逻辑系统的 IDP
逻辑系统中的入侵检测和防御 (IDP) 策略使您能够选择性地对通过 SRX 系列的网络流量实施各种攻击检测和防御技术。SRX 系列提供与瞻博网络 IDP 系列入侵检测和防御设备相同的 IDP 签名,以保护网络免受攻击。有关更多信息,请参阅以下主题:
逻辑系统中的 IDP 概述
借助 Junos OS 入侵检测和防御 (IDP) 策略,您可以选择性地对通过逻辑系统传输的网络流量实施各种攻击检测和防御技术。
本主题包含以下部分:
IDP 策略
主管理员在根级别配置 IDP 策略。为逻辑系统配置 IDP 策略类似于在未为逻辑系统配置的设备上配置 IDP 策略。这可以包括自定义攻击对象的配置。
安装在根逻辑系统中的 IDP 策略模板可见,供所有逻辑系统使用。
然后,主管理员在绑定到逻辑系统的安全配置文件中指定 IDP 策略。为了在逻辑系统中启用 IDP,主管理员或用户逻辑系统管理员配置一个安全策略,用于定义要检查的流量并指定 permit application-services idp 操作。
尽管主管理员可以配置多个 IDP 策略,但逻辑系统一次只能有一个活动 IDP 策略。对于用户逻辑系统,主管理员可以将同一 IDP 策略绑定到多个用户逻辑系统,或者将唯一 IDP 策略绑定到每个用户逻辑系统。要为主逻辑系统指定活动 IDP 策略,主管理员既可以在绑定到主逻辑系统的安全配置文件中引用 IDP 策略,也可以在 [edit security idp] 层次结构级别使用active-policy配置语句。
root 管理员配置根和用户逻辑系统的最大 IDP 会话预留数。使用命令 set security idp max-sessions max-sessions 定义根逻辑系统允许的 IDP 会话数,用户逻辑系统允许的 IDP 会话数则使用命令 set security idp logical-system logical-system max-sessions max-sessions 定义。
如果 IDP 策略均在绑定到主逻辑系统并使用配置语句指定 active-policy 的安全配置文件中配置,将生成提交错误。仅使用一种方法为主逻辑系统指定活动 IDP 策略。
如果在安全策略中配置了多个 IDP 策略,则配置默认 IDP 策略配置是必须的。
当存在多个 IDP 策略时,支持默认 IDP 策略配置。默认 IDP 策略是多个 IDP 策略之一。有关配置多个 IDP 策略和默认 IDP 策略的更多信息,请参阅 统一策略的 IDP 策略选择。
逻辑系统管理员将执行以下操作:
配置多个 IDP 策略并连接到由用户逻辑系统使用的防火墙策略。如果未为用户逻辑系统配置 IDP 策略,则使用主管理员配置的默认 IDP 策略。IDP 策略通过逻辑系统安全策略绑定到用户逻辑系统。
为其用户逻辑系统创建或修改 IDP 策略。IDP 策略绑定到用户逻辑系统。当 IDP 策略更改并提交成功后,映射到当前活动策略的现有会话将继续使用旧的 IDP 组合策略。当 IDP 策略更改且提交失败时,只有已发起提交更改的逻辑系统用户才会收到有关提交失败的通知。
逻辑系统可以在用户逻辑系统中创建安全区域,并将接口分配给每个安全区域。特定于用户逻辑系统的区域不能在主管理员配置的 IDP 策略中引用。主管理员可以在为主逻辑系统配置的 IDP 策略中引用主逻辑系统中的参考区域。
查看由单个逻辑系统使用命令
show security idp countersshow security idp policy-commit-statusshow security idp attack tableshow security idp policies、、 、 和等功能检测的攻击统计信息和 IDP 计数器、攻击表和show security idp security-package-version策略提交状态。
限制
当特定用户逻辑系统中更改和编译 IDP 策略时,此更改被视为单个全局策略更改,并编译为所有逻辑系统的所有策略。
IDP 逻辑系统的安装和许可
idp-sig 许可证必须安装在根级别。在根级别启用 IDP 后,就可以与设备上的任何逻辑系统一起使用。
为设备上的根级别上所有逻辑系统安装一个 IDP 安全包。只能在根级别执行下载和安装选项。所有逻辑系统共享同一版本的 IDP 攻击数据库。
另请参阅
了解逻辑系统中的 IDP 功能
本主题包含以下部分:
规则库
单个 IDP 策略只能包含任意类型规则库的一个实例。逻辑系统支持以下 IDP 规则库:
入侵防御系统 (IPS) 规则库使用攻击对象来检测已知和未知的攻击。它可以基于状态签名和协议异常检测攻击。
应用程序级分布式拒绝服务 (DDoS) 规则库定义用于保护 DNS 或 HTTP 等服务器的参数。应用级 DDoS 规则库定义了应监控并采取措施(例如丢弃连接、丢弃数据包或不执行操作)的流量的源匹配条件。它还可以对未来使用相同的 IP 地址的连接执行操作。
IPS 和应用级 DDoS 的状态监控对设备是全局的,而不是按逻辑系统进行监控。
协议解码器
Junos IDP 模块随附一组预配置的协议解码器。这些协议解码器具有其执行的各种协议特定的上下文检查的默认设置。IDP 协议解码器配置是全局的,适用于所有逻辑系统。只有根级别的主管理员可以修改 [edit security idp sensor-configuration] 层次结构级别的设置。
SSL 检测
IDP SSL 检查使用安全套接字层 (SSL) 协议套件来检测在 SSL 中加密的 HTTP 流量。
SSL 检测配置是全局的,适用于设备上的所有逻辑系统。SSL 检查只能由在根级别使用配置语句在 [edit security idp sensor-configuration] 层次结构级别ssl-inspection配置。
内联点击模式
内联分路模式功能提供对应用程序层威胁的被动内联检测,以便流量与启用 IDP 应用程序服务的安全策略相匹配。当设备处于内联利用模式时,数据包会通过防火墙检测,也会复制到独立的 IDP 模块。这使数据包无需等待 IDP 处理结果即可访问下一个服务模块。
主管理员为根级别的所有逻辑系统启用或禁用内联点击模式。要启用内联分接模式,请在 inline-tap [edit security forwarding-process application-services maximize-idp-sessions] 层次结构级别使用配置语句。删除内联分路模式配置,将设备切换回常规模式。
切换到内联点击模式或返回常规模式时,设备必须重新启动。
多检测器
收到新的 IDP 安全包后,其中包含攻击定义和检测器。加载新策略后,它也与检测器相关联。如果正在加载的策略有一个关联的检测器,该检测器与现有策略已经使用的检测器匹配,则不会加载新检测器,并且两个策略都使用一个关联的检测器。但是,如果新探测器与当前探测器不匹配,则新探测器将随新策略一起加载。在这种情况下,每个加载的策略都将使用自己的关联检测器进行攻击检测。
探测器的版本是所有逻辑系统的通用版本。
日志记录和监控
状态监控选项仅对主管理员可用。和 clear security idp CLI 操作命令下show security idp的所有状态监控选项都会显示全局信息,但并非基于每个逻辑系统。
逻辑系统不支持 IDP 的 SNMP 监控。
当事件与启用了日志记录的 IDP 策略规则匹配时,IDP 会生成事件日志。
逻辑系统标识会添加到以下类型的 IDP 流量处理日志中:
攻击日志。以下示例显示了 ls-product-design 逻辑系统的攻击日志:
Feb 22 14:06:00 aqgpo1ifw01 RT_IDP: %-IDP_ATTACK_LOG_EVENT_LS: Lsys A01: IDP: At 1329883555, ANOMALY Attack log <10.1.128.200/33699->192.168.22.84/80> for TCP protocol and service HTTP application NONE by rule 4 of rulebase IPS in policy Policy1. attack: repeat=3, action=NONE, threat-severity=INFO, name=HTTP:AUDIT:URL, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:NSS-Mgmt:reth0.55->SIEM-MGMT:reth0.60, packet-log-id: 0 and misc-message
注意:在 IDP 攻击检测事件日志消息 (IDP_ATTACK_LOG_EVENT_LS) 中,不填充时间、字节、出字节、inpackets 和 outpackets 字段。
IP 操作日志。以下示例显示了 ls-product-design 逻辑系统的 IP 操作日志:
Oct 13 16:56:04 8.0.0.254 RT_IDP: IDP_ATTACK_LOG_EVENT_LS: IDP: In ls-product-design at 1287014163, TRAFFIC Attack log <25.0.0.1/34802->15.0.0.1/21> for TCP protocol and service SERVICE_NONE application NONE by rule 1 of rulebase IPS in policy Recommended. attack: repeat=0, action=TRAFFIC_IPACTION_NOTIFY, threat-severity=INFO, name=_, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:ls-product-design-trust:ge-0/0/1.0->ls-product-design-untrust:plt0.3, packet-log-id: 0 and misc-message -
应用程序 DDoS 日志。以下示例显示了 ls-product-design 逻辑系统的应用程序 DDoS 日志:
Oct 11 16:29:57 8.0.0.254 RT_IDP: IDP_APPDDOS_APP_ATTACK_EVENT_LS: DDOS Attack in ls-product-design at 1286839797 on my-http, <ls-product-design-untrust:ge-0/0/0.0:4.0.0.1:33738->ls-product-design-trust:ge-0/0/1.0:5.0.0.1:80> for TCP protocol and service HTTP by rule 1 of rulebase DDOS in policy Recommended. attack: repeats 0 action DROP threat-severity INFO, connection-hit-rate 0, context-name http-url-parsed, hit-rate 6, value-hit-rate 6 time-scope PEER time-count 2 time-period 10 secs, context value: ascii: /abc.html hex: 2f 61 62 63 2e 68 74 6d 6c
另请参阅
示例:为主逻辑系统配置 IDP 策略
此示例说明如何在主逻辑系统中配置 IDP 策略。
要求
开始之前:
以主管理员身份登录到主逻辑系统。请参阅 了解主要逻辑系统和主要管理员角色。
阅读 逻辑系统概述中的 IDP。
show system security-profile使用命令查看分配给主逻辑系统的资源。
概述
在此示例中,您将配置 IDP 策略中使用的自定义攻击。IDP 策略在应用于主逻辑系统的安全配置文件中指定。然后,在主逻辑系统中配置的安全策略中启用 IDP。
您可以配置 表 1 中描述的功能。
特征 |
名字 |
配置参数 |
|---|---|---|
自定义攻击 |
http-bf |
|
IPS 规则库策略 |
root-idp-policy |
匹配:
行动:
|
逻辑系统安全配置文件 |
主配置文件(之前配置并应用于 root-logical-system) |
添加 IDP 策略 root-idp-policy。 |
安全策略 |
enable-idp |
在与从 lsys-root-untrust 区域到 lsys-root-trust 区域的任何流量匹配的安全策略中启用 IDP。 |
一个逻辑系统一次只能有一个活动 IDP 策略。要为主逻辑系统指定活动 IDP 策略,主管理员可以引用与主逻辑系统绑定的安全配置文件中的 IDP 策略,如此示例所示。或者,主管理员可以在 active-policy [edit security idp] 层次结构级别使用配置语句。
如果 IDP 策略均在绑定到主逻辑系统并使用配置语句指定 active-policy 的安全配置文件中配置,将生成提交错误。仅使用一种方法为主逻辑系统指定活动 IDP 策略。
配置
配置自定义攻击
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security idp custom-attack http-bf severity critical set security idp custom-attack http-bf time-binding count 3 set security idp custom-attack http-bf time-binding scope peer set security idp custom-attack http-bf attack-type signature context http-url-parsed set security idp custom-attack http-bf attack-type signature pattern .*juniper.* set security idp custom-attack http-bf attack-type signature direction client-to-server
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置自定义攻击对象:
以主管理员身份登录主逻辑系统并进入配置模式。
[edit] admin@host> configure admin@host#
创建自定义攻击对象并设置严重性级别。
[edit security idp] admin@host# set custom-attack http-bf severity critical
配置攻击检测参数。
[edit security idp] admin@host# set custom-attack http-bf time-binding count 3 admin@host# set custom-attack http-bf time-binding scope peer
配置有状态的签名参数。
[edit security idp] admin@host# set custom-attack http-bf attack-type signature context http-url-parsed admin@host# set custom-attack http-bf attack-type signature pattern .*juniper.* admin@host# set custom-attack http-bf attack-type signature direction client-to-server
结果
在配置模式下,输入命令以确认 show security idp custom-attack http-bf 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
admin@host# show security idp custom-attack http-bf
severity critical;
time-binding {
count 3;
scope peer;
}
attack-type {
signature {
context http-url-parsed;
pattern .*juniper.*;
direction client-to-server;
}
}
完成设备配置后,请从配置模式进入 commit 。
为主逻辑系统配置 IDP 策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security idp idp-policy root-idp-policy rulebase-ips rule 1 match application default set security idp idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf set security idp idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection set security idp idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks set system security-profile master-profile idp-policy root-idp-policy
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置 IDP 策略:
创建 IDP 策略并配置匹配条件。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match application default admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 match attacks custom-attacks http-bf
为 IDP 策略配置操作。
[edit security idp] admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then action drop-connection admin@host# set idp-policy root-idp-policy rulebase-ips rule 1 then notification log-attacks
将 IDP 策略添加到安全配置文件中。
[edit system security-profile master-profile] admin@host# set idp-policy lsys1-idp-policy
结果
在配置模式下,输入和 show system security-profile master-profile 命令以确认show security idp idp-policy root-idp-policy您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
admin@host# show security idp idp-policy root-idp-policy
rulebase-ips {
rule 1 {
match {
application default;
attacks {
custom-attacks http-bf;
}
}
then {
action {
drop-connection;
}
notification {
log-attacks;
}
}
}
}
admin@host# show system security-profile master-profile
...
idp-policy lsys1-idp-policy;
完成设备配置后,请从配置模式进入 commit 。
在安全策略中启用 IDP
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match source-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match destination-address any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp match application any set security policies from-zone lsys-root-untrust to-zone lsys-root-trust policy enable-idp then permit application-services idp
逐步过程
在安全策略中启用 IDP:
创建安全策略并配置匹配条件。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp match source-address any admin@host# set policy enable-idp match destination-address any admin@host# set policy enable-idp match application any
启用 IDP。
[edit security policies from-zone lsys-root-untrust to-zone lsys-root-trust] admin@host# set policy enable-idp then permit application-services idp
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起想,此命令 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit]
admin@host# show security policies
from-zone lsys-root-untrust to-zone lsys-root-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
}
...
完成设备配置后,请从配置模式进入 commit 。
示例:为用户逻辑系统配置和分配预定义 IDP 策略
主 管理员可以将预定义 的 IDP 策略下载到设备,或使用自定义或预定义的攻击对象在根级别配置自定义 IDP 策略。主管理员负责将 IDP 策略分配给用户逻辑系统。此示例说明如何将预定义的 IDP 策略分配给用户逻辑系统。
要求
开始之前:
以主管理员身份登录到主逻辑系统。请参阅 了解主要逻辑系统和主要管理员角色。
阅读 IDP 策略概述。
将 ls-design-profile 安全策略分配给 ls-product-design 用户逻辑系统。请参阅示例:配置逻辑系统安全配置文件(仅限主管理员)。
将预定义的 IDP 策略模板下载到设备。请参阅 下载和使用预定义 IDP 策略模板(CLI 过程)。
注意:在 [
edit security idp] 层次结构级别使用active-policy配置语句激活预定义的 IDP 策略仅适用于主逻辑系统。对于用户逻辑系统,主管理员在绑定到用户逻辑系统的安全配置文件中指定活动 IDP 策略。
概述
名为“建议”的预定义 IDP 策略包含瞻博网络推荐的攻击对象。策略中的所有规则都设置为其操作,以针对每个攻击对象采取建议的操作。将“推荐的 IDP”策略添加到 ls-design-profile 中,该配置文件绑定到 示例:创建用户逻辑系统、其管理员、用户和互连逻辑系统中显示的 ls-product 设计用户逻辑系统。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set system security-profile ls-design-profile idp-policy Recommended
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要向用户逻辑系统的安全配置文件中添加预定义的 IDP 策略:
以主管理员身份登录主逻辑系统并进入配置模式。
[edit] admin@host> configure admin@host#
将 IDP 策略添加到安全配置文件中。
[edit system security-profile] admin@host# set ls-design-profile idp-policy Recommended
结果
在配置模式下,输入和 show system security-profile ls-design-profile 命令以确认show security idp您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
admin@host# show security idp
idp-policy Recommended {
...
}
[edit]
admin@host# show system security-profile ls-design-profile
policy {
...
}
idp-policy Recommended;
logical-system ls-product-design;
完成设备配置后,请从配置模式进入 commit 。
示例:在用户逻辑系统安全策略中启用 IDP
此示例说明如何在用户逻辑系统的安全策略中启用 IDP。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
在配置模式下,使用
show system security-profile <profile-name> idp-policy命令查看分配给逻辑系统的安全策略资源。以主管理员身份为用户逻辑系统配置 IDP 安全策略。请参阅 示例:为用户逻辑系统配置和分配预定义 IDP 策略。
概述
在此示例中,您将配置 ls-product-design 用户逻辑系统,如 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统所示。
您可以在安全策略中启用 IDP,该策略将与从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的任何流量匹配。在安全策略中启用 IDP 将定向要根据 IDP 规则库检查匹配的流量。
此示例使用在示例:为用户逻辑系统配置和分配预定义 IDP 策略中由主管理员配置并分配给 ls-product 设计 用户逻辑系统的 IDP 策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match source-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match destination-address any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy enable-idp then permit application-services idp
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置安全策略以在用户逻辑系统中启用 IDP:
以用户逻辑系统管理员身份登录逻辑系统并进入配置模式。
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
配置一个安全策略,将来自 ls-product-design-untrust 区域和 ls-product-design-trust 区域的流量匹配。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp match source-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match destination-address any lsdesignadmin1@host:ls-product-design# set policy enable-idp match application any
配置安全策略以启用 IDP 以匹配流量。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy enable-idp then permit application-services idp
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起想,此命令 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy enable-idp {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp;
}
}
}
}
...
}
完成设备配置后,请从配置模式进入 commit 。
示例:为用户逻辑系统配置 IDP 策略
此示例说明如何配置 IDP 策略并将其分配给用户逻辑系统。分配 IDP 策略后,从客户端发送流量,以检查对配置的自定义攻击的攻击检测。
要求
概述
在此示例中,您将配置 IDP 策略中使用的自定义攻击。IDP 策略将使用在用户逻辑系统中配置的安全策略指定并启用。
配置
在用户逻辑系统中配置 IDP:
配置用户逻辑系统
CLI 快速配置
逐步过程
要配置用户逻辑系统:
配置用户逻辑系统。
[edit] user@host# set logical-system LSYS1
退出配置模式,进入操作模式。
user@host# exit
以 LSYS1 用户身份登录用户逻辑系统并进入配置模式。
user@host> set cli logical-system LSYS1 user@host:LSYS1> edit user@host:LSYS1#
结果
在配置模式下,输入命令以确认 show logical-systems 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show logical-systems
LSYS1 {
}
配置自定义攻击
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*test.* set security idp custom-attack my-http attack-type signature direction any
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置自定义攻击对象:
以 LSYS1 身份登录用户逻辑系统并进入配置模式。
[edit] user@host:LSYS1#
创建自定义攻击对象并设置严重性级别。
[edit security idp] user@host:LSYS1# set custom-attack my-http severity info
配置有状态的签名参数。
[edit security idp] user@host:LSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:LSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:LSYS1# set custom-attack my-http attack-type signature pattern .*test.* user@host:LSYS1# set custom-attack my-http attack-type signature direction any
结果
在配置模式下,输入命令以确认 show security idp custom-attack my-http 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host:LSYS1# show security idp custom-attack my-http
severity info;
attack-type {
signature {
protocol-binding {
application HTTP;
}
context http-get-url;
pattern .*test.*;
direction any;
}
}
完成设备配置后,请从配置模式进入 commit 。
为用户逻辑系统配置 IDP 策略
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置 IDP 策略:
创建 IDP 策略并配置匹配条件。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
为 IDP 策略配置操作。
[edit security idp] user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:LSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
结果
在配置模式下,输入和 show system security-profile master-profile 命令以确认show security idp idp-policy idpengine您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host:LSYS1# show security idp idp-policy idpengine
rulebase-ips {
rule 1 {
match {
from-zone any;
source-address any;
to-zone any;
destination-address any;
application default;
attacks {
custom-attacks my-http;
}
}
then {
action {
no-action;
}
notification {
log-attacks;
}
}
}
}
完成设备配置后,请从配置模式进入 commit 。
在安全策略中启用 IDP
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security policies from-zone z1 to-zone z2 policy p1 match source-address any set security policies from-zone z1 to-zone z2 policy p1 match destination-address any set security policies from-zone z1 to-zone z2 policy p1 match application any set security policies from-zone z1 to-zone z2 policy p1 then permit application-services idp-policy idpengine
逐步过程
在安全策略中启用 IDP:
创建安全策略并配置匹配条件。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 match source-address any user@host:LSYS1# set policy p1 match destination-address any user@host:LSYS1# set policy p1 match application any
启用 IDP。
[edit security policies from-zone z1 to-zone z2] user@host:LSYS1# set policy p1 then permit application-services idp-policy idpengine
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host:LSYS1# show security policies
from-zone z1 to-zone z2 {
policy p1{
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
idp-policy idpengine;
}
}
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
要从用户逻辑系统发送流量并检查攻击检测:
验证攻击检测
目的
验证自定义攻击是否正在进行攻击检测。
行动
在操作模式下,输入 show security idp attack table 命令。
user@host:LSYS1> show security idp policies PIC : FPC 0 PIC 0: ID Name Sessions Memory Detector 1 idpengine 0 188584 12.6.130180509
user@host:LSYS1> show security idp attack table
IDP attack statistics:
Attack name #Hits
my-http 1
意义
输出显示针对用户逻辑系统 LSYS1 中的 IDP 策略中配置的自定义攻击检测到的攻击。