适用于逻辑系统的 IDP
逻辑系统中的入侵检测和防御 (IDP) 策略使您能够针对通过 SRX 系列的网络流量,选择性地实施各种攻击检测和防御技术。SRX 系列提供与瞻博网络 IDP 系列入侵检测和防御设备上相同的 IDP 签名集,以保护网络免受攻击。有关更多信息,请参阅以下主题:
逻辑系统中的 IDP 概述
Junos OS 入侵检测和防御 (IDP) 策略使您能够对通过逻辑系统的网络流量选择性地实施各种攻击检测和防御技术。
本主题包含以下部分:
IDP 策略
主管理员在根级别配置 IDP 策略。为逻辑系统配置 IDP 策略类似于在未为逻辑系统配置的设备上配置 IDP 策略。这可能包括配置自定义攻击对象。
安装在根逻辑系统中的 IDP 策略模板可见,并由所有逻辑系统使用。
然后,主管理员在绑定到逻辑系统的安全配置文件中指定 IDP 策略。要在逻辑系统中启用 IDP,主管理员或用户逻辑系统管理员可配置一个安全策略,用于定义要检查的流量并指定 permit application-services idp 作。
虽然主管理员可以配置多个 IDP 策略,但逻辑系统一次只能有一个活动 IDP 策略。对于用户逻辑系统,主管理员可以将相同的 IDP 策略绑定到多个用户逻辑系统,也可以将唯一的 IDP 策略绑定到每个用户逻辑系统。要为主逻辑系统指定活动 IDP 策略,主管理员可以在绑定到主逻辑系统的安全配置文件中引用 IDP 策略,也可以在 [edit security idp] 层次结构级别使用active-policy配置语句。
root 管理员可配置 root 逻辑系统和用户逻辑系统的最大 IDP 会话预留数。使用命令 set security idp max-sessions max-sessions 定义根逻辑系统允许的 IDP 会话数,用户逻辑系统允许的 IDP 会话数使用命令 set security idp logical-system logical-system max-sessions max-sessions 定义。
如果在绑定到主逻辑系统的安全配置文件中配置了IDP策略,并且使用配置语句指定 active-policy 了策略,则会生成提交错误。仅使用一种方法为主逻辑系统指定活动 IDP 策略。
如果在安全策略中配置了多个 IDP 策略,则必须配置默认 IDP 策略配置。
当有多个 IDP 策略可用时,支持默认 IDP 策略配置。默认 IDP 策略是多个 IDP 策略之一。有关配置多个 IDP 策略和默认 IDP 策略的更多信息,请参阅 统一策略的 IDP 策略选择。
逻辑系统管理员执行以下作:
配置多个 IDP 策略并附加到要由用户逻辑系统使用的防火墙策略。如果未为用户逻辑系统配置 IDP 策略,则使用主管理员配置的默认 IDP 策略。IDP 策略通过逻辑系统安全策略绑定到用户逻辑系统。
为其用户逻辑系统创建或修改 IDP 策略。IDP 策略绑定到用户逻辑系统。当 IDP 策略发生更改且提交成功时,映射到当前活动策略的现有会话将继续使用旧的 IDP 组合策略。当 IDP 策略发生更改且提交失败时,只有发起提交更改的逻辑系统用户才会收到提交失败的通知。
逻辑系统可以在用户逻辑系统中创建安全区域,并为每个安全区域分配接口。特定于用户逻辑系统的区域无法在主管理员配置的 IDP 策略中引用。主管理员可以在为主逻辑系统配置的 IDP 策略中引用主逻辑系统中的区域。
使用命令
show security idp counters、show security idp attack table、show security idp policiesshow security idp policy-commit-statusshow security idp security-package-version和 查看单个逻辑系统检测到的攻击统计信息和 IDP 计数器、攻击表和策略提交状态。
限制
在特定用户逻辑系统中更改和编译 IDP 策略时,此更改将被视为单个全局策略更改,并针对所有逻辑系统的所有策略进行编译。
逻辑系统的 IDP 安装和许可
必须在根级别安装 idp-sig 许可证。在根级别启用 IDP 后,即可将其与设备上的任何逻辑系统一起使用。
在根级别为设备上的所有逻辑系统安装单个 IDP 安全包。下载和安装选项只能在根级别执行。所有逻辑系统共享同一版本的 IDP 攻击数据库。
也可以看看
了解逻辑系统中的 IDP 功能
本主题包含以下部分:
规则库
单个 IDP 策略只能包含任何类型规则库的一个实例。逻辑系统支持以下 IDP 规则库:
入侵防御系统 (IPS) 规则库使用攻击对象来检测已知和未知攻击。它可以检测基于状态式签名和协议异常的攻击。
应用级分布式拒绝服务 (DDoS) 规则库定义了用于保护 DNS 或 HTTP 等服务器的参数。应用级 DDoS 规则库定义应监控的流量的源匹配条件,并采取措施,例如丢弃连接、丢弃数据包或不采取任何措施。它还可以对将来使用相同 IP 地址的连接执行作。
IPS 和应用级 DDoS 的状态监控是全局性的,而不是基于每个逻辑系统。
协议解码器
Junos IDP 模块附带一组预配置的协议解码器。这些协议解码器具有它们执行的各种特定于协议的上下文检查的默认设置。IDP 协议解码器配置是全局的,适用于所有逻辑系统。只有根级别的主管理员才能修改 [edit security idp sensor-configuration] 层级的设置。
SSL 检测
IDP SSL 检测使用安全套接字层 (SSL) 协议套件来启用对以 SSL 加密的 HTTP 流量的检测。
SSL 检查配置是全局的,适用于设备上的所有逻辑系统。SSL 检查只能由根级别的主管理员使用 [edit security idp sensor-configuration] 层级的配置语句进行ssl-inspection配置。
内联抽头模式
内联窃听模式功能可针对启用了 IDP 应用服务的安全策略匹配的流量提供对应用层威胁的被动内联检测。当设备处于内联分路模式时,数据包会通过防火墙检测,并被复制到独立的 IDP 模块。这样,数据包就可以到达下一个服务模块,而无需等待 IDP 处理结果。
主管理员在根级别为所有逻辑系统启用或禁用内联分路模式。要启用内联分路模式,请在 [edit security forwarding-process application-services maximize-idp-sessions] 层级使用inline-tap配置语句。删除内联分路模式配置以将设备切换回常规模式。
切换到内联分流模式或返回常规模式时,必须重新启动设备。
多探测器
收到新的 IDP 安全包时,它包含攻击定义和检测器。加载新策略后,它还与检测器相关联。如果正在加载的策略具有与现有策略已使用的检测器匹配的关联检测器,则不会加载新检测器,并且两个策略都使用单个关联的检测器。但是,如果新检测器与当前检测器不匹配,则新检测器将与新策略一起加载。在这种情况下,每个加载的策略将使用自己的关联检测器进行攻击检测。
检测器的版本对于所有逻辑系统都是通用的。
日志记录和监控
状态监控选项仅适用于主管理员。和 CLI作命令下show security idpclear security idp的所有状态监控选项都会显示全局信息,但不会以每个逻辑系统为基础。
逻辑系统不支持 IDP 的 SNMP 监控。
当事件与启用了日志记录的IDP策略规则匹配时,IDP 将生成事件日志。
逻辑系统标识将添加到以下类型的 IDP 流量处理日志中:
攻击日志。以下示例显示了 ls-product-design 逻辑系统的攻击日志:
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
注意:在 IDP 攻击检测事件日志消息 (IDP_ATTACK_LOG_EVENT_LS) 中,未填充 time-elapsed、inbytes、outbytes、inpackets 和 outpackets 字段。
IP作日志。以下示例显示了 ls-product-design 逻辑系统的 IP作日志:
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
应用 DDoS 日志。以下示例显示了 ls-product-design 逻辑系统的应用程序 DDoS 日志:
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
也可以看看
示例:为主逻辑系统配置 IDP 策略
此示例说明如何在主逻辑系统中配置 IDP 策略。
要求
开始之前:
以主管理员身份登录到主逻辑系统。请参阅 了解主逻辑系统和主管理员角色。
阅读 逻辑系统中的 IDP 概述。
使用此
show system security-profile命令查看分配给主逻辑系统的资源。
概述
在此示例中,您将配置 IDP 策略中使用的自定义攻击。IDP 策略在应用于主逻辑系统的安全配置文件中指定。然后,将在主逻辑系统中配置的安全策略中启用 IDP。
您可以配置 表 1 中所述的功能。
功能 |
姓名 |
配置参数 |
|---|---|---|
定制攻击 |
HTTP-BF |
|
IPS 规则库策略 |
根 IDP 策略 |
匹配:
行动:
|
逻辑系统安全配置文件 |
primary-profile(之前配置并应用于根逻辑系统) |
添加 IDP 策略 root-idp-policy。 |
安全性策略 |
启用-IDP |
在与从 lsys-root-untrust 区域到 lsys-root-trust 区域的任何流量匹配的安全策略中启用 IDP。 |
一个逻辑系统一次只能有一个活动 IDP 策略。要为主逻辑系统指定活动 IDP 策略,主管理员可以在绑定到主逻辑系统的安全配置文件中引用 IDP 策略,如本例所示。或者,主管理员可以在 [edit security idp] 层次结构级别使用active-policy配置语句。
如果在绑定到主逻辑系统的安全配置文件中配置了IDP策略,并且使用配置语句指定 active-policy 了策略,则会生成提交错误。仅使用一种方法为主逻辑系统指定活动 IDP 策略。
配置
配置自定义攻击
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要配置自定义攻击对象,请执行以下作:
以主管理员身份登录到主逻辑系统并进入配置模式。
[edit] admin@host> configure admin@host#
创建自定义攻击对象并设置严重性级别。
[edit security idp] admin@host# set custom-attack http-bf severity critical
配置攻击检测参数。
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
配置状态式签名参数。
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
结果
在配置模式下,输入 show security idp custom-attack http-bf 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
如果完成设备配置,请从配置模式进入。commit
为主逻辑系统配置 IDP 策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要配置 IDP 策略,请执行以下作:
创建 IDP 策略并配置匹配条件。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
为 IDP 策略配置作。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
将 IDP 策略添加到安全配置文件。
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
结果
在配置模式下,输入和show security idp idp-policy root-idp-policyshow system security-profile master-profile命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
如果完成设备配置,请从配置模式进入。commit
在安全性策略中启用 IDP
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
分步程序
要在安全策略中启用 IDP,请执行以下作:
创建安全策略并配置匹配条件。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
启用 IDP。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
如果完成设备配置,请从配置模式进入。commit
示例:为用户逻辑系统配置和分配预定义的 IDP 策略
主 管理员可以将 预定义的 IDP 策略下载到设备,或者使用自定义或预定义的攻击对象在根级别配置自定义 IDP 策略。主管理员负责将 IDP 策略分配给用户逻辑系统。此示例说明如何将预定义的 IDP 策略分配给用户逻辑系统。
要求
开始之前:
以主管理员身份登录到主逻辑系统。请参阅 了解主逻辑系统和主管理员角色。
阅读 IDP 策略概述。
将 ls-design-profile 安全策略分配给 ls-product-design 用户逻辑系统。请参阅示例:配置逻辑系统安全性配置文件(仅限主管理员)。
将预定义的 IDP 策略模板下载到设备。请参阅下载和使用预定义的 IDP 策略模板(CLI 过程)。
注意:在 [
edit security idp] 层次结构级别使用配置语句激活预定义的 IDP 策略active-policy仅适用于主逻辑系统。对于用户逻辑系统,主管理员在绑定到用户逻辑系统的安全配置文件中指定活动 IDP 策略。
概述
名为“推荐”的预定义 IDP 策略包含瞻博网络建议的攻击对象。策略中的所有规则都将其作设置为对每个攻击对象采取建议的作。您可以将建议的 IDP 策略添加到 ls-design-profile 中,该策略绑定到 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set system security-profile ls-design-profile idp-policy Recommended
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要将预定义的 IDP 策略添加到用户逻辑系统的安全配置文件:
以主管理员身份登录到主逻辑系统并进入配置模式。
[edit] admin@host> configure admin@host#
将 IDP 策略添加到安全配置文件。
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
结果
在配置模式下,输入和show security idpshow system security-profile ls-design-profile命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
如果完成设备配置,请从配置模式进入。commit
示例:在用户逻辑系统安全性策略中启用 IDP
此示例说明如何在用户逻辑系统的安全策略中启用 IDP。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
在配置模式下,使用命令
show system security-profile <profile-name> idp-policy查看分配给逻辑系统的安全策略资源。作为主管理员为用户逻辑系统配置 IDP 安全策略。请参阅 示例:为用户逻辑系统配置和分配预定义的 IDP 策略。
概述
在此示例中,您将配置 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
您可以在安全策略中启用 IDP,该策略匹配从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的任何流量。在安全策略中启用 IDP 会指示要根据 IDP 规则库检查匹配流量。
此示例使用主管理员在 示例:为用户逻辑系统配置和分配预定义 IDP 策略中配置并分配给 ls-product-design 用户逻辑系统的 IDP 策略。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要配置安全策略以在用户逻辑系统中启用 IDP,请执行以下作:
以用户逻辑系统管理员身份登录到逻辑系统,然后进入配置模式。
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
配置一个安全策略,用于将从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的流量进行匹配。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
配置安全策略以启用 IDP 以匹配流量。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
如果完成设备配置,请从配置模式进入。commit
示例:为用户逻辑系统配置 IDP 策略
此示例说明如何配置 IDP 策略并将其分配给用户逻辑系统。分配 IDP 策略后,流量将从客户端发送,以检查配置的自定义攻击是否检测到攻击。
要求
此示例使用以下硬件和软件组件:
Junos OS 18.3R1 及更高版本
一台 SRX4200 设备
在用户逻辑系统上配置 IDP 策略之前:
配置安全区域。请参阅 示例:为用户逻辑系统配置安全性区域。
概述
在此示例中,您将配置 IDP 策略中使用的自定义攻击。使用用户逻辑系统中配置的安全策略指定和启用 IDP 策略。
配置
要在用户逻辑系统中配置 IDP,请执行以下作:
配置用户逻辑系统
CLI 快速配置
分步程序
要配置用户逻辑系统,请执行以下作:
配置用户逻辑系统。
[edit] user@host# set logical-system LSYS1
退出配置模式并进入作模式。
user@host# exit
以 LSYS1 用户身份登录到用户逻辑系统并进入配置模式。
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
结果
在配置模式下,输入 show logical-systems 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show logical-systems
LSYS1 {
}
配置自定义攻击
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要配置自定义攻击对象,请执行以下作:
以 LSYS1 身份登录到用户逻辑系统并进入配置模式。
[edit] user@host:LSYS1#
创建自定义攻击对象并设置严重性级别。
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
配置状态式签名参数。
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
结果
在配置模式下,输入 show security idp custom-attack my-http 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
如果完成设备配置,请从配置模式进入。commit
为用户逻辑系统配置 IDP 策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要配置 IDP 策略,请执行以下作:
创建 IDP 策略并配置匹配条件。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
为 IDP 策略配置作。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
结果
在配置模式下,输入和show security idp idp-policy idpengineshow system security-profile master-profile命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
在安全性策略中启用 IDP
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
分步程序
要在安全策略中启用 IDP,请执行以下作:
创建安全策略并配置匹配条件。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
启用 IDP。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要发送流量并检查来自用户逻辑系统的攻击检测:
验证攻击检测
目的
验证是否正在对自定义攻击进行攻击检测。
行动
在作模式下,输入命令 show security idp attack table 。
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
意义
输出显示为用户逻辑系统 LSYS1 的 IDP 策略中配置的自定义攻击检测到的攻击。