Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

逻辑系统的 IDP

逻辑系统中的入侵检测和防御 (IDP) 策略使您可以有选择地在通过 SRX 系列的网络流量上实施各种攻击检测和防御技术。SRX 系列提供与瞻博网络 IDP 系列入侵检测和防御设备相同的 IDP 签名,以保护网络免遭攻击。有关更多信息,请参阅以下主题:

逻辑系统中的 IDP 概述

Junos OS 入侵检测和防御 (IDP) 策略使您可以有选择地在通过逻辑系统的网络流量上实施各种攻击检测和防御技术。

本主题包括以下部分:

IDP 策略

主管理员在根层配置 IDP 策略。为逻辑系统配置 IDP 策略类似于在未为逻辑系统配置的设备上配置 IDP 策略。这可以包括自定义攻击对象的配置。

所有逻辑系统都可看到和使用安装在根逻辑系统中的 IDP 策略模板。

然后,主管理员在与逻辑系统绑定的安全配置文件中指定 IDP 策略。要在逻辑系统中启用 IDP,主管理员或用户逻辑系统管理员配置了安全策略,用于定义要检查的流量并指定 permit application-services idp 操作。

尽管主管理员可以配置多个 IDP 策略,但一个逻辑系统一次只能有一个活动 IDP 策略。对于用户逻辑系统,主管理员可将相同的 IDP 策略绑定到多个用户逻辑系统,或将唯一 IDP 策略绑定至每个用户逻辑系统。要为主逻辑系统指定活动 IDP 策略,主管理员可以参考与主逻辑系统绑定的安全配置文件中的 IDP 策略,或在 [edit security idp] 层次结构级别使用active-policy配置语句

root 管理员配置 root 和用户逻辑系统的最大 IDP 会话预留数量。允许用于根逻辑系统的 IDP 会话数使用 命令 set security idp max-sessions max-sessions 定义,允许用户逻辑系统的 IDP 会话数使用 命令 set security idp logical-system logical-system max-sessions max-sessions 定义。

注意:

如果 IDP 策略均配置在与主逻辑系统绑定且使用 active-policy 配置语句指定的安全配置文件中,则会生成提交错误。仅使用一种方法为主逻辑系统指定活动 IDP 策略。

注意:

如果您在安全策略中配置了多个 IDP 策略,则必须配置默认 IDP 策略配置。

当有多个 IDP 策略可用时,支持默认 IDP 策略配置。默认 IDP 策略是多个 IDP 策略之一。有关配置多个 IDP 策略和默认 IDP 策略的详细信息,请参阅 统一策略的 IDP 策略选择

逻辑系统管理员执行以下操作:

  • 配置多个 IDP 策略并连接到要由用户逻辑系统使用的防火墙策略。如果未为用户逻辑系统配置 IDP 策略,则会使用由主管理员配置的默认 IDP 策略。IDP 策略通过逻辑系统安全策略与用户逻辑系统绑定。

  • 为其用户逻辑系统创建或修改 IDP 策略。IDP 策略与用户逻辑系统绑定。更改 IDP 策略并成功提交时,映射到当前活动策略的现有会话将继续使用旧的 IDP 组合策略。更改 IDP 策略并提交失败时,只有发起提交更改的逻辑系统用户才会收到有关提交失败的通知。

  • 逻辑系统可以在用户逻辑系统中创建安全区域,并将接口分配给每个安全区域。在主管理员配置的 IDP 策略中无法引用特定于用户逻辑系统的区域。主管理员可以参考为主逻辑系统配置的 IDP 策略中主逻辑系统中的区域。

  • 使用 命令show security idp countersshow security idp policy-commit-statusshow security idp attack tableshow security idp policies、 、 和 . 查看各个逻辑系统检测到的攻击统计数据和 IDP 计数器、攻击表和show security idp security-package-version策略提交状态。

限制

  • 当 IDP 策略在特定用户逻辑系统中更改和编译时,此更改被视为单个全局策略更改,并编译为所有逻辑系统的所有策略。

逻辑系统的 IDP 安装和许可

必须将 idp-sig 许可证安装在 root 级别。在 root 级别启用 IDP 后,即可与设备上的任何逻辑系统配合使用。

为设备上所有逻辑系统(根层)安装一个 IDP 安全包。下载和安装选项只能在根层执行。IDP 攻击数据库的相同版本由所有逻辑系统共享。

了解逻辑系统中的 IDP 功能

本主题包括以下部分:

规则库

单个 IDP 策略只能包含任何类型的规则库的一个实例。逻辑系统支持以下 IDP 规则库:

  • 入侵防御系统 (IPS) 规则库使用攻击对象来检测已知和未知攻击。它根据状态式签名和协议异常检测攻击。

  • 应用程序级分布式拒绝服务 (DDoS) 规则库定义了保护服务器(如 DNS 或 HTTP)的参数。应用程序级别 DDoS 规则库定义了应监控的信息流的源匹配条件,并采取诸如丢弃连接、丢弃数据包或无操作等操作。它还可以针对使用相同 IP 地址的未来连接执行操作。

注意:

IPS 和应用程序级别 DDoS 的状态监控在设备上是全局的,并非按逻辑系统进行。

协议解码器

Junos IDP 模块随附了一组预配置的协议解码器。这些协议解码器具有执行的各种协议特定上下文检查的默认设置。IDP 协议解码器配置是全局的,适用于所有逻辑系统。只有根层的主管理员才能修改 [edit security idp sensor-configuration] 层次结构级别上的设置。

SSL 检测

IDP SSL 检测使用安全套接字层 (SSL) 协议套件来启用在 SSL 中加密的 HTTP 流量检测。

SSL 检测配置是全局的,适用于设备上的所有逻辑系统。SSL 检测只能由根层 ssl-inspection的主管理员配置, 配置语句 位于 [edit security idp sensor-configuration] 层次结构级别。

内联点击模式

内联点击模式功能提供应用程序层威胁的被动内联检测,用于启用 IDP 应用程序服务的流量匹配安全策略。当设备处于内联点击模式时,数据包将通过防火墙检测,并复制到独立的 IDP 模块。这样,数据包即可到达下一个服务模块,而无需等待 IDP 处理结果。

内联点击模式由主管理员为根层的所有逻辑系统启用或禁用。要启用内联点击模式,请在 [edit security forwarding-process application-services maximize-idp-sessions] 层次结构级别使用inline-tap配置语句。删除内联点击模式配置,将设备切换回常规模式。

注意:

切换到内联点击模式或返回到常规模式时,设备必须重新启动。

多检测器

收到新的 IDP 安全包时,会包含攻击定义和检测器。加载新策略之后,还会与探测器相关联。如果正在加载的策略具有与现有策略已经使用的探测器匹配的关联探测器,则不会加载新的检测器,并且两个策略都使用一个关联的检测器。但是,如果新探测器与当前探测器不匹配,新探测器将随新策略一起加载。在这种情况下,每个加载的策略将使用自己的关联检测器进行攻击检测。

检测器的版本在所有逻辑系统中都是通用的。

日志记录和监控

状态监控选项仅适用于主管理员。和 clear security idp CLI 操作命令下show security idp的所有状态监控选项均提供全局信息,但并非基于每个逻辑系统。

注意:

逻辑系统不支持 SNMP 监控 IDP。

当事件与启用日志的 IDP 策略规则匹配时,IDP 将生成事件日志。

逻辑系统识别添加到以下类型的 IDP 信息流处理日志中:

  • 攻击日志。以下示例显示 ls-product-design 逻辑系统的攻击日志:

    注意:

    在 IDP 攻击检测事件日志消息 (IDP_ATTACK_LOG_EVENT_LS)中,未填充时间、字节、字节、组件和外包字段。

  • IP 操作日志。以下示例显示 ls-product-design 逻辑系统的 IP 操作日志:

  • 应用程序 DDoS 日志。以下示例显示 ls-product 设计逻辑系统的应用程序 DDoS 日志:

示例:为主要逻辑系统配置 IDP 策略

此示例说明如何在主逻辑系统中配置 IDP 策略。

要求

开始之前:

概述

在此示例中,您配置了 IDP 策略中使用的自定义攻击。IDP 策略在应用于主逻辑系统的安全配置文件中指定。然后,IDP 在主逻辑系统中配置的安全策略中启用。

您可配置 表 1 中所述的功能。

表 1:主要逻辑系统的 IDP 配置

特征

名字

配置参数

自定义攻击

http-bf

  • 严重性严重

  • 检测会话的来源和目标地址之间的三次攻击。

  • 具有以下特征的状态式签名攻击类型:

    • 位置 http-url-parsed

    • 模式 .*juniper.*

    • 客户端到服务器流量

IPS 规则库策略

root-idp 策略

匹配:

  • 应用程序默认

  • http-bf 自定义攻击

行动:

  • 丢弃连接

  • 通知日志攻击

逻辑系统安全配置文件

主配置文件(以前配置并应用于根逻辑系统)

添加 IDP 策略 root-idp-policy。

安全策略

enable-idp

在安全策略中启用 IDP,该策略可将从 lsys-root-untrust 区域到 lsys-root-trust 区域的任何流量匹配。

注意:

逻辑系统一次只能有一个活动 IDP 策略。要为主逻辑系统指定活动 IDP 策略,主管理员可参考与主逻辑系统绑定的安全配置文件中的 IDP 策略,如此示例所示。或者,主管理员也可以在 [edit security idp] 层次结构级别使用active-policy配置语句。

如果 IDP 策略均配置在与主逻辑系统绑定且使用 active-policy 配置语句指定的安全配置文件中,则会生成提交错误。仅使用一种方法为主逻辑系统指定活动 IDP 策略。

配置

配置自定义攻击

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置自定义攻击对象:

  1. 以主管理员身份登录主逻辑系统并进入配置模式。

  2. 创建自定义攻击对象并设置严重性级别。

  3. 配置攻击检测参数。

  4. 配置状态式签名参数。

结果

在配置模式下,输入 show security idp custom-attack http-bf 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

为主逻辑系统配置 IDP 策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置 IDP 策略:

  1. 创建 IDP 策略并配置匹配条件。

  2. 为 IDP 策略配置操作。

  3. 将 IDP 策略添加到安全配置文件中。

结果

在配置模式下,输入 show security idp idp-policy root-idp-policyshow system security-profile master-profile 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

在安全策略中启用 IDP

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要在安全策略中启用 IDP:

  1. 创建安全策略并配置匹配条件。

  2. 启用 IDP。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

简洁性,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

如果完成设备配置,请在配置模式下输入 commit

验证

验证攻击匹配

目的

验证网络流量中是否正在匹配攻击。

行动

在操作模式下,输入 show security idp attack table 命令。

示例:为用户逻辑系统配置和分配预定义的 IDP 策略

管理员可以向 设备下载预定义的 IDP 策略,也可以使用自定义或预定义的攻击对象在根层配置自定义 IDP 策略。主管理员负责将 IDP 策略分配给用户逻辑系统。此示例说明如何将预定义的 IDP 策略分配给用户逻辑系统。

要求

开始之前:

概述

名为“推荐”的预定义 IDP 策略包含瞻博网络推荐的攻击对象。策略中的所有规则都设置为对每个攻击对象采取建议的操作。您可将推荐的 IDP 策略添加到 ls-design-profile 中,该配置文件绑定到 ls-product-design 用户逻辑系统,如 示例所示:创建用户逻辑系统、管理员、其用户和互连逻辑系统

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要向用户逻辑系统的安全配置文件中添加预定义的 IDP 策略:

  1. 以主管理员身份登录主逻辑系统并进入配置模式。

  2. 将 IDP 策略添加到安全配置文件中。

结果

在配置模式下,输入 show security idpshow system security-profile ls-design-profile 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

验证配置

目的

验证分配给逻辑系统的 IDP 策略。

行动

在操作模式下,输入 show security idp logical-system policy-association 命令。确保与逻辑系统绑定的安全配置文件中的 IDP 策略正确。

示例:在用户逻辑系统安全策略中启用 IDP

此示例说明如何在用户逻辑系统的安全策略中启用 IDP。

要求

开始之前:

概述

在此示例中,您可配置 ls 产品设计用户逻辑系统,如 示例所示:创建用户逻辑系统、其管理员、其用户和互连逻辑系统

您可在安全策略中启用 IDP,该策略可将从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的任何流量匹配。在安全策略中启用 IDP 可引导匹配流量根据 IDP 规则库进行检查。

注意:

此示例使用由主要管理员在示例中配置和分配给 ls 产品设计用户逻辑系统的 IDP 策略:为用户逻辑系统配置和分配预定义的 IDP 策略

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置安全策略以在用户逻辑系统中启用 IDP:

  1. 作为用户逻辑系统管理员登录逻辑系统并进入配置模式。

  2. 配置将从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的流量匹配的安全策略。

  3. 配置安全策略以启用 IDP 以匹配信息流。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

简洁性,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。

如果完成设备配置,请在配置模式下输入 commit

验证

验证攻击匹配

目的

验证网络流量中是否正在匹配攻击。

行动

在操作模式下,输入 show security idp attack table 命令。

示例:为用户逻辑系统配置 IDP 策略

此示例说明如何为用户逻辑系统配置和分配 IDP 策略。分配 IDP 策略后,信息流将从客户端发送,以检查是否对已配置的自定义攻击执行攻击检测。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 版本 18.3R1 和更高版本

  • SRX4200 设备

在用户逻辑系统上配置 IDP 策略之前:

概述

在此示例中,您配置了 IDP 策略中使用的自定义攻击。IDP 策略使用在用户逻辑系统中配置的安全策略指定并启用。

配置

要在用户逻辑系统中配置 IDP:

配置用户逻辑系统

CLI 快速配置
逐步过程

要配置用户逻辑系统:

  1. 配置用户逻辑系统。

  2. 退出配置模式并进入操作模式。

  3. 以 LSYS1 用户身份登录用户逻辑系统并进入配置模式。

结果

在配置模式下,输入 show logical-systems 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

配置自定义攻击

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置自定义攻击对象:

  1. 以 LSYS1 身份登录用户逻辑系统并进入配置模式。

  2. 创建自定义攻击对象并设置严重性级别。

  3. 配置状态式签名参数。

结果

在配置模式下,输入 show security idp custom-attack my-http 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

为用户逻辑系统配置 IDP 策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器

要配置 IDP 策略:

  1. 创建 IDP 策略并配置匹配条件。

  2. 为 IDP 策略配置操作。

结果

在配置模式下,输入 show security idp idp-policy idpengineshow system security-profile master-profile 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

在安全策略中启用 IDP

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

要在安全策略中启用 IDP:

  1. 创建安全策略并配置匹配条件。

  2. 启用 IDP。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

要发送流量并检查从用户逻辑系统检测攻击:

验证攻击检测

目的

验证自定义攻击是否正在进行攻击检测。

行动

在操作模式下,输入 show security idp attack table 命令。

意义

输出显示为在用户逻辑系统 LSYS1 中的 IDP 策略中配置的自定义攻击检测到的攻击。