IDP 签名数据库概述
基于签名的 IDP 可以监控网络中的数据包,并将这些攻击模式与预先配置且预先确定的攻击模式(称为签名)进行比较。
有关更多信息,请参阅以下主题:
了解 IDP 签名数据库
签名数据库是入侵检测和防御 (IDP) 的主要组件之一。它包含定义 IDP 策略规则中使用的不同对象(例如,攻击对象、应用程序签名对象和服务对象)的定义。为了应对新漏洞,瞻博网络会定期在瞻博网络网站上提供包含攻击数据库更新的文件。您可以下载此文件来保护您的网络免受新威胁的侵害。
默认情况下,IDP 功能处于启用状态,无需许可证。即使设备上未安装有效的许可证和签名数据库,也可以配置和安装 IDP 策略中的自定义攻击和自定义攻击组。
IDP 签名数据库存储在支持 IDP 的设备上,其中包含预定义攻击对象和组的定义。这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以在 IDP 策略规则中将攻击对象和组配置为匹配条件。
您必须在设备上安装 IDP 签名-数据库更新许可证密钥,才能下载和安装瞻博网络提供的每日签名数据库更新。IDP 签名许可证密钥不提供宽限期支持。有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥。
从 Junos OS 18.3R1 版开始,您可以通过显式虚拟服务器下载 IDP 安全包。要下载外部服务器上托管的 IDP 安全包,您需要配置代理配置文件,并使用在代理配置文件中配置的代理主机和端口详细信息。借助此功能,您可以使用设备上已部署的 Web 代理服务器对您的整体安全解决方案进行 HTTP(S) 出站会话的访问和身份验证。
您可以执行以下任务来管理 IDP 签名数据库:
更新签名数据库 — 下载瞻博网络网站上提供的攻击数据库更新。每天都会发现新的攻击,因此保持签名数据库最新至关重要。
验证签名数据库版本 — 每个签名数据库都有不同的版本号,最新数据库具有最高编号。您可以使用 CLI 显示签名数据库版本号。
更新协议检测器引擎 — 您可以下载协议检测器引擎更新,同时下载签名数据库。IDP 协议检测器包含应用层协议解码器。探测器与 IDP 策略结合在一起更新。即使检测器没有变化,在策略更新时间始终需要它。
计划签名数据库更新 — 您可以将支持 IDP 的设备配置为在设定的间隔后自动更新签名数据库。
更新 IDP 签名数据库概述
瞻博网络会定期更新预定义的攻击数据库,并在瞻博网络网站上提供。此数据库包括攻击对象组,您可以在入侵检测和防御 (IDP) 策略中使用这些对象组,将流量与已知攻击进行匹配。尽管无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可在 IDP 策略中使用的攻击对象列表。
要更新签名数据库,请从瞻博网络网站或显式 Web 虚拟服务器下载安全包。安全包包含以下 IDP 组件:
攻击对象
攻击对象组
应用程序对象
IDP 检测器引擎的更新
IDP 策略模板(策略模板是独立下载的。请参阅 了解预定义 IDP 策略模板。)
默认情况下,下载安全包时,您将以下组件下载到设备的“暂存”文件夹中:完整攻击对象组表的最新版本、应用程序对象表以及 IDP 检测器引擎的更新。由于攻击对象表通常较大,因此默认情况下,系统仅下载对攻击对象表的更新。但是,您可以使用配置选项下载完整的攻击对象表 full-update
。
下载安全包后,必须安装软件包,以使用从设备中的“暂存”文件夹中新下载的更新来更新安全数据库。
安装安全软件包后,当您提交配置时,将检查所有策略的语法(不仅仅是活动策略)。此检查与提交检查相同。如果从您下载的新签名数据库中移除在任何现有策略中配置的攻击,提交检查将失败。
更新 IDP 签名数据库时,不会自动更新在策略中配置的攻击。例如,假设您配置了一个策略,以包括系统上的签名数据库 1200 版中可用的攻击 FTP:USER:ROOT
。然后,下载签名数据库 1201 版,该版本不再包含攻击 FTP:USER:ROOT
。由于新下载的数据库缺少在策略中配置的攻击,因此 CLI 中的提交检查失败。要成功提交配置,必须从策略配置中移除攻击 (FTP:USER:ROOT
)。
如果新的 IDP 策略加载因任何原因失败,IDP 签名更新可能会失败。当新的 IDP 策略加载失败时,将加载最后一个已知良好的 IDP 策略。解决新策略负载问题且新有效策略处于活动状态后,签名更新即可正常运行。
另请参阅
通过显式虚拟服务器下载 Junos OS IDP 签名包概述
从 Junos OS 18.3R1 版开始,您可以通过显式虚拟服务器下载 IDP 安全包。要下载外部服务器上托管的 IDP 安全包,您需要配置代理配置文件,并使用在代理配置文件中配置的代理主机和端口详细信息。借助此功能,您可以使用设备上已部署的 Web 代理服务器对 HTTP (S) 出站会话进行访问和身份验证。
您需要配置安全包下载的代理配置文件选项,以便通过指定的虚拟服务器连接到外部服务器。代理配置文件在层次结构下 [edit services proxy]
配置。
您可以在层次结构下 [edit services proxy]
配置多个代理配置文件。IDP 只能使用一个代理配置文件。不支持在 IDP 下同时使用多个代理配置文件。在层次结构下 [security idp security-package]
配置代理配置文件时,idpd 进程会连接到代理主机,而不是连接到签名包下载服务器。然后,代理主机与下载服务器通信,并将响应反馈给 idpd 进程。每次层级发生 [edit services proxy]
更改时,idpd 进程都会收到通知。
在不需要时,您可以禁用用于下载 IDP 签名包的虚拟服务器。
要禁用用于 IDP 签名下载的虚拟服务器,请使用 delete security idp security-package proxy-profile proxy-profile
IDP Web 代理支持取决于在系统级别配置的代理配置文件。要使用 Web 代理服务器进行下载,必须配置代理配置文件,其中包含代理服务器的主机和端口详细信息,并在层次结构中 [security idp security-package]
应用代理配置文件。
示例:自动更新签名数据库
此示例说明如何自动下载签名数据库更新。
要求
开始之前,配置网络接口。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组将流量与已知攻击进行匹配。您可以将设备配置为按指定的时间间隔自动下载签名数据库更新。
在此示例中,从 12 月 10 日晚上 11:59 开始,每 48 小时下载一次攻击对象和攻击对象组完整表的安全包。您还可以启用安全包的自动下载和更新。
配置
程序
逐步过程
要下载并更新预定义的攻击对象:
指定安全包的 URL。
[edit] user@host# set security idp security-package url https://services.netscreen.com/cgi-bin/index.cgi
注意:默认情况下,它将采用 URL 作为 https://services.netscreen.com/cgi-bin/index.cgi。
指定下载时间和间隔值。
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
启用安全包的自动下载和更新。
[edit] user@host# set security idp security-package automatic enable
完成设备配置后,提交配置。
[edit] user@host# commit
手动更新 IDP 签名数据库概述
瞻博网络会定期更新预定义的攻击数据库,并在瞻博网络网站上提供。此数据库包括攻击对象组,您可以在入侵检测和防御 (IDP) 策略中使用这些对象组,将流量与已知攻击进行匹配。尽管无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可在 IDP 策略中使用的攻击对象列表。下载安全包后,必须安装软件包,以使用从设备中的“暂存”文件夹中新下载的更新来更新安全数据库。
示例:手动更新 IDP 签名数据库
此示例说明如何手动更新 IDP 签名数据库。
要求
开始之前,配置网络接口。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组来将流量与已知攻击进行匹配。
在此示例中,您将下载包含攻击对象和攻击对象组完整表格的安全包。安装完成后,攻击对象和攻击对象组将在 CLI 中位于 [编辑安全 idp idp-policy] 层级的预定义攻击组和预定义攻击配置语句下提供。您可以创建一个策略,并将新策略指定为活动策略。您还可以仅下载瞻博网络最近上传的更新,然后使用这些新更新更新更新攻击数据库、运行策略和检测器。
配置
程序
CLI 快速配置
此示例不提供 CLI 快速配置,因为配置期间需要手动干预。
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要手动下载和更新签名数据库:
指定安全包的 URL。
[edit] user@host#set security idp security-package url https://services.netscreen.com/cgi-bin/index.cgi
注意:默认情况下,它将采用 URL 作为 https://services.netscreen.com/cgi-bin/index.cgi。
提交配置。
[edit] user@host# commit
切换到操作模式。
[edit] user@host# exit
下载安全包。
user@host>request security idp security-package download full-update
注意:您可以在设备上执行离线签名包下载。您可以下载签名包,并将软件包复制到设备中的任何公共位置,并使用
request security idp security-package offline-download
命令脱机下载软件包。签名包的安装保持不变,并且始终为完整更新。
检查安全包下载状态。
user@host>request security idp security-package download status
使用 install 命令更新攻击数据库。
user@host>request security idp security-package install
使用以下命令检查攻击数据库更新状态(命令输出显示有关已下载和已安装攻击数据库版本的版本的信息):
user@host>request security idp security-package install status
切换到配置模式。
user@host>configure
创建 IDP 策略。
[edit ] user@host#edit security idp idp-policy policy1
将攻击对象或攻击对象组与策略相关联。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
设置操作。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
激活策略。
[edit] user@host#set security idp active-policy policy1
提交配置。
[edit] user@host# commit
一周后,仅下载瞻博网络最近上传的更新。
user@host>request security idp security-package download
检查安全包下载状态。
user@host>request security idp security-package download status
使用新的更改更新攻击数据库、活动策略和检测器。
user@host>request security idp security-package install
使用安装状态检查攻击数据库、活动策略和检测器。
user@host>request security idp security-package install status
注意:攻击可能会从新版本的攻击数据库中删除。如果在设备上的现有策略中使用了此攻击,则新数据库安装将失败。安装状态消息可识别不再有效的攻击。要成功更新数据库,请从现有策略和组中移除对已删除攻击的所有引用,然后重新运行 install 命令。
结果
在配置模式下,输入命令以确认 show security idp
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
完成设备配置后,请从配置模式进入 commit
。
示例:在机箱群集模式下下载和安装 IDP 安全包
此示例说明如何将 IDP 签名数据库下载并安装到在机箱群集模式下操作的设备。
要求
开始之前,设置机箱群集节点 ID 和群集 ID。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID 。
概述
入侵检测和防御 (IDP) 安全包包含预定义 IDP 攻击对象和 IDP 攻击对象组的数据库,您可以在 IDP 策略中使用这些数据库将流量与已知和未知攻击进行匹配。瞻博网络会定期使用新发现的攻击模式更新预定义的攻击对象和组。
要更新签名数据库,必须从瞻博网络网站下载安全包。下载安全包后,必须安装软件包,以使用从设备中的“暂存”文件夹中新下载的更新来更新安全数据库。
在所有分支机构 SRX 系列设备上,如果控制平面上的设备内存利用率很高,加载大型 IDP 策略可能会导致设备内存不足。这会在 IDP 安全包更新期间触发系统重新启动。
有关详细信息,请参阅 了解 IDP 签名数据库。
在机箱群集模式下运行的设备上下载 IDP 安全包时,安全包将下载到主节点,然后同步到辅助节点。这种同步有助于在主节点和辅助节点上维护相同版本的安全包。
下载和安装 IDP 签名数据库
程序
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
指定安全包的 URL。
[edit] user@host# set security idp security-package url https://services.netscreen.com/cgi-bin/index.cgi
切换到操作模式。
[edit] user@host# exit
将 IDP 安全包下载到主节点(在文件夹中下载 var/db/idpd/sec-download 。
{primary:node0}[edit] user@host> request security idp security-package download
将显示以下消息。
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
检查安全包下载状态。
{primary:node0}[edit] user@host> request security idp security-package download status
成功下载后,将显示以下消息。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://services.netscreen.com/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
使用
install
命令更新攻击数据库。user@host> request security idp security-package install
检查攻击数据库更新状态。命令输出显示有关已下载和已安装的攻击数据库版本的信息。
{primary:node0}[edit] user@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.
注意:您必须将 IDP 签名包下载到主节点。这样,即可在辅助节点上同步安全包。尝试将签名包下载到辅助节点将失败。
如果为安全包配置了计划下载,则签名包文件将自动从主节点同步到备份节点。
通过显式虚拟服务器下载 Junos OS IDP 签名包
此示例说明如何创建代理配置文件并通过显式代理服务器下载 IDP 签名包。
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 edit
CLI 中,然后从配置模式进入 commit 。
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
配置
逐步过程
将创建代理服务器的代理配置文件,然后 IDPd 进程引用此配置文件,以便通过代理服务器下载 IDP 签名包。
-
指定代理主机 IP 地址。
[edit]
user@host#
set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 指定由虚拟服务器使用的端口号。
[edit]
user@host#
set services proxy profile test_idp_proxy1 protocol http port 3128指定为下载安全包而必须引用的代理配置文件。
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
提交配置。
[edit] user@host# commit
切换到操作模式。
[edit] user@host# exit
下载 IDP 安全包。
user@host> request security idp security-package download full-update
注意:仍然可以从瞻博网络网站执行离线 IDP 签名包下载和安装选项。要脱机下载和安装 IDP 签名包,请
request security idp security-package offline-download
运行 CLI 命令。两个下载命令的安装过程保持不变。
要求
此示例使用以下硬件和软件组件:
此配置示例在采用 Junos OS 18.3R1 或更高版本的 SRX 系列设备上测试。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组来将流量与已知攻击进行匹配。
从 Junos OS 18.3R1 版开始,您可以使用虚拟服务器下载 IDP 签名包。代理配置文件配置仅适用于 HTTP 连接。
在此示例中,SRX 系列设备会使用配置的代理配置文件下载并安装 IDP 安全包,以及外部服务器上提供的攻击对象和攻击对象组的完整表。
安装完成后,所有下载和安装的 IDP 攻击对象和攻击组都可以在 IDP 策略或策略中配置。然后在层次结构下 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name
的安全规则中使用这些攻击对象和攻击对象。您可以创建一个策略,并将新策略指定为活动策略。您只能下载瞻博网络最近上传的更新,然后使用这些更新更新更新攻击数据库、运行策略和检测器。
要启用通过显式虚拟服务器下载 IDP 签名包:
使用
set services proxy profile
命令配置配置文件,其中包含代理的主机和端口详细信息。set security idp security-package proxy-profile profile-name
使用命令连接到代理服务器并下载 IDP 签名包。
下载 IDP 签名包时,请求将通过代理主机发送到托管签名包的实际服务器。然后,代理主机会从实际主机发送回响应。然后,IDP 签名包将从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 收到。
在此示例中,您将创建一个代理配置文件,并在从外部主机下载 IDP 签名包时引用该配置文件。 表 1 提供了此示例中使用的参数的详细信息。
参数 |
名字 |
---|---|
配置文件名称 |
test_idp_proxy1 |
代理的 IP 地址 |
10.209.97.254 |
虚拟服务器的端口号 |
3128 |
验证
验证通过虚拟服务器下载 IDP 签名
目的
显示通过代理服务器下载 IDP 签名包的详细信息。
行动
在操作模式下,输入 show security idp security-package proxy-profile
命令以查看 IDP 特定的代理详细信息。
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
意义
在输出中,您可以在和Proxy Address
字段中找到 IDP 特定的代理配置文件详细信息Proxy Profile
。
验证 IDP 签名下载状态
目的
检查 IDP 签名包的下载状态。
行动
检查安全包下载状态。
在操作模式下,输入 request security idp security-package download status
命令。
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
意义
输出显示 IDP 签名包下载状态。
了解 IDP 签名数据库版本
新的攻击对象经常被添加到签名数据库服务器中;定期下载这些更新并安装在您的托管设备上,可确保您的网络能够有效抵御最新威胁。随着新的攻击对象被添加到签名数据库服务器中,数据库版本号会更新为最新的数据库版本号。每个签名数据库都有不同的版本号,最新数据库具有最高编号。
更新签名数据库时,签名数据库更新客户端会连接到瞻博网络网站,并使用 HTTPS 连接获取更新。根据分配给每个签名数据库的版本号,计算此更新(现有签名数据库与最新签名数据库之间的差异)。下载更新后,更新的信息将与现有签名数据库合并,并将版本号设置为最新签名数据库的版本。
另请参阅
验证 IDP 签名数据库版本
目的
显示签名数据库版本。
行动
在 CLI 的操作模式下,输入 show security idp security-package-version
。
示例输出
命令名称
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
意义
输出显示支持 IDP 的设备上的签名数据库、协议检测器和策略模板的版本号。验证以下信息:
Attack database version
- 2008 年 4 月 16 日,设备上活动的签名数据库版本为31
。Detector version
- 显示设备上当前运行的 IDP 协议检测器的版本号。Policy template version
- 显示您在 CLI 中/var/db/scripts/commit
运行request security idp security-package install policy-templates
配置语句时安装在目录中的策略模板版本。
有关输出的完整说明,请参阅 show security idp 安全包版本 说明。
另请参阅
了解 Snort IPS 签名
总结 瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 集成工具 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。
IDP 使用有助于检测攻击的签名来保护您的网络。Snort 是一款开源入侵防御系统 (IPS)。
从 Junos OS 21.1R1 版开始,瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 集成工具 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。
- JIST 默认包含在 Junos OS 中。该工具支持 Snort 版本 2 和版本 3 规则。
- JIST 将带有 snort-id 的 Snort 规则转换为 Junos OS 上的等效自定义攻击签名,并将相应的 snort-ID 作为自定义攻击名称。
- 使用 Snort IPS 规则运行
request
命令时,JIST 会set
生成与 Snort IPS 规则等效的命令。使用命令将request security idp jist-conversion
命令生成set
为 CLI 输出。要加载set
命令,请使用load set terminal
语句或复制,并在配置模式下粘贴命令,然后提交。然后,您可以使用转换后的自定义攻击签名配置现有 IDP 策略。 - 所有未转换的 Snort IPS 规则文件都会写在 /tmp/jist-failed.rules 中。转换期间生成的错误日志文件将写入 /tmp/jist-error.log。
- 要查看 jist 软件包版本,请使用
show security idp jist-package-version
命令。
Snort IPS 签名的优势
- 帮助检测恶意攻击。