Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

安全元数据流

语法

层次结构级别

描述

在 SRX 系列设备上配置安全元数据流式策略,将网络流量的元数据和连接模式发送到瞻博网络 ATP 云,获得加密流量洞察。配置安全元数据流策略后,将其附加到区域级别的安全策略上。

set security policies from-zone from-zone to-zone to-zone application-services security-metadata-streaming-policy dns-policy

选项

dns-cache 在域名系统 (DNS) 缓存中配置静态良性域和命令与控制 (C2) 域列表,以便对配置的域立即采取措施。仅允许通配符域。域格式必须为 *.domain_name.domain_ending 。在 DNS 缓存中通过 CLI 配置的条目将保留在 DNS 缓存中,直到从设备中删除该配置。您可以在良性列表和 c2 列表中分别配置最多 500 个域。
  • 默认情况下,对源自良性(已列入允许名单)域的流量的操作为 permit
  • 对源自 C2(列入屏蔽名单)域的流量的操作基于在 DNS 检测下配置的操作。
policy policy-name 配置安全元数据流策略。
dns 配置 DNS 选项。
cache 将 DNS 在缓存中存储到生存时间 (TTL)。SRX 系列设备提供的 TTL 覆盖瞻博网络 ATP 云提供的 TTL。
注意:

您必须至少配置一种 DNS 检测方法才能配置 DNS 缓存。
  • 良性 —(可选)设置良性 TTL 值。范围为 60 到 172800 秒。默认值为 86400。
  • c2—(可选)设置 C2 TTL 值。范围为 60 到 172800 秒。默认值为 86400。
detections 配置 DNS 请求的检测类型。可用的选项包括全部、dga 和隧道。您可以配置以下任一检测。
  • 所有检测
  • dga 和隧道检测
  • dga 或隧道检测
您不能将所有检测和自定义检测(dga 和/或隧道)一起配置。检测是相互排斥的。
注意:

每种检测方法都有一个回退选项,用于在一定数量的数据包内(如果是隧道)或特定时间段内(如果是 DGA)内未检测到任何内容。

all 配置所有检测。
  • 操作 — 指定 SRX 设备在进行检测时将采取的操作。可用选项包括 denypermit、或 sinkhole
  • 回退选项 — DNS 检测的回退选项。未检测到基于 DNS 的攻击(在 100 毫秒内未收到 DGA 判决(判决超时的默认值)且未在 4 个数据包内检测到 DNS 隧道(检测深度默认值)时,将触发回退操作。可用选项是 DNS Log 请求。
  • 通知 — 针对 DNS 检测方法采取的全局通知操作。可用的选项包括:
    • 日志 — 生成 DNS 请求和 DNS 检测日志。
    • 日志检测 —(推荐)仅生成恶意 DNS 检测的日志。
  • 判决超时 —(不可配置)等待 DNS 数据包上的 DGA 裁决的时间(毫秒)。所有检测默认超时为 100 毫秒。
  • 检测深度 -(不可配置)要检测的隧道检测数据包数。所有检测默认为 4 个数据包。
dga 进行配置以检测基于 DGA 的 DNS 数据包攻击。
  • 操作 — 指定 SRX 设备在进行检测时将采取的操作。可用选项包括 denypermit、或 sinkhole
  • 回退选项 — DNS DGA 检测的回退选项。如果判决超时配置的值内未从瞻博网络 ATP 云收到 DGA 判决,将触发回退选项。可用的选项是记录 DNS 请求。
  • 通知 — 针对 DNS DGA 检测采取的通知操作。可用的选项包括:
    • 日志 — 根据 DNS 请求和 DNS 检测生成日志。
    • 日志检测 —(推荐)仅生成恶意 DNS 检测的日志。
  • 判决超时 — (可选) 等待 DNS 数据包裁决的时间(毫秒)。范围是 50 到 500。默认超时为 100 毫秒。
tunneling 配置以检测 DNS 隧道。
  • 操作 — 指定 SRX 设备在进行检测时将采取的操作。可用选项包括 deny (丢弃隧道会话)、 permit (允许隧道会话)或 sinkhole (丢弃隧道会话和漏洞域)。
  • 回退选项 — DNS 隧道检测的回退选项。如果指定数量的数据包(检测深度)内未检测到隧道,将触发回退选项。可用的选项是记录 DNS 请求。
  • 检测深度 -(可选)要检查的隧道检测数据包数。范围为 0 到 10。默认为 4 个数据包。0 表示永远。
  • 通知 — 为 DNS 隧道检测采取的通知操作。可用的选项包括:
    • 日志 — 根据 DNS 请求和 DNS 检测生成日志。
    • 日志检测 —(推荐)仅生成恶意 DNS 检测的日志。
dynamic-filter 为 SRX 系列设备上的安全元数据流策略配置动态过滤选项。
http 配置 HTTP 选项。

  • 操作 - 定义对流量采取的操作。默认操作为允许。

  • 通知 — 定义为流量采取的通知操作。可用选项是记录所有安全元数据流式操作。

必需的权限级别

安全性 — 可在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

版本信息

在 Junos OS 20.2R1 版中引入的语句,有关使用瞻博网络高级威胁防御云(瞻博网络 ATP 云)的 SRX 系列服务网关。

相关文档