定安全包的 URL。

    注意:

    默认情况下,它将采用 URL 作为 https://services.netscreen.com/cgi-bin/index.cgi。

  2. 提交配置。

  3. 切换到操作模式。

  4. 下载安全包。

    注意:

    您可以在设备上执行离线签名包下载。您可以下载签名包,并将软件包复制到设备中的任何公共位置,并使用 request security idp security-package offline-download 命令脱机下载软件包。

    签名包的安装保持不变,并且始终为完整更新。

  5. 检查安全包下载状态。

  6. 使用 install 命令更新攻击数据库。

  7. 使用以下命令检查攻击数据库更新状态(命令输出显示有关已下载和已安装攻击数据库版本的版本的信息):

  8. 切换到配置模式。

  9. 创建 IDP 策略。

  10. 将攻击对象或攻击对象组与策略相关联。

  11. 设置操作。

  12. 激活策略。

  13. 提交配置。

  14. 一周后,仅下载瞻博网络最近上传的更新。

  15. 检查安全包下载状态。

  16. 使用新的更改更新攻击数据库、活动策略和检测器。

  17. 使用安装状态检查攻击数据库、活动策略和检测器。

    注意:

    攻击可能会从新版本的攻击数据库中删除。如果在设备上的现有策略中使用了此攻击,则新数据库安装将失败。安装状态消息可识别不再有效的攻击。要成功更新数据库,请从现有策略和组中移除对已删除攻击的所有引用,然后重新运行 install 命令。

结果

在配置模式下,输入命令以确认 show security idp 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

手动验证 IDP 签名数据库

目的

手动显示 IDP 签名数据库。

行动

在操作模式下,输入 show security idp 命令。

另请参阅

示例:在机箱群集模式下下载和安装 IDP 安全包

此示例说明如何将 IDP 签名数据库下载并安装到在机箱群集模式下操作的设备。

要求

开始之前,设置机箱群集节点 ID 和群集 ID。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID

概述

入侵检测和防御 (IDP) 安全包包含预定义 IDP 攻击对象和 IDP 攻击对象组的数据库,您可以在 IDP 策略中使用这些数据库将流量与已知和未知攻击进行匹配。瞻博网络会定期使用新发现的攻击模式更新预定义的攻击对象和组。

要更新签名数据库,必须从瞻博网络网站下载安全包。下载安全包后,必须安装软件包,以使用从设备中的“暂存”文件夹中新下载的更新来更新安全数据库。

注意:

在所有分支机构 SRX 系列设备上,如果控制平面上的设备内存利用率很高,加载大型 IDP 策略可能会导致设备内存不足。这会在 IDP 安全包更新期间触发系统重新启动。

有关详细信息,请参阅 了解 IDP 签名数据库

在机箱群集模式下运行的设备上下载 IDP 安全包时,安全包将下载到主节点,然后同步到辅助节点。这种同步有助于在主节点和辅助节点上维护相同版本的安全包。

下载和安装 IDP 签名数据库

程序

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

  1. 指定安全包的 URL。

  2. 切换到操作模式。

  3. 将 IDP 安全包下载到主节点(在文件夹中下载 var/db/idpd/sec-download

    将显示以下消息。

  4. 检查安全包下载状态。

    成功下载后,将显示以下消息。

  5. 使用 install 命令更新攻击数据库。

  6. 检查攻击数据库更新状态。命令输出显示有关已下载和已安装的攻击数据库版本的信息。

    注意:

    您必须将 IDP 签名包下载到主节点。这样,即可在辅助节点上同步安全包。尝试将签名包下载到辅助节点将失败。

    如果为安全包配置了计划下载,则签名包文件将自动从主节点同步到备份节点。

通过显式虚拟服务器下载 Junos OS IDP 签名包

此示例说明如何创建代理配置文件并通过显式代理服务器下载 IDP 签名包。

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 edit CLI 中,然后从配置模式进入 commit

配置

逐步过程

将创建代理服务器的代理配置文件,然后 IDPd 进程引用此配置文件,以便通过代理服务器下载 IDP 签名包。

  1. 指定代理主机 IP 地址。

  2. 指定由虚拟服务器使用的端口号。

  3. 指定为下载安全包而必须引用的代理配置文件。

  4. 提交配置。

  5. 切换到操作模式。

  6. 下载 IDP 安全包。

    注意:

    仍然可以从瞻博网络网站执行离线 IDP 签名包下载和安装选项。要脱机下载和安装 IDP 签名包,请 request security idp security-package offline-download 运行 CLI 命令。两个下载命令的安装过程保持不变。

要求

此示例使用以下硬件和软件组件:

  • 此配置示例在采用 Junos OS 18.3R1 或更高版本的 SRX 系列设备上测试。

概述

瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组来将流量与已知攻击进行匹配。

从 Junos OS 18.3R1 版开始,您可以使用虚拟服务器下载 IDP 签名包。代理配置文件配置仅适用于 HTTP 连接。

在此示例中,SRX 系列设备会使用配置的代理配置文件下载并安装 IDP 安全包,以及外部服务器上提供的攻击对象和攻击对象组的完整表。

安装完成后,所有下载和安装的 IDP 攻击对象和攻击组都可以在 IDP 策略或策略中配置。然后在层次结构下 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name 的安全规则中使用这些攻击对象和攻击对象。您可以创建一个策略,并将新策略指定为活动策略。您只能下载瞻博网络最近上传的更新,然后使用这些更新更新更新攻击数据库、运行策略和检测器。

要启用通过显式虚拟服务器下载 IDP 签名包:

  1. 使用 set services proxy profile 命令配置配置文件,其中包含代理的主机和端口详细信息。

  2. set security idp security-package proxy-profile profile-name使用命令连接到代理服务器并下载 IDP 签名包。

下载 IDP 签名包时,请求将通过代理主机发送到托管签名包的实际服务器。然后,代理主机会从实际主机发送回响应。然后,IDP 签名包将从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 收到。

在此示例中,您将创建一个代理配置文件,并在从外部主机下载 IDP 签名包时引用该配置文件。 表 1 提供了此示例中使用的参数的详细信息。

表 1:代理配置文件配置参数

参数

名字

配置文件名称

test_idp_proxy1

代理的 IP 地址

10.209.97.254

虚拟服务器的端口号

3128

验证

验证通过虚拟服务器下载 IDP 签名

目的

显示通过代理服务器下载 IDP 签名包的详细信息。

行动

在操作模式下,输入 show security idp security-package proxy-profile 命令以查看 IDP 特定的代理详细信息。

意义

在输出中,您可以在和Proxy Address字段中找到 IDP 特定的代理配置文件详细信息Proxy Profile

验证 IDP 签名下载状态

目的

检查 IDP 签名包的下载状态。

行动

检查安全包下载状态。

在操作模式下,输入 request security idp security-package download status 命令。

Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi).
Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)

意义

输出显示 IDP 签名包下载状态。

了解 IDP 签名数据库版本

新的攻击对象经常被添加到签名数据库服务器中;定期下载这些更新并安装在您的托管设备上,可确保您的网络能够有效抵御最新威胁。随着新的攻击对象被添加到签名数据库服务器中,数据库版本号会更新为最新的数据库版本号。每个签名数据库都有不同的版本号,最新数据库具有最高编号。

更新签名数据库时,签名数据库更新客户端会连接到瞻博网络网站,并使用 HTTPS 连接获取更新。根据分配给每个签名数据库的版本号,计算此更新(现有签名数据库与最新签名数据库之间的差异)。下载更新后,更新的信息将与现有签名数据库合并,并将版本号设置为最新签名数据库的版本。

另请参阅

验证 IDP 签名数据库版本

目的

显示签名数据库版本。

行动

在 CLI 的操作模式下,输入 show security idp security-package-version

示例输出

命令名称

意义

输出显示支持 IDP 的设备上的签名数据库、协议检测器和策略模板的版本号。验证以下信息:

  • Attack database version- 2008 年 4 月 16 日,设备上活动的签名数据库版本为 31

  • Detector version- 显示设备上当前运行的 IDP 协议检测器的版本号。

  • Policy template version- 显示您在 CLI 中 /var/db/scripts/commit 运行 request security idp security-package install policy-templates 配置语句时安装在目录中的策略模板版本。

有关输出的完整说明,请参阅 show security idp 安全包版本 说明。

另请参阅

了解 Snort IPS 签名

总结 瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 集成工具 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。

IDP 使用有助于检测攻击的签名来保护您的网络。Snort 是一款开源入侵防御系统 (IPS)。

从 Junos OS 21.1R1 版开始,瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 集成工具 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。

图 1:Snort IPS 签名 Snort IPS Signatures
  • JIST 默认包含在 Junos OS 中。该工具支持 Snort 版本 2 和版本 3 规则。
  • JIST 将带有 snort-id 的 Snort 规则转换为 Junos OS 上的等效自定义攻击签名,并将相应的 snort-ID 作为自定义攻击名称。
  • 使用 Snort IPS 规则运行 request 命令时,JIST 会 set 生成与 Snort IPS 规则等效的命令。使用命令将 request security idp jist-conversion 命令生成 set 为 CLI 输出。要加载 set 命令,请使用 load set terminal 语句或复制,并在配置模式下粘贴命令,然后提交。然后,您可以使用转换后的自定义攻击签名配置现有 IDP 策略。
  • 所有未转换的 Snort IPS 规则文件都会写在 /tmp/jist-failed.rules 中。转换期间生成的错误日志文件将写入 /tmp/jist-error.log
  • 要查看 jist 软件包版本,请使用 show security idp jist-package-version 命令。

Snort IPS 签名的优势

  • 帮助检测恶意攻击。

另请参阅