Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 签名数据库概述

基于签名的 IDP 可监控网络中的数据包,并与预配置和预先确定的攻击模式(称为签名)进行比较。

有关更多信息,请参阅以下主题:

了解 IDP 签名数据库

签名数据库是入侵检测和防御 (IDP) 的主要组件之一。它包含用于定义 IDP 策略规则的不同对象的定义,例如攻击对象、应用程序签名对象和服务对象。作为对新漏洞的回应,瞻博网络定期提供一个包含瞻博网络网站上攻击数据库更新的文件。您可以下载此文件以保护您的网络免受新威胁的侵害。

注意:

默认情况下,IDP 功能已启用,无需许可证。即使设备上未安装有效的许可证和签名数据库,也可以配置和安装 IDP 策略中的自定义攻击和自定义攻击组。

IDP 签名数据库存储在启用 IDP 的设备上,包含预定义攻击对象和组的定义。这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以将攻击对象和组配置为 IDP 策略规则中的匹配条件。

注意:

您必须在设备上安装 IDP 签名数据库更新许可证密钥,以便下载和安装瞻博网络提供的每日签名数据库更新。IDP 签名许可证密钥不提供宽限期支持。有关许可证详细信息,请 参阅 Junos OS 功能许可证密钥

从 Junos OS 18.3R1 版开始,您可以通过显式代理服务器下载 IDP 安全包。要下载托管在外部服务器上的 IDP 安全包,您需要配置代理配置文件,并使用代理配置文件中配置的代理主机和端口详细信息。此功能允许您在设备上使用已部署的 Web 代理服务器,为整体安全解决方案的 HTTP(S) 出站会话进行访问和身份验证。

您可以执行以下任务来管理 IDP 签名数据库:

  1. 更新签名数据库 — 下载瞻博网络网站上提供的攻击数据库更新。每天都会发现新的攻击,因此保持签名数据库保持最新非常重要。

  2. 验证签名数据库版本 — 每个签名数据库都有不同的版本编号,而最新数据库的编号最高。您可以使用 CLI 显示签名数据库版本号。

  3. 更新协议检测器引擎 — 您可以下载协议检测器引擎更新以及下载签名数据库。IDP 协议检测器包含应用层协议解码器。检测器与 IDP 策略配合使用,并一起更新。即使检测器没有更改,也始终需要在策略更新时间使用。

  4. 计划签名数据库更新 — 您可以配置支持 IDP 的设备,以便在设置间隔后自动更新签名数据库。

更新 IDP 签名数据库概述

瞻博网络定期更新预定义的攻击数据库,并可在瞻博网络网站上提供。此数据库包含攻击对象组,您可以使用入侵检测和防御 (IDP) 策略将流量与已知攻击进行匹配。虽然您无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可以在 IDP 策略中使用的攻击对象列表。

要更新签名数据库,请从瞻博网络网站或显式 Web 代理服务器下载安全包。安全软件包由以下 IDP 组件构成:

默认情况下,下载安全软件包时,会将以下组件下载到设备中的暂存文件夹中:完整攻击对象组表的最新版本、应用程序对象表和 IDP 检测器引擎更新。由于攻击对象表通常大小较大,因此默认情况下系统仅下载攻击对象表的更新。但是,您可以使用 full-update 配置选项下载完整的攻击对象表。

下载安全软件包后,您必须安装软件包以更新安全数据库,并使用设备中中分段文件夹中新下载的更新。

安装安全包之后,在您提交配置时,将检查所有策略的语法(不仅仅是活动策略)。此检查与提交检查相同。如果在任何现有策略中配置的攻击从您下载的新签名数据库中移除,则提交检查将失败。

更新 IDP 签名数据库时,策略中配置的攻击不会自动更新。例如,假设您配置了一个策略来包含系统上的签名数据库版本 1200 中可用的攻击 FTP:USER:ROOT 。然后,下载签名数据库版本 1201,不再包含攻击 FTP:USER:ROOT。由于新下载的数据库缺少策略中配置的攻击,CLI 中的提交检查将失败。要成功提交配置,您必须从策略配置中移除攻击 (FTP:USER:ROOT)。

谨慎:

如果新的 IDP 策略负载因任何原因出现故障,IDP 签名更新可能会失败。当新的 IDP 策略负载发生故障时,将加载最后一个已知的好 IDP 策略。一旦新策略负载的问题得到解决,并且新的有效策略处于活动状态,签名更新将正常工作。

通过显式代理服务器下载 Junos OS IDP 签名包概述

从 Junos OS 18.3R1 版开始,您可以通过显式代理服务器下载 IDP 安全包。要下载托管在外部服务器上的 IDP 安全包,您需要配置代理配置文件,并使用代理配置文件中配置的代理主机和端口详细信息。此功能允许您在设备上使用已部署的 Web 代理服务器来访问 HTTP(S) 出站会话并进行身份验证。

您需要配置下载安全包的代理配置文件选项,以便通过指定的代理服务器连接到外部服务器。代理配置文件在层次结构下 [edit services proxy] 配置。

您可以在层次结构下 [edit services proxy] 配置多个代理配置文件。IDP 只能使用一个代理配置文件。多个代理配置文件不支持在 IDP 下同时使用。在层次结构下配置代理配置文件时 [security idp security-package] ,idpd 进程将连接到代理主机,而不是签名包下载服务器。然后,代理主机会与下载服务器通信,并提供 idpd 进程的响应。每次层次结构发生更改时 [edit services proxy] ,都会通知 idpd 进程。

您可在不需要时禁用代理服务器以下载 IDP 签名包。

要禁用代理服务器以进行 IDP 签名下载,请使用 delete security idp security-package proxy-profile proxy-profile

IDP Web 代理支持取决于在系统级别配置的代理配置文件。要使用 Web 代理服务器进行下载,必须使用代理服务器的主机和端口详细信息配置代理配置文件,并在层次结构中 [security idp security-package] 应用代理配置文件。

示例:自动更新签名数据库

此示例说明如何自动下载签名数据库更新。

要求

开始之前,请先配置网络接口。

概述

瞻博网络定期更新预定义的攻击数据库,并将其作为安全软件包在瞻博网络网站上提供。此数据库包含攻击对象和攻击对象组,您可以在 IDP 策略中使用这些攻击对象组来将流量与已知攻击进行匹配。您可以配置设备以指定的时间间隔自动下载签名数据库更新。

在此示例中,从 12 月 10 日晚上 11:59 开始,您每 48 小时下载一次包含攻击对象和攻击对象组完整表的安全包。您还可自动下载和更新安全软件包。

配置

程序

逐步过程

要下载和更新预定义的攻击对象:

  1. 指定安全包的 URL。

    注意:

    默认情况下,URL 将 https://services.netscreen.com/cgi-bin/index.cgi。

  2. 指定下载的时间和间隔值。

  3. 启用安全软件包的自动下载和更新。

  4. 如果完成设备配置,请提交配置。

验证

要确认配置工作正常,请执行以下任务:

手动验证 IDP 签名数据库

目的

手动显示 IDP 签名数据库。

行动

在操作模式下,输入 show security idp 命令。

手动更新 IDP 签名数据库概述

瞻博网络定期更新预定义的攻击数据库,并可在瞻博网络网站上提供。此数据库包含攻击对象组,您可以使用入侵检测和防御 (IDP) 策略将流量与已知攻击进行匹配。虽然您无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可以在 IDP 策略中使用的攻击对象列表。下载安全软件包后,您必须安装软件包以更新安全数据库,并使用设备中中分段文件夹中新下载的更新。

示例:手动更新 IDP 签名数据库

此示例说明如何手动更新 IDP 签名数据库。

要求

开始之前,请先配置网络接口。

概述

瞻博网络定期更新预定义的攻击数据库,并将其作为安全软件包在瞻博网络网站上提供。此数据库包含攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组来匹配流量与已知攻击。

在此示例中,您将下载安全包,其中包含攻击对象和攻击对象组的完整表。安装完成后,根据 [edit security idp idp-policy] 层次结构级别的预定义攻击组和预定义攻击配置语句,攻击对象和攻击对象组将在 CLI 中可用。您可创建策略并将新策略指定为活动策略。您还仅下载瞻博网络最近上传的更新,然后使用这些新更新更新更新攻击数据库、运行策略和检测器。

配置

程序

CLI 快速配置

对于此示例,CLI 快速配置不可用,因为配置期间需要手动干预。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要手动下载和更新签名数据库:

  1. 指定安全包的 URL。

    注意:

    默认情况下,URL 将 https://services.netscreen.com/cgi-bin/index.cgi。

  2. 提交配置。

  3. 切换到操作模式。

  4. 下载安全软件包。

    注意:

    您可以在设备上执行脱机签名包下载。您可以下载签名包,然后将软件包复制到设备中的任何公共位置,然后使用 request security idp security-package offline-download 命令将软件包脱机。

    签名包安装保持不变,始终为全面更新。

  5. 检查安全包下载状态。

  6. 使用安装命令更新攻击数据库。

  7. 使用以下命令检查攻击数据库更新状态(命令输出显示有关攻击数据库版本下载和安装版本的信息):

  8. 切换到配置模式。

  9. 创建 IDP 策略。

  10. 将攻击对象或攻击对象组与策略相关联。

  11. 设置操作。

  12. 激活策略。

  13. 提交配置。

  14. 一周后,仅下载瞻博网络最近上传的更新。

  15. 检查安全包下载状态。

  16. 使用新更改更新攻击数据库、活动策略和检测器。

  17. 使用安装状态检查攻击数据库、活动策略和检测器。

    注意:

    攻击有可能从攻击数据库的新版本中删除。如果在设备上的现有策略中使用此攻击,则新数据库的安装将失败。安装状态消息可识别不再有效的攻击。要成功更新数据库,请从现有策略和组中移除所有有关已删除攻击的引用,然后重新运行安装命令。

结果

在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

要确认配置工作正常,请执行以下任务:

手动验证 IDP 签名数据库

目的

手动显示 IDP 签名数据库。

行动

在操作模式下,输入 show security idp 命令。

示例:在机箱群集模式下下载和安装 IDP 安全包

此示例说明如何将 IDP 签名数据库下载并安装到在机箱集群模式下运行的设备。

要求

开始之前,请先设置机箱群集节点 ID 和群集 ID。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID

概述

入侵检测和防御 (IDP) 安全软件包包含预定义的 IDP 攻击对象和 IDP 攻击对象组数据库,您可以在 IDP 策略中使用这些组将流量与已知和未知攻击进行匹配。瞻博网络会定期更新预定义的攻击对象和组以及新发现的攻击模式。

要更新签名数据库,您必须从瞻博网络网站下载安全包。下载安全软件包后,您必须安装软件包以更新安全数据库,并使用设备中中分段文件夹中新下载的更新。

注意:

在所有分支机构 SRX 系列设备上,如果设备内存利用率在控制平面上较高,加载大型 IDP 策略可能会导致设备耗尽内存。这可在 IDP 安全包更新期间触发系统重新启动。

有关更多详细信息,请参阅 了解 IDP 签名数据库

在机箱集群模式下运行的设备上下载 IDP 安全包时,安全包将下载到主节点,然后同步到辅助节点。此同步有助于在主节点和辅助节点上保持相同版本的安全包。

下载和安装 IDP 签名数据库

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 指定安全包的 URL。

  2. 切换到操作模式。

  3. 将 IDP 安全包下载到主节点(在文件夹中 var/db/idpd/sec-download 下载)。

    显示以下消息。

  4. 检查安全包下载状态。

    成功下载时,将显示以下消息。

  5. 使用 install 命令更新攻击数据库。

  6. 检查攻击数据库更新状态。命令输出显示有关攻击数据库下载和安装版本的信息。

    注意:

    您必须将 IDP 签名包下载到主节点。这样,安全包便可在辅助节点上同步。尝试将签名包下载到辅助节点将失败。

    如果已为安全包配置了计划下载,则签名包文件将从主节点自动同步至备份节点。

通过显式代理服务器下载 Junos OS IDP 签名包

此示例说明如何创建代理配置文件,并将其用于通过显式代理服务器下载 IDP 签名包。

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层级的 CLI 中 edit ,然后从配置模式进入 commit

配置

逐步过程

创建代理服务器的代理配置文件,然后由 idpd 进程转介此配置文件,以便通过代理服务器下载 IDP 签名包。

  1. 指定代理服务器使用的端口号。

  2. 指定必须用于下载安全软件包的代理配置文件。

  3. 提交配置。

  4. 切换到操作模式。

  5. 下载 IDP 安全软件包。

    注意:

    可从瞻博网络网站下载和安装脱机 IDP 签名包的选项仍然可用。要下载和安装 IDP 签名包脱机,请运行 request security idp security-package offline-download CLI 命令。下载命令的安装过程保持不变。

要求

此示例使用以下硬件和软件组件:

  • 此配置示例在带有 Junos OS 版本 18.3R1 或更高版本的 SRX 系列设备上测试。

概述

瞻博网络会定期更新预定义的攻击数据库,并将其作为安全软件包在瞻博网络网站上提供。此数据库包含攻击对象和攻击对象组,您可以在 IDP 策略中使用这些组来匹配流量与已知攻击。

从 Junos OS 18.3R1 版开始,您可以使用代理服务器下载 IDP 签名包。代理配置文件配置仅适用于 HTTP 连接。

在此示例中,SRX 系列设备可利用配置的代理配置文件下载并安装 IDP 安全包,以及外部服务器上可用的攻击对象和攻击对象组的完整表。

安装完成后,所有下载和安装的 IDP 攻击对象和攻击组均可在 IDP 策略或策略中配置。攻击对象和攻击对象随后在层次结构下 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name 的安全规则中使用。您可创建策略并将新策略指定为活动策略。您只能下载瞻博网络最近上传的更新,然后使用这些更新更新更新攻击数据库、运行策略和检测器。

要通过显式代理服务器下载 IDP 签名包:

  1. 使用 set services proxy profile 命令配置文件以及代理服务器的主机和端口详细信息。

  2. set security idp security-package proxy-profile profile-name使用 命令连接到代理服务器并下载 IDP 签名包。

下载 IDP 签名包时,请求将通过代理主机发送至托管签名包的实际服务器。然后代理主机从实际主机发回响应。随后,IDP 签名包将从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 接收。

在此示例中,您可以创建代理配置文件,并在从外部主机下载 IDP 签名包时参考配置文件。 表 1 提供了此示例中所用参数的详细信息。

表 1:代理配置文件配置参数

参数

名字

配置文件名称

test_idp_proxy1

代理服务器的 IP 地址

10.209.97.254

代理服务器的端口编号

3128

验证

验证通过代理服务器下载 IDP 签名

目的

显示通过代理服务器下载的 IDP 签名包的详细信息。

行动

在操作模式下 show security idp security-package proxy-profile ,输入 命令以查看 IDP 特定代理详细信息。

意义

在输出中,您可以在和Proxy Address字段中Proxy Profile找到 IDP 特定代理配置文件详细信息。

验证 IDP 签名下载状态

目的

检查 IDP 签名包下载状态。

行动

检查安全包下载状态。

在操作模式下,输入 request security idp security-package download status 命令。

Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi).
Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)

意义

输出显示 IDP 签名包下载状态。

了解 IDP 签名数据库版本

会频繁将新的攻击对象添加到签名数据库服务器中;定期下载这些更新并在托管设备上安装这些更新,确保您的网络能够有效抵御最新威胁。随着新的攻击对象被添加到签名数据库服务器中,数据库的版本编号将更新为最新的数据库版本编号。每个签名数据库都有不同的版本编号,其中最新的数据库数量最多。

更新签名数据库时,签名数据库更新客户端连接到瞻博网络网站,并使用 HTTPS 连接获取更新。此更新(现有签名数据库与最新签名数据库之间的差异)基于分配给每个签名数据库的版本编号计算。下载更新后,更新的信息与现有签名数据库合并,并将版本编号设置为最新签名数据库的版本编号。

验证 IDP 签名数据库版本

目的

显示签名数据库版本。

行动

在 CLI 中的操作模式下,输入 show security idp security-package-version

示例输出

命令名称

意义

输出显示支持 IDP 的设备上的签名数据库、协议检测器和策略模板的版本编号。验证以下信息:

  • Attack database version—2008 年 4 月 16 日,设备上活动的签名数据库版本为 31

  • Detector version— 显示当前在设备上运行的 IDP 协议检测器的版本编号。

  • Policy template version— 在 CLI 中运行request security idp security-package install policy-templates配置语句时,显示在目录中/var/db/scripts/commit安装的策略模板版本。

有关输出的完整说明,请参阅 show security idp 安全包版本 说明。

了解 Snort IPS 签名

总结 瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 工具集成 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。

IDP 通过使用有助于检测攻击的签名保护您的网络。Snort 是一种开源入侵防御系统 (IPS)。

从 Junos OS 21.1R1 版开始,瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 工具集成 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。

图 1:Snort IPS 签名 Snort IPS Signatures
  • 默认情况下,JIST 包含在 Junos OS 中。该工具支持 Snort 版本 2 和版本 3 规则。
  • JIST 使用 Snort ID 将 Snort 规则转换为 Junos OS 上的等效自定义攻击签名,并将相应的浮潜 ID 转换为自定义攻击名称。
  • 使用 Snort IPS 规则运行 request 命令时,JIST 将生成 set 相当于 Snort IPS 规则的命令。 request security idp jist-conversion 使用 命令生成 set 命令作为 CLI 输出。要加载 set 命令,请使用 语 load set terminal 句或在配置模式下复制和粘贴命令,然后提交。然后,您可以使用转换后的自定义攻击签名配置现有 IDP 策略。
  • 所有未转换的 Snort IPS 规则文件均写入 /tmp/jist-failed.规则。转换过程中生成的错误日志文件写入 /tmp/jist-error.log
  • 要查看 jist 包版本,请使用 命令 show security idp jist-package-version

Snort IPS 签名的优势

  • 帮助检测恶意攻击。