Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

租户系统的 IDP

租户系统中的入侵检测和防御 (IDP) 策略使您能够对通过 SRX 系列防火墙的网络流量选择性地实施各种攻击检测和防御技术。SRX 系列防火墙提供与瞻博网络 IDP 系列入侵检测和防御设备上相同的 IDP 签名集,以保护网络免受攻击。

了解租户系统的 IDP

Junos OS 入侵检测和防御 (IDP) 策略使您能够对通过租户系统的网络流量选择性地实施各种攻击检测和预防技术。

本主题包含以下部分:

IDP 策略

在根级别和租户系统级别配置 IDP 策略类似。在根级别配置的 IDP 策略模板可供所有租户系统使用。主管理员在绑定到租户系统的安全配置文件中指定 IDP 策略。要在租户系统中启用 IDP,主管理员或租户系统管理员需要配置一个安全策略,用于定义要检查的流量并在层次结构级别进行 permit application-services idp-policy idp-policy-name 指定。

主管理员可以配置多个 IDP 策略,租户系统一次可以有多个 IDP 策略。对于租户系统,主管理员可以将相同的 IDP 策略绑定到多个租户系统,也可以将必要的 IDP 策略绑定到每个租户系统。如果配置多个 IDP 策略,则必须配置默认 IDP 策略。

主管理员可为主逻辑系统和租户系统配置最大 IDP 会话预留数。使用命令 set security idp max-sessions max-sessions 定义主逻辑系统允许的 IDP 会话数,租户系统允许的 IDP 会话数使用命令 set security idp tenant-system tenant-system max-sessions max-sessions定义。

租户系统管理员执行以下作:

  • 配置多个 IDP 策略并附加到要供租户系统使用的防火墙策略。如果未为租户系统配置 IDP 策略,则使用主管理员配置的默认 IDP 策略。IDP 策略通过租户系统安全策略绑定到租户系统。

  • 为其租户系统创建或修改 IDP 策略。IDP 策略绑定到租户系统。当 IDP 策略发生更改且提交失败时,只有启动提交更改的租户系统才会收到提交失败的通知。

  • 租户系统管理员可以在租户系统中创建安全区域,并为每个安全区域分配接口。在主管理员配置的 IDP 策略中无法引用特定于租户系统的区域。主管理员可以在为主逻辑系统配置的 IDP 策略中引用主逻辑系统中的区域。

  • 使用命令 show security idp countersshow security idp attack tableshow security idp policiesshow security idp policy-commit-statusshow security idp security-package-version和 查看单个租户系统检测到的攻击统计信息和 IDP 计数器、攻击表和策略提交状态。

使用show security idp counters counters tenant tenant-name命令 、 show security idp attack table tenant tenant-nameshow security idp policies tenant tenant-nameshow security idp policy-commit-status tenant tenant-nameshow security idp security-package-version tenant tenant-name和 从根目录查看检测到的攻击统计信息和 IDP 计数器、攻击表和策略提交状态。

限制

  • 数据包转发引擎中的 IDP 策略编译在全局级别完成。对逻辑系统或租户系统所做的任何策略更改都会导致所有逻辑系统或租户系统的策略编译,因为 IDP 在内部将其视为单个全局策略。

  • 对逻辑系统或租户系统所做的任何策略更改都会导致清除攻击表中的所有逻辑系统或租户系统。

租户系统的 IDP 安装和许可

必须在根级别安装 idp-sig 许可证。在根级别启用 IDP 后,它可以与设备上的任何租户系统一起使用。

在根级别为设备上的所有租户系统安装单个 IDP 安全包。下载和安装选项只能在根级别执行。所有租户系统共享同一版本的 IDP 攻击数据库。

了解租户系统中的 IDP 功能

本主题包含以下部分:

规则库

单个 IDP 策略只能包含任何类型规则库的一个实例。入侵防御系统 (IPS) 规则库使用攻击对象来检测已知和未知攻击。它可以检测基于状态式签名和协议异常的攻击。

注意:

IPS 的状态监控是设备的全局监控,而不是基于每个租户系统。

多探测器

收到新的 IDP 安全包时,它包含攻击定义和检测器。加载新策略后,它还与检测器相关联。如果正在加载的策略具有与现有策略已使用的检测器匹配的关联检测器,则不会加载新检测器,并且两个策略都使用单个关联的检测器。但是,如果新检测器与当前检测器不匹配,则新检测器将与新策略一起加载。在这种情况下,每个加载的策略将使用自己的关联检测器进行攻击检测。

检测器的版本对于所有租户系统都是通用的。

日志记录和监控

状态监控选项仅适用于主管理员。和 CLI作命令下show security idpclear security idp的所有状态监控选项都会显示全局信息,但不会以每个租户系统为基础。

注意:

  • 租户系统不支持对 IDP 进行 SNMP 监控。

  • 租户系统仅支持系统日志的流模式,不支持事件模式。

当事件与启用了日志记录的IDP策略规则匹配时,IDP 将生成事件日志。

租户系统标识将添加到以下类型的 IDP 流量处理日志中:

  • 攻击日志。以下示例显示了租户系统的攻击日志 TSYS1

  • IP作日志。以下示例显示租户系统的 IP作日志 TSYS1

示例:为租户系统配置 IDP 策略和攻击

此示例说明如何为租户系统配置 IDP 策略和攻击。

要求

此示例使用以下硬件和软件组件:

  • 使用租户系统配置的 SRX 系列防火墙。

  • Junos OS 19.2R1 及更高版本。

在为租户系统配置 IDP 策略和攻击之前,请确保您已:

概述

在此示例中,您可以在租户系统 TSYS1中配置 IDP 自定义攻击、策略、自定义攻击组、预定义攻击和攻击组以及动态攻击组。

配置

配置自定义攻击

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置自定义攻击对象,请执行以下作:

  1. 创建自定义攻击对象并设置严重性级别。

  2. 配置状态式签名参数。

结果

在配置模式下,输入 show security idp custom-attack my-http 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置 IDP 策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置 IDP 策略,请执行以下作:

  1. 创建 IDP 策略并配置匹配条件。

  2. 为 IDP 策略配置作。

结果

在配置模式下,输入 show security idp idp-policy idpengine 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

使用默认 IDP 策略配置多个 IDP 策略

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置多个 IDP 策略:

  1. 创建多个 IDP 策略并配置匹配条件。

  2. 配置安全策略并将 IDP 策略附加到这些策略。

  3. 配置默认 IDP 策略。

    注意:

    如果配置多个 IDP 策略,则必须配置默认 IDP 策略。
结果

在配置模式下,输入 show security idp idp-policy idpengineshow security idp idp-policy idpengine1show security policiesshow security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置 IDP 自定义攻击组

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置 IDP 自定义攻击组,请执行以下作:

  1. 创建 IDP 策略。

  2. 配置 IDP 策略的匹配条件。

  3. 配置状态式签名参数。

结果

在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置预定义的攻击和攻击组

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置预定义的攻击和攻击组:

  1. 配置预定义的攻击。

  2. 配置预定义的攻击组。

结果

在配置模式下,输入 show security idp idp-policy idpengine 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置 IDP 动态攻击组

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置 IDP 动态攻击组:

  1. 配置动态攻击组参数。

结果

在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

验证

验证 IDP 策略和提交状态

目的

验证租户系统的 TSYS1策略编译后是否显示 IDP 策略和提交状态。

行动

在作模式下,输入命令 show security idp policies

在作模式下,输入命令 show security idp policy-commit-status

意义

输出显示租户系统 TSYS1 中配置的 IDP 策略和提交状态信息。

验证 IDP 攻击检测

目的

验证租户系统的 TSYS1 IDP 攻击检测是否成功并显示在攻击表中。

行动

在作模式下,输入命令 show security idp attack table

意义

输出显示为租户系统 TSYS1中配置的自定义攻击检测到的攻击。

验证 IDP 计数器

目的

验证是否为租户系统 TSYS1显示其中一个 IDP 计数器状态。

行动

在作模式下,输入命令 show security idp counters flow

意义

输出显示租户系统的 TSYS1IDP 计数器流状态是否正确显示。