IDP 签名数据库概述
IDP 签名是瞻博网络安全框架的重要组成部分,旨在利用预定义的攻击模式(称为签名)保护网络免遭已知威胁。
基于签名的 IDP 监控网络中的数据包,并与称为签名的预配置和预先确定的攻击模式进行比较。
有关更多信息,请参阅以下主题:
了解 IDP 签名数据库
签名数据库是国内流离失所者系统的主要组成部分之一。它包含在定义 IDP 策略规则时使用的不同对象的定义,例如攻击对象、应用签名对象和服务对象。作为对新漏洞的响应,瞻博网络会定期在瞻博网络网站上提供包含攻击数据库更新的文件。您可以下载此文件来保护您的网络免受新威胁的侵害。
IDP 功能默认处于启用状态,无需许可证。即使设备上未安装有效的许可证和签名数据库,也可以配置和安装 IDP 策略中的自定义攻击和自定义攻击组。
IDP 签名数据库存储在启用 IDP 的设备上,其中包含预定义攻击对象和组的定义。这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以在 IDP 策略规则中将攻击对象和组配置为匹配条件。
您必须在设备上安装 IDP signature-database-update 许可证密钥,才能下载和安装瞻博网络提供的每日签名数据库更新。IDP 签名许可证密钥不提供宽限期支持。有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥。
您可以通过显式代理服务器下载 IDP 安全包。要下载在外部服务器上托管的 IDP 安全包,您需要配置代理配置文件并使用代理配置文件中配置的代理主机和端口详细信息。此功能允许您使用设备上部署的 Web 代理服务器对整个安全解决方案的 HTTP(S) 出站会话进行访问和身份验证。
您可以执行以下作来管理 IDP 签名数据库:
更新签名数据库 - 下载瞻博网络网站上提供的攻击数据库更新。每天都会发现新的攻击,因此保持签名数据库的更新非常重要。
验证特征码数据库版本 - 每个特征码数据库都有不同的版本号,最新的数据库具有最高的版本号。您可以使用 CLI 显示特征码数据库版本号。
更新协议检测器引擎 — 您可以在下载特征码数据库的同时下载协议检测器引擎更新。IDP 协议检测器包含应用层协议解码器。检测器与 IDP 策略耦合并一起更新。即使检测器没有变化,在策略更新时也总是需要它。
计划特征码数据库更新 — 您可以将启用 IDP 的设备配置为在设定的时间间隔后自动更新特征码数据库。
更新 IDP 签名数据库概述
瞻博网络会定期更新预先定义的攻击数据库,并在瞻博网络网站上提供。此数据库包含可在 IDP 策略中使用的攻击对象组,以便将流量与已知攻击进行匹配。尽管您无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可在 IDP 策略中使用的攻击对象列表。
要更新签名数据库,请从瞻博网络网站或通过显式 Web 代理服务器下载安全包。安全软件包包含以下 IDP 组件:
攻击对象
攻击对象组
应用程序对象
IDP 检测引擎更新
IDP 策略模板。策略模板可独立下载。请参阅 了解预定义的 IDP 策略模板。)
默认情况下,下载安全包时,会将以下组件下载到设备的暂存文件夹中:完整攻击对象组表的最新版本、应用程序对象表以及 IDP 检测引擎的更新。由于攻击对象表通常较大,因此默认情况下,系统仅下载对攻击对象表的更新。但是,您可以使用配置选项下载完整的攻击对象表 full-update 。
下载安全包后,必须安装该软件包,才能使用设备中“暂存”文件夹中新下载的更新更新来更新安全数据库。
安装安全包后,当您提交配置时,将检查所有策略的语法(不仅是活动策略)。此检查与提交检查相同。如果从您下载的新签名数据库中删除了在任何现有策略中配置的攻击,则提交检查将失败。
更新 IDP 签名数据库时,策略中配置的攻击不会自动更新。例如,假设您配置一个策略以包含系统上签名数据库版本 1200 中可用的攻击 FTP:USER:ROOT 。然后,您下载签名数据库版本 1201,其中不再包含攻击 FTP:USER:ROOT。由于新下载的数据库中缺少在策略中配置的攻击,因此 CLI 中的提交检查将失败。要成功提交配置,必须从策略配置中移除攻击 (FTP:USER:ROOT)。
如果新的 IDP 策略加载因任何原因失败,则 IDP 签名更新可能会失败。当新的 IDP 策略加载失败时,将加载最后一个已知的良好 IDP 策略。解决新策略负载问题后,新的有效策略处于活动状态,签名更新将正常工作。
IDP 签名包改进
我们进行了增强功能,以降低中断风险并控制安全包更新期间完整性问题的影响。
在安装安全包时,IDP 向 AppID 发出信号以安装应用程序包。安装 AppID 包后,IDP 安全包将按以下顺序安装:
使用下载的签名创建攻击数据库。
配置的策略将使用新安装的数据库中的信息进行更新。
更新的策略将加载到数据包转发引擎上。
使用数据包转发引擎中新加载的策略对流量进行检查。
如果在步骤 1 到 3 中出现问题或核心转储,则不会发生服务中断。如果在检查流量时发生核心转储,则会导致服务中断。
同样,如果在创建攻击数据库或更新配置的策略时出现问题,则不需要回滚安全包。但是,如果在加载更新的策略或检查流量时出现问题,则会触发回滚过程。如果根据预定义的标准与数据包转发引擎或流式处理(流式)断开连接,则签名包将无法通过完整性检查。
借助这些增强功能,当安全包安装不成功时,签名包将自动回滚。当检测到未通过完整性检查的软件包或由于内存不足而出现这种情况时。
如果在内存不足时未安装签名包,则签名包不会标记为完整性检查失败,并且只会为 IDP 触发回滚。
如果在新的签名包安装失败后触发自动回滚,则安装的版本和手动回滚版本保持不变。
以下是安全包安装失败时的回滚方案:
| 安全包安装 |
描述 |
|---|---|
| 在出厂状态设备上安装安全包 |
回滚数据库不存在。如果安装失败或检测到完整性检查失败的软件包,则不会回滚。如果安装成功,将创建一个新的回滚数据库。 |
| 在非出厂状态设备上安装安全包 |
如果路由引擎中的安装失败,则不会进行回滚。数据包转发引擎使用已加载的策略检查流量。 如果将签名包确定为加载到数据包转发引擎后未通过完整性检查的包,则会触发回滚过程,并且数据包转发引擎具有之前安装的安全包。 |
触发自动回滚时,将显示新的状态消息。您可以使用以下命令检查该消息:
root@host> request security idp security-package install status
Security-package validation failed, triggered auto rollback of the security-package.
如果发现签名包是未通过完整性检查的包,则回滚 IDP。IDP 向 AppID 发送回滚信号,但 IDP 不会等待 AppID 回滚状态。
您可以使用以下命令检查回滚的状态:
root@host> request security idp security-package rollback status
回滚的状态显示为自动回滚失败或成功完成。将显示回滚版本。
您可以使用以下命令检查在数据平面验证期间失败的签名包的详细信息。
root@host> show security idp security-package-version detail
Attack database version:3550(Thu Dec 1 14:20:50 2022 UTC) Detector version :12.6.180220128 Policy template version :3598 Rollback Attack database version :3550(Thu Dec 1 14:20:50 2022 UTC) Rollback Detector version: 12.6.180220128 Last known security-package-version which failed in data plane validation: 3650(Thu Nov 9 14:08:04 2023 UTC) Last known security-package- detector-version which failed in data plane validation : 12.6.180230313
多 SPC/PIC SRX 系列防火墙中的回滚
目前,在多 SPC 或多 PIC 设备(如 SRX5000 系列防火墙)上安装安全包时,安全包将同时安装并加载到所有 PIC 上。如果一个 PIC 上的数据平面出现故障,机箱进程 (chassisd) 将确保所有其他 PIC 脱机。一次在一个 PIC 上安装签名包不起作用。此外,当 PIC 重新联机时,它们会面临相同的流量和数据平面问题,这可能会导致重复中断。
如果在安装签名包后导致核心转储,则一旦 PIC 重新联机,安全包就会回滚,从而限制潜在的损害。
在安装安全包并将策略加载到数据包转发引擎之后,状态命令输出中会添加一条新的状态消息,同时验证签名包的完整性检查。
root@host> request security idp security-package install status
Security-package validation is in progress…
在高可用性环境中安装安全包
在高可用性方案中,主节点和辅助节点上同时触发安全包安装。当 SRXPFE 进程由于安全包中的问题而失败时,将发生故障切换,辅助节点将接管。
为避免在辅助节点上安装同一安全包时循环中发生故障转移,在主节点安装阶段进行完整性检查验证。只有在安全包通过完整性检查后,该安全包才会安装在辅助节点上。在下载另一个版本的签名包之前,不允许在辅助节点上安装。
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- In progress:performing DB update for an xml (groups.xml) node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the security-package.
在签名包安装期间,在运行 install 命令并完成完整性检查验证后,如果发生任何故障切换或切换,则会在旧主节点上触发自动回滚,并在旧辅助节点上中止安装。
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation aborted due to node failover node1: -------------------------------------------------------------------------- Done;Security-package installation failed due to node failover;Successfully Rolled back to 3656
如果主节点上的安装失败,则主节点上将发生回滚,辅助节点上的安装将会中止。
root@host> request security idp security-package install status
node0: -------------------------------------------------------------------------- Done;Security-package installation failed;Successfully Rolled back to 3550 node1: -------------------------------------------------------------------------- Done;Security-package installation aborted due to failure in the primary node installation
增强功能实施后,在高可用性设备上安装安全包时,将观察到以下更改:
| 安全包安装 |
描述 |
|---|---|
| 在两个节点上安装安全包(默认) |
安全包安装从主节点开始。只有在主节点上通过签名包完整性验证检查后,才能在辅助节点上安装签名包。 如果签名包未通过完整性检查,则会在主节点上触发签名包的回滚。该软件包未安装在辅助节点上。 如果辅助节点上安全包安装失败,则只会在辅助节点上触发回滚,并且由于安全包版本不匹配,将引发轻微告警。 |
| 仅在主节点上安装安全包 |
如果安装失败,则只会在主节点上进行回滚。 |
不会在辅助节点上执行签名包完整性验证检查。在主节点上未通过完整性检查的签名包也会在辅助节点上标记为失败。当主节点和辅助节点上安装不同版本的签名包时,会引发轻微告警。
禁止下载或安装未通过完整性检查的软件包
您将无法下载或安装未通过独立设置或高可用性设置完整性检查的签名包。将显示警告。未通过完整性检查的签名包即使在重新启动后仍然存在。
如果签名包未通过 AppID 完整性检查,则也会被视为 IDP 失败。
您可以使用以下命令验证状态:
root@host> request security idp security-package install status
Done;AI installation failed (failed in data plane validation)
在主节点上标记为未通过完整性检查的签名包也会在辅助节点上标记为未通过完整性检查。当您尝试下载未通过完整性检查的安全包并验证状态时,将显示以下状态消息:
root@host> request security idp security-package download status
Requested security-package 3501 failed data plane validation. Please download another version.
当您尝试安装未通过完整性检查的安全包并验证状态时,将显示以下消息:
Requested security-package 3501 failed data plane validation. Please install another version.
当您尝试脱机下载未通过完整性检查的安全包时,将显示相同的消息。
安装后加载上一个良好策略时回滚签名包
当 IDP 策略进程重新启动时、配置中有更改需要编译时或者安装了签名包时,必须编译 IDP 策略。编译策略后,路由引擎在备份当前加载的策略后尝试加载策略。此策略被命名为 last-good-policy。如果刚刚编译的策略由于内存限制等原因而无法加载,则路由引擎会尝试加载上一个好的策略。
因此,当在安装签名包后编译策略且策略加载失败时,路由引擎会尝试加载最后一个正常策略。但是,在加载上一个好的策略后,路由引擎和数据包转发引擎具有不同的签名包版本。路由引擎中的签名包将回滚以保持一致性。
IDP 服务器端签名包改进
以前,当您在 SRX 系列防火墙上安装 IDP 签名包时,如果该签名包未通过完整性检查,系统会在设备上记录此事件,但不会向服务器报告该事件。
现在,入侵检测和防御系统会将安装状态报告给服务器。将 sigpack 标记为全局完整性检查失败的决定基于从多个设备发送到签名服务器的信息。如果 sigpack 被标记为未通过全局完整性检查,则将来无法下载。
签名包由 IDP 签名、IDP 检测器和 AppID 原型包组成。服务器端现在有两种类型的签名包更新:
| 签名包更新类型 | 说明 |
|---|---|
| 次要 |
常规 sigpack 每周三和周五更新 IDP 签名,IDP 检测器和 AppID Protobundle 没有变化
应急 sigpack
在已发布的 AppID Protobundle 上作为修补程序发布的更新 |
| 主要 |
IDP 检测器或 AppID Protobundle 版本
|
IDP Detector 版本始终被归类为 IDP 的主要版本,如果 Detector 或 Protobundle 中有变化,则安全包是 IDP 的主要版本。仅当 Protobundle 中发生更改时,安全包才是 AppID 的主要安全包。
紧随 IDP 或 AppID 版本之后的签名包被视为主要包。如果最新的 sigpack 被识别为未通过完整性检查,则之前的 sigpack 也会被标记为失败。
将安装状态发送到 Sigpack 服务器在 SRX 系列防火墙上安装 sigpack 时,安装状态也会发送到 sigpack 服务器。安装状态包含有关完整性问题检查的信息。
高可用性安装程序的安装状态仅针对主节点发送。
当安全包安装因完整性检查问题而失败时,会在执行自动回滚后将安装状态发送到服务器。
识别完整性检查失败设备仅验证主要安全包类型的完整性检查失败。安装主要类型 sigpack 后,设备会通过 HTTPS 请求将安装状态发送到 sigpack 服务器。
根据某些计算,sigpack 被确定为未通过完整性检查。当 sigpack 未通过完整性检查时,之前的稳定 sigpack 将被标记为最新的 sigpack。
如果 sigpack 通过完整性检查,并且自 sigpack 发布后已过去 6 小时,则 sigpack 将发布给 Security Director 并供离线下载。
sigpack 通过各种模式发布后,如果被识别为未通过完整性检查,我们只会阻止从 CLI 下载此类 sigpack。
您可以使用以下命令仅下载次要更新以进行自动下载。
set services application-identification download automatic minor-only
对于手动 sigpack 更新,如果需要,您可以使用以下命令请求仅次要更新。
request security idp security-package download minor-only
下载状态命令输出指示成功下载 sigpack 后下载的版本是主要版本还是次要版本。
sigpack 类型信息可在 manifest.xml 文件中找到。设备获取此信息并将其显示在输出中。以下是 XML 清单文件的示例:
<manifest> <version>3655</version> <ExportDate>Tue Nov 28 15:29:28 2023 UTC</ExportDate> <SigpackType>Major</SigpackType> <entry> <id>application_groups.xml.gz</id> <type>systable</type> <version>3655</version> <location>application_groups.xml</location> <checksum>4483d9d4c63fe2fb99725e8218494b44</checksum> <url>https://signatures.juniper.net/xmlupdate/282/ApplicationGroups/3655/application_groups.xml.gz</url> </entry> </manifest>
以下是输出示例:
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3653(Major, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
user@host> request security idp security-package download status
Done;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi. Version info:3654(Minor, Tue Nov 21 14:09:20 2023 UTC, Detector=12.6.180230313)
成功安装 sigpack 时,install status 命令输出会指示该安装的版本是次要版本还是主要版本。
Done;Attack DB update : successful - [UpdateNumber=3653, Major, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Done;Attack DB update : successful - [UpdateNumber=3654, Minor, ExportDate=Tue Nov 21 14:09:20 2023 UTC,Detector=12.6.180230313] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
成功安装 sigpack 时,安装状态命令输出指示安装的版本是次要版本还是主要版本。这也适用于 security-package-version、recent-security-package-versions 和 check-server 输出。
如果将主要 sigpack 识别为未通过完整性检查,则它不会显示在命令输出中 security-package-version 。
例如,主 sigpack 3653 未通过完整性检查,并且未显示在输出中。
user@host>show security idp security-package-versions
Attack database version: 3652 (Minor) Attack database version: 3651 (Minor) Attack database version: 3650 (Minor) Attack database version: 3649 (Minor) Attack database version: 3648 (Minor) Attack database version: 3647 (Minor) Attack database version: 3646 (Minor) Attack database version: 3645 (Minor)
另见
通过显式代理服务器下载 Junos OS IDP 签名包概述
您可以通过显式代理服务器下载 IDP 安全包。要下载在外部服务器上托管的 IDP 安全包,您需要配置代理配置文件并使用代理配置文件中配置的代理主机和端口详细信息。此功能允许您使用设备上部署的 Web 代理服务器对 HTTP(S) 出站会话进行访问和身份验证。
您需要配置安全包下载的代理配置文件选项,以通过指定的代理服务器连接到外部服务器。代理配置文件在层次结构下 [edit services proxy] 配置。
您可以在层次结构下 [edit services proxy] 配置多个代理配置文件。IDP 只能使用一个代理配置文件。不支持在 IDP 下同时使用多个代理配置文件。在层次结构下 [security idp security-package] 配置代理配置文件时,idpd 进程将连接到代理主机,而不是签名包下载服务器。然后,代理主机与下载服务器通信,并向 idpd 进程提供响应。每次在层次结构中 [edit services proxy] 发生更改时,都会通知 idpd 进程。
在不需要时,可以禁用代理服务器来下载 IDP 签名包。
要禁用代理服务器以下载 IDP 签名,请使用 delete security idp security-package proxy-profile proxy-profile
IDP Web 代理支持取决于在系统级别配置的代理配置文件。要使用 Web 代理服务器进行下载,您必须使用代理服务器的主机和端口详细信息配置代理配置文件,并在层次结构中 [security idp security-package] 应用代理配置文件。
示例:自动更新签名数据库
此示例说明如何自动下载特征码数据库更新。
要求
开始之前,请配置网络接口。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包含攻击对象和攻击对象组,您可以在 IDP 策略中使用它们来匹配流量与已知攻击。您可以将设备配置为按指定的时间间隔自动下载签名数据库更新。
在此示例中,从 12 月 10 日晚上 11:59 开始,每 48 小时下载一次包含攻击对象和攻击对象组完整表的安全包。您还可以启用安全包的自动下载和更新。
配置
程序
分步过程
要下载并更新预定义的攻击对象,请执行以下作:
指定安全包的 URL。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
默认情况下,URL 被视为 https://signatures.juniper.net/cgi-bin/index.cgi
指定下载的时间和间隔值。
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
启用安全包的自动下载和更新。
[edit] user@host# set security idp security-package automatic enable
如果完成设备配置,请提交配置。
[edit] user@host# commit
手动更新 IDP 签名数据库概述
瞻博网络会定期更新预先定义的攻击数据库,并在瞻博网络网站上提供。此数据库包含可在入侵检测和防御 (IDP) 策略中使用的攻击对象组,以便将流量与已知攻击进行匹配。尽管您无法创建、编辑或删除预定义的攻击对象,但您可以使用 CLI 更新可在 IDP 策略中使用的攻击对象列表。下载安全包后,必须安装该软件包,才能使用设备中“暂存”文件夹中新下载的更新更新来更新安全数据库。
示例:手动更新 IDP 签名数据库
此示例说明如何手动更新 IDP 签名数据库。
要求
开始之前,请配置网络接口。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象组和攻击对象组,您可以在 IDP 策略中使用这些组将流量与已知攻击进行匹配。
在此示例中,您将下载包含攻击对象和攻击对象组完整表的安全包。安装完成后,攻击对象和攻击对象组将在 CLI 的 [edit security idp idp-policy] 层级的 predefined-attack-groups 和 predefined-attacks 配置语句下提供。您可以创建策略并将新策略指定为活动策略。您也可以仅下载瞻博网络最近上传的更新,然后使用这些新更新更新攻击数据库、正在运行的策略和检测器。
配置
程序
CLI 快速配置
此示例不提供 CLI 快速配置,因为在配置过程中需要手动干预。
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要手动下载和更新签名数据库:
指定安全包的 URL。
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
注意:默认情况下,它将采用 URL 作为 https://signatures.juniper.net/cgi-bin/index.cgi。
提交配置。
[edit] user@host# commit
切换到作模式。
[edit] user@host# exit
下载安全包。
user@host>request security idp security-package download full-update
您可以在设备上执行离线签名包下载。您可以下载签名包,并将包复制到设备中的任何公共位置,然后使用
request security idp security-package offline-download命令脱机下载包。签名包安装保持不变,并将始终是完整更新。
检查安全包下载状态。
user@host>request security idp security-package download status
使用 install 命令更新攻击数据库。
user@host>request security idp security-package install
使用以下命令检查攻击数据库更新状态(命令输出显示有关攻击数据库版本的下载和安装版本的信息):
user@host>request security idp security-package install status
切换到配置模式。
user@host>configure
创建 IDP 策略。
[edit ] user@host#edit security idp idp-policy policy1
将攻击对象或攻击对象组与策略相关联。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
设置作。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
激活策略。
[edit] user@host#set security idp active-policy policy1
提交配置。
[edit] user@host# commit
一周后,仅下载瞻博网络最近上传的更新。
user@host>request security idp security-package download
检查安全包下载状态。
user@host>request security idp security-package download status
使用新的更改更新攻击数据库、活动策略和检测器。
user@host>request security idp security-package install
使用安装状态检查攻击数据库、活动策略和检测器。
user@host>request security idp security-package install status
注意:攻击可能会从新版本的攻击数据库中删除。如果在设备上的现有策略中使用了此攻击,则新数据库的安装将失败。安装状态消息标识不再有效的攻击。要成功更新数据库,请从现有策略和组中删除对已删除攻击的所有引用,然后重新运行 install 命令。
结果
在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
示例:在机箱群集模式下下载并安装 IDP 安全包
此示例说明如何将 IDP 签名数据库下载并安装到在机箱群集模式下运行的设备。
要求
开始之前,请设置机箱群集节点 ID 和群集 ID。请参阅 示例:设置机箱群集中安全设备的节点 ID 和群集 ID 。
概述
入侵检测和防御 (IDP) 安全包包含预定义的 IDP 攻击对象和 IDP 攻击对象组的数据库,您可以在 IDP 策略中使用这些数据库将流量与已知和未知攻击进行匹配。瞻博网络会定期更新预定义的攻击对象和组,其中包含新发现的攻击模式。
要更新签名数据库,必须从瞻博网络网站下载安全包。下载安全包后,必须安装该软件包,才能使用设备中“暂存”文件夹中新下载的更新更新来更新安全数据库。
在所有分支机构 SRX 系列防火墙上,如果控制平面上的设备内存利用率较高,则加载大型 IDP 策略可能会导致设备内存不足。这可能会在 IDP 安全包更新期间触发系统重新启动。
有关详细信息,请参阅 了解 IDP 签名数据库。
在机箱群集模式下运行的设备上下载 IDP 安全包时,安全包将下载到主节点,然后同步到辅助节点。此同步有助于在主节点和辅助节点上维护相同版本的安全包。
下载并安装 IDP 签名数据库
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
指定安全包的 URL。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
切换到作模式。
[edit] user@host# exit
将 IDP 安全包下载到主节点(下载在文件夹中 var/db/idpd/sec-download 。
{primary:node0}[edit] user@host> request security idp security-package download将显示以下消息。
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
检查安全包下载状态。
{primary:node0}[edit] user@host> request security idp security-package download status下载成功后,将显示以下消息。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
使用
install命令更新攻击数据库。user@host> request security idp security-package install
检查攻击数据库更新状态。命令输出显示有关攻击数据库的下载和安装版本的信息。
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.您必须将 IDP 签名包下载到主节点。这样,安全包将在辅助节点上同步。尝试将签名包下载到辅助节点将失败。
如果为安全包配置了定时下载,则签名包文件会自动从主节点同步到备份节点。
通过显式代理服务器下载 Junos OS IDP 签名包
此示例说明如何创建代理配置文件,并使用它来通过显式代理服务器下载 IDP 签名包。
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构的 CLI edit 中,然后从配置模式进入 commit 。
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
配置
分步过程
为代理服务器创建代理配置文件,然后 idpd 进程引用此配置文件,以便通过代理服务器下载 IDP 签名包。
-
指定代理主机 IP 地址。
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.209.97.254 指定代理服务器使用的端口号。
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128指定安全包下载时必须引用的代理配置文件。
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
提交配置。
[edit] user@host# commit
切换到作模式。
[edit] user@host# exit
下载 IDP 安全包。
user@host> request security idp security-package download full-update
从瞻博网络网站下载和安装脱机 IDP 签名包的选项仍然可用。要脱机下载并安装 IDP 签名包,请运行
request security idp security-package offline-downloadCLI 命令。两个下载命令的安装过程保持不变。
要求
此示例使用以下硬件和软件组件:
此配置示例在运行 Junos OS 18.3R1 或更高版本的 SRX 系列防火墙上进行测试。
概述
瞻博网络会定期更新预定义的攻击数据库,并将其作为安全包在瞻博网络网站上提供。此数据库包括攻击对象组和攻击对象组,您可以在 IDP 策略中使用这些组将流量与已知攻击进行匹配。
您可以使用代理服务器下载 IDP 签名包。代理配置文件配置仅适用于 HTTP 连接。
在此示例中,SRX 系列防火墙利用配置的代理配置文件,下载并安装 IDP 安全包,其中包含外部服务器上可用的攻击对象和攻击对象组的完整表。
安装完成后,所有下载和安装的 IDP 攻击对象和攻击组都可以在一个或多个 IDP 策略中进行配置。然后,这些攻击对象和攻击对象将在层次结构下 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name 的安全规则中使用。您可以创建策略并将新策略指定为活动策略。您只能下载瞻博网络最近上传的更新,然后使用这些更新更新攻击数据库、正在运行的策略和检测器。
要启用通过显式代理服务器下载 IDP 签名包,请执行以下作:
使用
set services proxy profile命令使用代理服务器的主机和端口详细信息配置配置文件。set security idp security-package proxy-profile profile-name使用命令连接到代理服务器并下载 IDP 签名包。
下载 IDP 签名包时,请求将通过代理主机发送到托管签名包的实际服务器。然后,代理主机从实际主机发回响应。然后,从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 接收 IDP 签名包。
在此示例中,您将创建代理配置文件,并在从外部主机下载 IDP 签名包时引用该配置文件。 表 3 提供了此示例中使用的参数的详细信息。
参数 |
名字 |
|---|---|
配置文件名称 |
test_idp_proxy1 |
代理服务器的 IP 地址 |
10.209.97.254 |
代理服务器的端口号 |
3128 |
验证
通过代理服务器验证 IDP 签名下载
目的
显示通过代理服务器下载的 IDP 签名包的详细信息。
行动
在作模式下,输入 show security idp security-package proxy-profile 命令以查看特定于 IDP 的代理详细信息。
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.209.97.254 Port of proxy server :3128
意义
在输出中,您可以在和Proxy Address字段中找到Proxy Profile特定于 IDP 的代理配置文件详细信息。
验证 IDP 签名下载状态
目的
检查 IDP 签名包下载状态。
行动
检查安全包下载状态。
在作模式下,输入 request security idp security-package download status 命令。
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
意义
输出显示 IDP 签名包下载状态。
了解 IDP 签名数据库版本
新的攻击对象频繁添加到签名数据库服务器中;定期下载这些更新并将其安装到您的托管设备上,可确保您的网络得到有效保护,抵御最新威胁。当新的攻击对象添加到签名数据库服务器时,数据库的版本号将更新为最新的数据库版本号。每个签名数据库都有不同的版本号,最新的数据库具有最高的版本号。
更新签名数据库时,签名数据库更新客户端将连接到瞻博网络网站,并使用 HTTPS 连接获取更新。此更新(现有特征码数据库和最新特征码数据库之间的差值)根据分配给每个特征码数据库的版本号进行计算。下载更新后,更新的信息将与现有签名数据库合并,并将版本号设置为最新签名数据库的版本号。
另见
验证 IDP 签名数据库版本
目的
显示特征码数据库版本。
行动
在 CLI 的作模式下,输入 show security idp security-package-version。
示例输出
命令-名称
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
意义
输出显示启用了 IDP 的设备上的签名数据库、协议检测器和策略模板的版本号。验证以下信息:
Attack database version- 2008 年 4 月 16 日,设备上处于活动状态的签名数据库版本为31。Detector version- 显示设备上当前运行的 IDP 协议检测器的版本号。Policy template version—显示在 CLI 中运行request security idp security-package install policy-templates配置语句时目录/var/db/scripts/commit中安装的策略模板的版本。
有关输出的完整说明,请参阅 show security idp security-package-version 说明。
另见
了解 Snort IPS 签名
瞻博网络 IDP 支持 Snort IPS 签名。您可以使用瞻博网络 Snort 工具集成 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。
IDP 使用有助于检测攻击的签名来保护您的网络。Snort 是一个开源入侵防御系统 (IPS)。
IDP 系统支持 Snort IPS 签名。您可以使用瞻博网络 Snort 工具集成 (JIST) 将 Snort IPS 规则转换为瞻博网络 IDP 自定义攻击签名。这些 Snort IPS 规则有助于检测恶意攻击。
- 默认情况下,JIST 包含在 Junos OS 中。该工具支持 Snort 版本 2 和版本 3 规则。
- JIST 将带有 snort-id 的 Snort 规则转换为 Junos OS 上等效的自定义攻击签名,并将相应的 snort-id 作为自定义攻击名称。
- 使用 Snort IPS 规则运行
request命令时,JIST 将set生成与 Snort IPS 规则等效的命令。request security idp jist-conversion使用命令将命令生成为setCLI 输出。要加载set命令,请使用load set terminal语句或在配置模式下复制并粘贴命令,然后提交。然后,您可以使用转换后的自定义攻击签名配置现有 IDP 策略。 - 所有未转换的 Snort IPS 规则文件都写入 /tmp/jist-failed.rules。转换过程中生成的错误日志文件将写入 /tmp/jist-error.log。
- 要查看 jist-package 版本,请使用
show security idp jist-package-version命令。
Snort IPS 签名的好处
- 帮助检测恶意攻击。