Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 IPS 策略

入侵防御系统 (IPS) 策略使您能够有选择地对通过启用 IPS 的设备的网络流量实施各种攻击检测和防御技术。有两种类型的策略选项:

  • 组策略 - 如果要将配置推送到一组设备,请选择此选项。您可以为组策略创建规则。

    在组策略的设备分配期间,仅列出当前域和子域(启用了 view parent)中的设备。未列出禁用了 view 父域的子域中的设备。并非全局域的所有组策略在子域中都可见。如果禁用了全局域的视图父域,则全局域的组策略(包括所有设备策略)对该子域不可见。只有全局域的组策略(全局域中分配了来自它的子域中的设备)在子域中可见。如果全局域中存在组策略,其中同时分配了来自 D1 和全局域的设备,则只有全局域的此组策略与 D1 域设备一起在 D1 域中可见。全局域的其他设备(即设备例外策略)在 D1 域中不可见。

    不能从子域编辑全局域的组策略。“所有设备”策略也是如此。也不允许修改策略、删除策略、管理快照、快照策略和获取策略锁定。同样,您无法对全局域中 D1 域的设备例外策略执行这些操作。您可以确定当前域中的组策略的优先级。未列出其他域中的组策略。

  • 设备策略 — 如果要为每个设备推送唯一的 IPS 策略配置,请选择此选项。可以为设备 IPS 策略创建设备规则。

    Security Director 像查看任何其他安全设备一样查看逻辑系统或租户系统,并拥有逻辑系统或租户系统的安全配置的所有权。在 Security Director 中,每个逻辑系统或租户系统都作为唯一的安全设备进行管理。

    在设备策略的设备分配期间,仅列出当前域中的设备。

注意:

如果 Security Director 发现根逻辑系统,则根 LSYS 将发现设备内所有其他用户 LSYS 和 TSYS。

IPS 策略由规则库组成,每个规则库包含一组规则。它允许您定义策略规则以根据区域、网络和应用程序匹配一段流量,然后对该流量采取主动或被动预防措施。

IPS 规则库通过使用攻击对象检测已知和未知攻击来保护您的网络免受攻击。它根据状态签名和协议异常检测攻击。

豁免规则库与 IPS 规则库协同工作。您必须先在 IPS 规则库中具有规则,然后才能创建豁免规则。如果流量与 IPS 规则库中的规则匹配,则 IPS 策略会尝试在执行指定操作或为事件创建日志记录之前将流量与豁免规则库进行匹配。如果 IPS 策略检测到与源或目标对以及豁免规则库中指定的攻击对象匹配的流量,则会自动从攻击检测中免除该流量。

在以下条件下配置豁免规则库:

  • 当 IPS 规则使用包含一个或多个产生误报或不相关日志记录的攻击对象的攻击对象组时。

  • 如果要从匹配 IPS 规则中排除特定源、目标或源-目标对时。这可以防止 IPS 生成不必要的警报。

通过在一个或多个规则库中添加规则来创建 IPS 策略后,您可以发布或更新该策略。您还可以查看分配了 IPS 策略的安全设备列表。此列表可帮助您查看为每个设备分配的所有 IPS 策略和规则的详细信息。

统一和标准防火墙策略的 IPS 策略支持

从 Junos Space Security Director 19.3 版开始,您可以将 IPS 策略分配给标准和统一的防火墙策略。借助防火墙策略中的 IPS 策略支持:

  • 所有 IPS 匹配现在都将在标准或统一防火墙策略中处理,除非在 IPS 策略中定义了显式源、目标或应用程序。

  • 无需配置源地址或目标地址、源地址和目标地址(发件人和目的地区域或应用程序除外),因为匹配发生在防火墙策略中。但是,您可以在 IPS 策略中配置匹配条件以实现额外的粒度。

  • 初始防火墙策略匹配可能会导致单个或多个策略匹配。作为会话兴趣检查的一部分,如果任何匹配的规则中存在 IPS 策略,则将启用 IPS。

注意:

对于装有 Junos OS 18.2 版的设备,防火墙策略规则支持单个 IPS 策略。对于 Junos OS 18.3 及更高版本的设备,防火墙策略规则支持多个 IPS 策略。

如果配置了传统防火墙策略(将 5 元组匹配条件或动态应用程序配置为无)和统一策略(具有 6 元组匹配条件),则传统防火墙策略会先匹配流量,然后再匹配统一策略。

将动态应用程序配置为匹配条件之一的统一策略时,该配置将消除 IPS 策略配置中涉及的其他步骤。所有 IPS 策略配置都在统一防火墙策略中处理,并简化了配置 IPS 策略以检测给定会话的任何攻击或入侵的任务。

从 Junos OS 18.2 版开始,IPS 策略的 CLI 配置将与标准或统一防火墙策略一起生成,IPS 策略附加到该策略。

用于统一和标准防火墙策略的多个 IPS 策略

当 SRX 系列设备配置了标准和统一的防火墙策略时,您可以配置多个 IPS 策略,并将其中一个策略设置为默认策略。如果为一个会话配置了多个 IPS 策略,并且发生策略冲突时,设备会为该会话应用默认 IPS 策略,从而解决任何策略冲突。

注意:

如果在防火墙策略中配置了两个或更多 IPS 策略,则必须配置默认 IPS 策略。

初始安全策略查找阶段发生在识别动态应用程序之前,可能会导致多个潜在的策略匹配。如果至少有一个匹配的安全策略配置了 IPS 策略,则会在会话上启用 IPS。

如果在潜在策略列表中仅配置了一个 IPS 策略,则将对该会话应用该 IPS 策略。如果潜在策略列表中为会话配置了多个 IPS 策略,则 SRX 系列设备将应用配置为默认 IPS 策略的 IPS 策略。

逻辑系统中的 IPS

从 Junos Space Security Director 20.1R1 版开始,您可以通过 IPS 策略有选择地对通过逻辑系统 (LSYS) 的网络流量实施各种攻击检测和防御技术。

您可以在根级别配置 IPS 策略。为 LSYS 配置 IPS 策略类似于在未为 LSYS 配置的设备上配置 IPS 策略。这可能包括自定义攻击对象的配置。安装在根 LSYS 中的 IPS 策略模板可见,并由所有 LSYS 使用。在绑定到 LSYS 的安全配置文件中指定 IPS 策略。尽管您可以配置多个 IPS 策略,但 LSYS 一次只能有一个活动的 IPS 策略。对于用户 LSYS,您可以将同一 IPS 策略绑定到多用户 LSYS,也可以将唯一的 IPS 策略绑定到每个用户 LSYS。

如果在安全策略中配置了多个 IPS 策略,则必须配置默认 IPS 策略配置。如果未为用户 LSYS 配置 IPS 策略,则使用配置的默认 IPS 策略。

您必须在根级别安装 IPS 签名许可证。在根级别启用 IPS 后,即可将其与设备上的任何 LSYS 一起使用。在根级别为设备上的所有 LSYS 安装单个 IPS 安全包。下载和安装选项只能在根级别执行。所有 LSYS 共享相同版本的 IPS 攻击数据库。

注意:

运行 Junos OS 18.3 及更高版本的设备支持逻辑系统的 IPS。

要在防火墙策略中配置 IPS 策略并导入配置了 IPS 策略的防火墙策略,请参阅 聚焦指南