针对 SRX 系列防火墙的基于 IDP 的威胁检测
按照以下步骤将入侵检测和防御 (IDP) 配置文件添加到应用程序策略中,以增强网络安全。
通过入侵检测和防御 (IDP) 策略,您可以有选择地对网络流量实施各种攻击检测和防御技术。您可以通过在应用策略中激活瞻博网络®SRX 系列防火墙,在Juniper Mist™网络中作为辐射设备运行,从而为其启用 IDP。
入侵检测是监视网络上发生的事件并分析这些事件以寻找事件、违规行为或对安全策略构成迫在眉睫威胁的迹象的过程。入侵防御过程可以执行入侵检测,然后阻止检测到的事故。有关详细信息,请参阅 入侵检测和防御概述。
您必须在 Mist 设备上安装 IDP 签名数据库更新许可证密钥。有关许可证的详细信息,请参阅 Junos OS 功能许可证密钥。如果您持有有效许可证,Juniper Mist云门户将管理签名下载并在防火墙上启用 IDP 功能。
Juniper Mist云支持以下 IDP 配置文件:
-
标准 — 标准配置文件是默认配置文件,表示瞻博网络推荐的一组 IDP 签名和规则。每种攻击类型和严重性都有一个瞻博网络定义的不可配置作,IDP 引擎在检测到攻击时会强制执行该作。可能的作如下:
-
关闭客户端和服务器 TCP 连接。
-
丢弃当前数据包和所有后续数据包
-
仅发送警报(不添加其他作)。
-
-
警报 — 警报配置文件仅适用于低严重性攻击。当 IDP 引擎检测到网络上的恶意流量时,系统会生成警报,但不会采取其他措施来阻止攻击。IDP 签名和规则与标准配置文件中的相同。
-
严格 - 严格配置文件包含一组与标准配置文件类似的 IDP 签名和规则。但是,当系统检测到攻击时,此配置文件会主动阻止在网络上检测到的任何恶意流量或其他攻击。
-
仅严重 (SRX) — 仅严重配置文件适用于严重性攻击。当系统检测到严重攻击时,此配置文件会采取适当的措施。我们建议将“严重 – 仅 SRX”配置文件用于 SRX300 系列防火墙。
-
无 - 选择此选项时不应用配置文件。
您可以将 IDP 配置文件应用于应用程序策略。每个配置文件都有一个关联的流量作,这些作定义如何将规则集应用于服务或应用程序策略。IDP 配置文件中的作是预配置的,用户无法配置。
要配置基于 IDP 的威胁检测,请执行以下作:
- 在 IDP 列下,选择 IDP 配置文件。例如,为所有应用程序策略选择警报配置文件。
图 1:配置 IDP 配置文件(警报)
您可以通过发起样本攻击来测试基于 IDP 的安全扫描程序的效果。您可以在 Kali Linux 中使用 Nikto 等工具,它有多种可用于安全渗透测试的选项。
在沙盒或实验室环境中使用虚拟机 (VM) 桌面 (desktop1),并为 Web 服务器(如 Nikto)安装简单的安全扫描程序。Nikto 是一个开源 Web 服务器和 Web 应用程序扫描器。例如,您可以针对实验室本地的未加固的 Apache Tomcat Web 服务器(或其等效服务器)运行 Nikto。在此测试中,您可以发送纯或未加密的 HTTP 请求以进行 IDP 检查。
以下示例显示了一个过程,在该过程中安装该工具,检查 HTTP 服务器是否存在,然后启动攻击。
virsh console desktop1
apt-get update
apt-get install -y nikto
# Check the Apache Tomcat Server of the local lab
wget http://172.16.77.155:8080
--2022-09-16 15:47:32-- http://172.16.77.155:8080/
Connecting to 172.16.77.155:8080... connected.
HTTP request sent, awaiting response... 200
Length: unspecified [text/html]
Saving to: ‘index.html’
index.html [ <=> ] 10.92K --.-KB/s in 0s
2022-09-16 15:47:32 (85.3 MB/s) - ‘index.html’ saved [11184]
# Now start our security scanner for the first time
nikto -h http://172.16.77.155:8080
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.77.155
+ Target Hostname: 172.16.77.155
+ Target Port: 8080
+ Start Time: 2022-09-16 15:48:22 (GMT0)
---------------------------------------------------------------------------
+ Server: No banner retrieved
+ The anti-clickjacking X-Frame-Options header is not present.
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Server leaks inodes via ETags, header found with file /favicon.ico, fields: 0xW/21630 0x1556961512000
+ OSVDB-39272: favicon.ico file identifies this server as: Apache Tomcat
+ Allowed HTTP Methods: GET, HEAD, POST, PUT, DELETE, OPTIONS
+ OSVDB-397: HTTP method ('Allow' Header): 'PUT' method could allow clients to save files on the web server.
+ OSVDB-5646: HTTP method ('Allow' Header): 'DELETE' may allow clients to remove files on the web server.
+ /examples/servlets/index.html: Apache Tomcat default JSP pages present.
+ Cookie JSESSIONID created without the httponly flag
+ OSVDB-3720: /examples/jsp/snp/snoop.jsp: Displays information about page retrievals, including other users.
+ OSVDB-3233: /manager/manager-howto.html: Tomcat documentation found.
+ /manager/html: Default Tomcat Manager interface found
+ 6544 items checked: 1 error(s) and 10 item(s) reported on remote host
+ End Time: 2022-09-16 15:50:03 (GMT0) (101 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
您可以导航到 站点 > 安全 WAN 边缘 IDP/URL 事件来查看生成的事件。
图 3 显示了为 SRX 系列防火墙生成的检测到的事件。
生成的 IDP 事件
在前面的示例中,您通过使用 IDP 配置文件类型 Alerts 对事件使用了被动日志记录。接下来,使用 IDP 配置文件类型“严格”来停止或缓解事件。使用 Strict 配置文件时,IDP 引擎会针对检测到的攻击关闭 TCP 连接。
您可以按照示例中所示的相同过程进行作。但是,这次您更改分支设备模板,并将 IDP 配置文件从 Alert 更改为 Strict,如 图 4 所示。
运行安全扫描程序。您会注意到,扫描程序需要更长的时间才能运行,因为它检测到的错误较多,事件较少。
nikto -h http://172.16.77.155:8080
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.77.155
+ Target Hostname: 172.16.77.155
+ Target Port: 8080
+ Start Time: 2022-09-16 16:01:51 (GMT0)
---------------------------------------------------------------------------
+ Server: No banner retrieved
+ The anti-clickjacking X-Frame-Options header is not present.
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Server leaks inodes via ETags, header found with file /favicon.ico, fields: 0xW/21630 0x1556961512000
+ OSVDB-39272: favicon.ico file identifies this server as: Apache Tomcat
+ Allowed HTTP Methods: GET, HEAD, POST, PUT, DELETE, OPTIONS
+ OSVDB-397: HTTP method ('Allow' Header): 'PUT' method could allow clients to save files on the web server.
+ OSVDB-5646: HTTP method ('Allow' Header): 'DELETE' may allow clients to remove files on the web server.
+ /examples/servlets/index.html: Apache Tomcat default JSP pages present.
+ 6544 items checked: 5657 error(s) and 6 item(s) reported on remote host
+ End Time: 2022-09-16 16:05:27 (GMT0) (216 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
图 5 显示,对于某些事件,作是关闭会话以缓解威胁(在 Action 字段下)。
生成的 IDP 事件
入侵检测和防御 (IDP) 绕过配置文件
IDP 旁路与入侵防御系统 (IPS) 规则协同工作,可防止生成不必要的警报。如果要将特定目标或攻击类型排除在与 IDP 规则匹配之外,则可以配置 IDP 配置文件。这样可以防止 IDP 生成不必要的告警。
一个 IDP 配置文件可以有多个绕过配置文件,每个配置文件都有多个绕过规则。
要创建 IDP 绕过配置文件,请执行以下作:
在Juniper Mist云门户中,选择 “组织”>“WAN >应用程序策略”>“IDP 绕过配置文件”。
该页面将显示 IDP 绕过配置文件的列表(如果可用)
- 单击 “添加绕过配置文件” 以创建配置文件。
- 在“Create Bypass Profile”窗口中:
- 添加名称。使用字母数字、下划线或破折号,且不能超过 63 个字符。
- 选择基本配置文件。支持的基本配置文件包括:
- 标准
- 严格
- 仅严重 – SRX
您需要一个基本的 IDP 配置文件来创建 IDP 绕过配置文件。
- 单击 “下一步”。门户将打开一个规则页面,您可以在其中定义 IDP 绕过配置文件的规则。
图 6:IDP 绕过配置文件规则
- 作 – 选择关联的流量作。可用选项包括 — Alter、 Drop 或 Close。
- 目标 IP – 要豁免的流量目标的 IP 地址。您可以从填充的列表中选择一个或多个目标 IP 地址,也可以通过单击 “添加目标 IP”来输入目标 IP 地址。
- 攻击名称 – 从显示的列表中选择您希望 IDP 为指定目标地址免除的攻击。或者,您可以通过单击 添加攻击名称来输入攻击。您输入的攻击类型必须为瞻博网络 IPS 签名支持的类型。
- 点击 保存。
您创建的规则将显示在“IDP 绕过配置文件”窗格下。接下来,您需要在应用程序策略中应用 IDP 绕过配置文件,类似于使用以下步骤应用任何 IDP 配置文件:
- 在Juniper Mist云门户中,单击“WAN 边缘模板> 组织”,然后为您的分支设备选择一个模板。
- 在 IDP 列下,选择 IDP 配置文件。例如,选择您在上一步中创建的 IDP 绕过配置文件。
图 7:在应用程序策略
中应用 IDP 绕过配置文件
- 在应用程序策略中配置其他选项后,单击 “保存 ”。请参阅 在 SRX 系列防火墙上配置应用策略。
您可以导航到 站点 > 安全 WAN 边缘 IDP/URL 事件来查看生成的事件。