在 MX 系列路由器上集成瞻博网络 ATP 云和 Web 过滤
概述
瞻博网络高级威胁防御(瞻博网络 ATP 云)与 MX 系列路由器集成,通过将基于云的威胁检测软件与新一代防火墙系统相结合,可以保护网络中的所有主机免受不断发展的安全威胁。
本主题概述了瞻博网络 ATP 云、策略实施器、安全智能、Web 过滤及其集成在 MX 系列路由器(MX240、MX480 和 MX960)上的优势。
好处
与 MX 路由器集成时,可简化部署并增强反威胁功能。
使用多种工具提供针对“零日”威胁的防护,从而为复杂的隐匿威胁提供强大的覆盖范围。
通过策略增强功能检查入站和出站流量,以允许用户阻止恶意软件、隔离受感染的系统、防止数据泄露和中断横向移动。
支持高可用性,以提供不间断服务。
提供可扩展性以处理需要更多计算资源的不断增加的负载,为接收更多客户提交而增加的网络带宽,以及恶意软件的大型存储。
提供深度检测、切实可行的报告和内联恶意软件阻止。
了解策略实施器与瞻博网络 ATP 云
瞻博网络 Security Director 包含一项称为策略实施器 (PE) 的功能,使其能够从威胁情况中学习,自动创建策略,并动态地将实施部署到网络中瞻博网络设备。
图 1 展示了 PE、瞻博网络 ATP 云和用作防火墙的 MX 路由器之间的流量信息流。
策略实施器 (PE) 从威胁状况中学习,自动创建策略,并将实施部署到网络中的瞻博网络设备。
瞻博网络高级威胁防御(瞻博网络 ATP 云)采用基于云的威胁检测软件和新一代防火墙系统,可以保护网络中的所有主机。
MX 路由器从策略实施器 (PE) 获取威胁情报源,并实施这些策略以隔离遭到入侵的主机。它由以下重要组件组成:
安全智能流程
Web 过滤进程
防火墙进程
要了解系统架构的功能,请考虑以下示例:如果用户从互联网下载文件,而该文件通过 MX 防火墙,则可以将该文件发送到瞻博网络 ATP 云进行恶意软件检测(具体取决于您的配置设置)。如果确定文件是恶意软件,PE 将识别下载该文件的主机的 IP 地址和 MAC 地址。根据用户定义的策略,可以将该主机放入隔离 VLAN 中,或者阻止该主机访问互联网。
MX 系列路由器(MX240、MX480 和 MX960)可与瞻博网络 ATP 云集成,以防止遭到入侵的主机(僵尸网络)与命令和控制服务器进行通信:
从 Junos OS 18.4R1 版开始,将自适应服务作为内联安全功能
从 Junos OS 19.3R2 版开始,将新一代服务作为内联安全功能
安全智能 (SecIntel) - 概述
安全智能进程 (IPFD) 负责从源连接器或 ATP 云源服务器下载安全智能源并解析。MX 平台上的 IPFD 进程从策略实施器获取命令和控制 IPv4/IPv6 源。C&C 源本质上是一个服务器列表,这些服务器是僵尸网络已知的命令和控制服务器。该列表还包括已知恶意软件下载来源的服务器。这样提取的信息会保存在 /var/db/url-filterd 目录中创建的文件 (urlf_si_cc_db.txt)。
IPFD 发送到 Web 过滤过程的不允许 IP 的 IP 的文件格式如下所示:
IPv4 address | IPv6 address, threat-level.
这是 threat-level 1 到 10 的整数,表示为恶意软件和受感染主机扫描的文件的威胁级别。这里,1 表示最低威胁级别,10 表示最高威胁级别。
例如:178.10.19.20、4
此处,178.10.19.20 表示不允许的 IP,4 表示 threat-level。
C&C 源数据库同步到备份路由引擎上。然后,IPFD 将信息共享到 Web 过滤进程(经过 url 过滤)。Web 过滤进程会读取文件内容并相应地配置过滤器。
配置安全智能以从策略实施器下载 CC 源
要从瞻博网络 ATP 云/策略实施器下载命令和控制 IPv4/IPv6 源,请将该 security-intelligence 语句包含在层次结构中 [edit services] ,如以下示例所示:
security-intelligence { authentication { auth-token 7QGSBL5ZRKR5UHUZ2X2R6QLHB656D5EN; } url https://10.92.83.245:443/api/v1/manifest.xml; traceoptions { file security-inteligence.log size 1g; level all; flag all; } }
Web 过滤(URL 过滤)- 概述
Web 过滤进程会读取从 IPFD 获取的文件内容,并相应地在数据包转发引擎上配置过滤器。Web 过滤过程通过对数据包转发引擎中的过滤器进行编程来实施命令和控制源,以阻止发往被阻止 IP 地址的数据包并生成用于报告事件的日志。
图 2 展示了 IPFD 获取 C&C 源然后由 Web 过滤进程处理的方式。
Web 过滤器配置文件可以具有多个模板。每个模板都包含一组为 Web 过滤配置的逻辑接口以及一个或多个术语。术语是一组匹配标准,如果满足匹配标准,该匹配标准将采取的操作。要将 Web 过滤器配置文件配置为使用动态提取的 C&C 源,可以在层级下[edit services web-filter profile profile-name 配置security-intelligence-policy命令。您无需为security-intelligence-policy基于的 Web 过滤器配置文件配置术语。
您可以在层级为 Web 过滤器配置文件 edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action 配置以下威胁级别操作:
dropdrop-and-loglog
您只能为每个threat level配置一个threat-action。threat-action如果未为特定threat level配置,则默认threat-action为accept。
另请参阅
配置用于采样的 Web 过滤器配置文件
从 Junos OS 19.3R1 版开始,Web 过滤进程(url 过滤)支持将数据包内联采样作为威胁级别操作。根据您配置的威胁操作,丢弃、记录和采样数据包。对于扩展方案,数据包采样优先于日志记录选项。除了现有威胁级别操作,您还可以在层级的 Web 过滤器配置文件 edit web-filter profile profile-name security-intelligence-policy threat-level threat-level threat-action 上配置以下威胁级别操作:
drop-and-sampledrop-log-and-samplelog-and-samplesample
内联流监控对数据包进行采样,并将 IPFIX 格式的流记录发送至流收集器。您可以将从取样数据包接收的 IP 与 /var/db/url-filterd/urlf_si_cc_db.txt 中的相应 IP 条目进行匹配,从而为外部收集器接收的取样数据包派生威胁级别。您可以使用以下任一方法配置采样:
将采样实例与层级上存在媒体接口的
[edit chassis]FPC 相关联。如果要配置 IPv4 流、IPv6 流或 VPLS 流的采样,则可以为每个系列配置流哈希表大小。配置模板属性,用于层级的
[edit services flow-monitoring内联流监控。配置采样实例并关联流服务器 IP 地址、端口号、流导出速率,并指定层级的
[edit forwarding-options收集器。
将采样实例与 FPC 关联
要将定义的实例与特定 FPC、MPC 或 DPC 关联,您可以在层次结构级别包含 sampling-instance 语句 [edit chassis fpc number] ,如以下示例所示:
chassis {
redundancy {
graceful-switchover;
}
fpc 0 {
pic0 {
inline-services {
bandwidth 10g;
}
}
}
pic 2 {
inline-services {
bandwidth 10g;
}
}
pic 3 {
inline-services {
bandwidth 10g;
}
}
sampling-instance 1to1;
inline-services{
flow-table-size {
ipv4-flow-table-size 5;
ipv6flow-table-size 5;
}
}
}
配置采样实例并将模板与采样实例相关联。
要为内联流监控配置模板属性,请在层级添加以下语句 edit services flow-monitoring ,如以下示例所示:
services {
flow-monitoring {
version-ipfix {
template ipv4 {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 48000;
seconds 60;
}
option-refresh-rate {
packets 48000;
seconds 60;
}
ipv4-template;
template ipv6 {
flow-active-timeout 60;
flow-inactive-timeout 60;
template-refresh-rate {
packets 48000;
seconds 60;
}
ipv6-template;
}
}
}
配置示例实例并关联流服务器 IP 地址和其他参数。
配置采样实例并关联流服务器 IP 地址和其他参数。在层次结构中 [edit forwarding-options] 包含以下语句,如以下示例所示:
forwarding-options {
sampling {
traceoptions {
file ipfix.log size 10k;
}
instance {
1to1 {
input {
rate 1;
}
family inet {
output {
flow-server 192.168.9.194;
port 2055;;
autonomous-system-type origin;
version-ipfix {
template {
ipv4;
}
}
}
inline-jflow {
source-address 192.168.9.195;
}
}
}
family inet6 {
output {
flow-server 192.168.9.194;
port 2000;
autonomous-system-type origin;
version-ipfix {
template {
ipv6;
}
}
}
inline-jflow {
source-address 192.168.9.195;
}
}
}
}
}
示例:配置 Web 过滤器配置文件以定义不同的威胁级别
web-filter {
profile Profile1 ;
security-intelligence-policy{
file-type txt;
threat-level 7 {
threat-action {
log-and-sample;
}
}
threat-level 8 {
threat-action {
drop-log-and-sample;
}
}
threat-level 10 {
threat-action {
drop-log-and-sample;
}
}
threat-level 5{
threat-action {
drop-log-and-sample;
}
}
threat-level 6 {
threat-action {
drop-log-and-sample;
}
}
threat-level 9{
threat-action {
drop-log-and-sample;
}
}
}
url-filter-template template1 {
client-interfaces ge-0/0/4.0;
client-routing-instance inet.0;
}
}
traceoptions {
file webfilter_log size 1g;
level all;
flag all;
}
}
}
另请参阅
GeoIP 过滤
概述
GeoIP 源本质上是一个 IP 地址到国家/地区代码映射列表。从 Junos OS 21.4R1 开始,您可以在 MX 系列路由器上配置基于 IP 的地理位置,以便从策略实施器获取 GeoIP 源。通过部署 GeoIP 源,可以让网络防止设备与属于特定国家/地区的 IP 地址进行通信。
您可以在 MX 系列路由器上配置安全智能流程 (IPFD),以便从策略实施器获取 GeoIP 源。与现有 C&C IP 或 IPv6 源类似,IPFD 从策略实施器下载 GeoIP 源。IPFD 将源转换为随后由 Web 过滤进程(url 过滤)处理的文件格式。
从 Junos OS 22.1R1 开始,您可以在 MX 系列路由器上配置安全智能进程 (IPFD),以便从瞻博网络 ATP 云获取 GeoIP 源。与现有 C&C IP 或 IPv6 源类似,IPFD 从瞻博网络 ATP 云下载 GeoIP 源。
如何在 MX 系列路由器上配置 GeoIP 过滤
IPFD 获取的信息保存在在 /var/db/url-filterd 位置创建的文件 (urlf_si_geoip_db.txt)。
IPFD 发送到 Web 过滤过程的文件类型如下所示:
IPv4 address|IPv6 address,Prefix,threat-level,VRF-name,Gen-num.Gen-num 始终为 0。 VRF-name 指的是国家/地区代码。
例如,178.10.19.22,12,255,CN,0
IPFD 和 Web 过滤进程保持一个 pcon 连接,用于通信创建或更新包含 GeoIP 源的文件。Web 过滤过程通过对 PFE 中的过滤器进行编程来阻止发往被阻止国家的数据包,从而实施 GeoIP 源。liburlf 提供的 API 用于验证和解析文件。
Web 过滤过程会读取包含 IP 地址列表的文件,PFE 过滤器使用源中列出的目标 IP 地址和为相关国家/地区配置的操作进行编程。
-
全局过滤器 - 国家/地区根据配置文件中的全局规则进行配置。特定于该全局规则的国家/地区的所有 IP 地址均在单个过滤器中编程,并应用于配置文件中的所有模板。您可以通过在层次结构上
[edit services web-filter profile profile-name security-intelligence-policy]配置配置文件来动态获取 GeoIP 源geo-ip rule match country country-name。 组过滤器 - 在模板下配置国家/地区组。与组的国家/地区关联的所有 IP 地址均在应用于配置该组的模板的组过滤器中编程。组是一个在 json 文件中定义的国家/地区列表,由 liburlf 解析。
要配置组过滤器,必须在 /var/db/url-filterd 位置配置 json 文件,其中 group.json 文件包含组映射。
json 文件的格式如下所示:
[{"group_name" : "group1","country" : ["ZA","YE"]},{"group_name" : "group2","country" : ["YT"]}]要动态获取 GeoIP 源,可以使用单个配置文件配置全局过滤器,或使用模板配置多个组过滤器。我们不支持这两种配置
在 json 文件中创建的组在层次结构中
[edit services web-filter profile profile-name url-filter-template template-name security-intelligence-policy geo-ip rule match group group-name]定义的 GeoIP 匹配语句中引用。
全局允许列表和全局阻止列表
您可以选择通过添加自己的允许列表和屏蔽列表来自定义 IP 源。这有助于管理为您的安全运维中心定制的情报源,或作为误报的临时措施。从 Junos OS 21.4R1 版开始,您可以根据 CLI 或文件的配置来允许或阻止某些 IP 地址。您可以为允许列表配置单独的列表和阻止列表的单独列表,或者将 IP 地址包含在文件中,并在 CLI 配置中包含文件名。
您可以在层次结构中创建[edit services web-filter]一个IP-address-list。IP-address-list此处包含必须允许或阻止的 IP 地址列表。您还可以创建一个文件,其中包含需要在 /var/db/url 过滤位置允许或阻止的 IP 地址。配置为文件或 IP 地址列表的一部分的 IP 地址被编程为连接到所有模板的全局过滤器的一部分。
您可以通过在层次结构上edit services web-filter profile profile-name security-intelligence-policy配置white-list (IP-address-list | file-name) 来定义全局允许列表。您可以通过在层次结构上edit services web-filter profile profile-name security-intelligence-policy配置black-list (IP-address-list | file-name)来定义全局黑名单。此处的 IP-address-list、 是指在层次结构中[edit services web-filter]指定的 IP 地址列表的名称。指的是file-name文件名,其中包含必须允许或阻止的 IP 地址列表。文件必须位于 /var/db/url 过滤的位置,并且名称必须与配置中的名称相同。
全局允许列表文件的格式如下所示:
Security Intelligence Policy Enforcement Version 2.0
IP Address,Prefix,Threat-level,VRF-Name,Gen-Num 198.51.100.1,32,0,junos-default-vrf,0
全局阻止列表文件的格式如下所示:
Security Intelligence Policy Enforcement Version 2.0
IP Address,Prefix,Threat-level,VRF-Name,Gen-Num 192.168.1.1,255,junos-default-vrf,0
Web 过滤进程解析全局允许列表或全局阻止名单 IP 地址,并使用配置的 IP 地址对隐式过滤条件进行程序,以允许或阻止数据包。