Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

租户系统的 IDP

租户系统中的入侵检测和防御 (IDP) 策略使您能够选择性地对通过 SRX 系列防火墙的网络流量实施各种攻击检测和防御技术。SRX 系列防火墙提供与瞻博网络 IDP 系列入侵检测和防御设备相同的 IDP 签名集,以保护网络免受攻击。

了解租户系统的 IDP

借助 Junos OS 入侵检测和防御 (IDP) 策略,您可以选择性地对通过租户系统传输的网络流量实施各种攻击检测和防御技术。

本主题包含以下部分:

IDP 策略

在根级别和租户系统级别配置 IDP 策略是相似的。在根级别配置的 IDP 策略模板可见,供所有租户系统使用。主管理员在与租户系统绑定的安全配置文件中指定 IDP 策略。要启用租户系统中的 IDP,主要管理员或租户系统管理员配置一个安全策略,用于定义在层次结构级别上要检查和指定的 permit application-services idp-policy idp-policy-name 流量。

主管理员可以配置多个 IDP 策略,而租户系统一次可以有多个 IDP 策略。对于租户系统,主管理员可以将同一 IDP 策略绑定到多个租户系统,或将必需的 IDP 策略绑定到每个租户系统。如果配置多个 IDP 策略,则配置默认 IDP 策略是必须的。

主管理员配置主逻辑系统和租户系统的最大 IDP 会话预留数。使用命令 set security idp max-sessions max-sessions 定义主逻辑系统允许的 IDP 会话数,而租户系统允许的 IDP 会话数则使用命令 set security idp tenant-system tenant-system max-sessions max-sessions定义。

租户系统管理员将执行以下操作:

  • 配置多个 IDP 策略并连接到租户系统使用的防火墙策略。如果未为租户系统配置 IDP 策略,则使用由主管理员配置的默认 IDP 策略。IDP 策略通过租户系统安全策略绑定到租户系统。

  • 为其租户系统创建或修改 IDP 策略。IDP 策略绑定到租户系统。当 IDP 策略更改且提交失败时,只有已启动提交更改的租户系统才会收到有关提交失败的通知。

  • 租户系统管理员可以在租户系统中创建安全区域,并将接口分配给每个安全区域。租户系统特定的区域不能在主管理员配置的 IDP 策略中引用。主管理员可以在为主逻辑系统配置的 IDP 策略中引用主逻辑系统中的参考区域。

  • 查看单个租户系统使用命令show security idp countersshow security idp policy-commit-statusshow security idp attack tableshow security idp policies、、 和等信息,查看检测到的攻击统计信息和 IDP 计数器、攻击表和show security idp security-package-version策略提交状态。

使用命令show security idp counters counters tenant tenant-nameshow security idp policy-commit-status tenant tenant-nameshow security idp attack table tenant tenant-nameshow security idp policies tenant tenant-name、、和查看从根目录检测到的攻击统计信息和 IDP 计数器、攻击表和show security idp security-package-version tenant tenant-name策略提交状态。

限制

  • 数据包转发引擎中的 IDP 策略编译在全局级别完成。对逻辑系统或租户系统的策略所做的任何更改都会编译所有逻辑系统或租户系统的策略,因为 IDP 在内部将其视为单个全局策略。

  • 对逻辑系统或租户系统的策略所做的任何更改都会清除所有逻辑系统或租户系统的攻击表。

租户系统的 IDP 安装和许可

idp-sig 许可证必须安装在根级别。在根级别启用 IDP 后,就可以与设备上的任何租户系统一起使用。

为设备上的根级别上所有租户系统安装一个 IDP 安全包。只能在根级别执行下载和安装选项。同一版本的 IDP 攻击数据库由所有租户系统共享。

了解租户系统中的 IDP 功能

本主题包含以下部分:

规则库

单个 IDP 策略只能包含任意类型规则库的一个实例。入侵防御系统 (IPS) 规则库使用攻击对象来检测已知和未知的攻击。它可以基于状态签名和协议异常检测攻击。

注意:

IPS 的状态监控对设备是全局的,而不是按租户系统监控。

多检测器

收到新的 IDP 安全包后,其中包含攻击定义和检测器。加载新策略后,它也与检测器相关联。如果正在加载的策略有一个关联的检测器,该检测器与现有策略已经使用的检测器匹配,则不会加载新检测器,并且两个策略都使用一个关联的检测器。但是,如果新探测器与当前探测器不匹配,则新探测器将随新策略一起加载。在这种情况下,每个加载的策略都将使用自己的关联检测器进行攻击检测。

探测器的版本是所有租户系统通用的。

日志记录和监控

状态监控选项仅对主管理员可用。和 clear security idp CLI 操作命令下show security idp的所有状态监控选项都会显示全局信息,但并非基于每个租户的系统。

注意:

  • 租户系统不支持 IDP 的 SNMP 监控。

  • 租户系统仅支持系统日志的流模式,不支持事件模式。

当事件与启用了日志记录的 IDP 策略规则匹配时,IDP 会生成事件日志。

租户系统标识会添加到以下类型的 IDP 流量处理日志中:

  • 攻击日志。以下示例显示了租户系统的攻击日志 TSYS1

  • IP 操作日志。以下示例显示了租户系统的 IP 操作日志 TSYS1

示例:为租户系统配置 IDP 策略和攻击

此示例说明如何为租户系统配置 IDP 策略和攻击。

要求

此示例使用以下硬件和软件组件:

  • 使用租户系统配置的 SRX 系列防火墙。

  • Junos OS 19.2R1 及更高版本。

为租户系统配置 IDP 策略和攻击之前,请确保您已:

概述

在此示例中,您可以在租户系统中 TSYS1配置 IDP 自定义攻击、策略、自定义攻击组、预定义攻击和攻击组以及动态攻击组。

配置

配置自定义攻击

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置自定义攻击对象:

  1. 创建自定义攻击对象并设置严重性级别。

  2. 配置有状态的签名参数。

结果

在配置模式下,输入命令以确认 show security idp custom-attack my-http 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 IDP 策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置 IDP 策略:

  1. 创建 IDP 策略并配置匹配条件。

  2. 为 IDP 策略配置操作。

结果

在配置模式下,输入命令以确认 show security idp idp-policy idpengine 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

使用默认 IDP 策略配置多个 IDP 策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置多个 IDP 策略,

  1. 创建多个 IDP 策略并配置匹配条件。

  2. 配置安全策略并将 IDP 策略附加至这些策略。

  3. 配置默认 IDP 策略。

    注意:

    如果配置多个 IDP 策略,则配置默认 IDP 策略是必须的。
结果

在配置模式下,输入 show security idp idp-policy idpengineshow security idp idp-policy idpengine1show security policiesshow security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 IDP 自定义攻击组

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置 IDP 自定义攻击组,

  1. 创建 IDP 策略。

  2. 配置 IDP 策略的匹配条件。

  3. 配置有状态的签名参数。

结果

在配置模式下,输入命令以确认 show security idp 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置预定义攻击和攻击组

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置预定义的攻击和攻击组:

  1. 配置预定义攻击。

  2. 配置预定义攻击组。

结果

在配置模式下,输入命令以确认 show security idp idp-policy idpengine 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 IDP 动态攻击组

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置 IDP 动态攻击组,

  1. 配置动态攻击组参数。

结果

在配置模式下,输入命令以确认 show security idp 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

验证 IDP 策略和提交状态

目的

验证租户系统 TSYS1的策略编译后是否显示 IDP 策略和提交状态。

行动

在操作模式下,输入 show security idp policies 命令。

在操作模式下,输入 show security idp policy-commit-status 命令。

意义

输出显示租户系统中 TSYS1 配置的 IDP 策略和提交状态信息。

验证 IDP 攻击检测

目的

验证租户系统的 TSYS1 IDP 攻击检测是否成功并在攻击表中显示。

行动

在操作模式下,输入 show security idp attack table 命令。

意义

输出显示为租户系统中 TSYS1配置的自定义攻击检测到的攻击。

验证 IDP 计数器

目的

验证是否为租户系统 TSYS1显示了其中一个 IDP 计数器状态。

行动

在操作模式下,输入 show security idp counters flow 命令。

意义

输出显示租户系统的 TSYS1IDP 计数器流状态。