将 Pulse Policy Secure 与瞻博网络 Connected Security 集成 |瞻博网络

概述

本主题提供有关如何将第三方设备 Pulse Policy Secure （PPS）与瞻博网络 Connected Security 解决方案集成的说明，以便为企业修复来自受感染主机的威胁。Juniper Connected Security 解决方案提供端到端网络可见性，使企业能够保护其整个物理和虚拟网络。PPS 通过检测和持续监控网络来提供对网络的可见性。PPS 和瞻博网络 Connected Security 解决方案借助威胁检测和策略实施，可在多供应商环境中实现网络安全自动化并支持集中管理。

PPS 通过 RESTful API 与瞻博网络 Connected Security 解决方案集成，并根据准入控制策略采取适当的措施。PPS 与瞻博网络 Connected Security 解决方案的集成可检测并实施威胁防御策略，为实现全面网络安全提供全面的协作方法。它使用户能够利用现有的可信威胁源，在不同的环境中提供一致的自动化防御。

Pulse 策略的优势与 Juniper Connected Security 安全安全集成

PPS 可以更清晰地查看连接到网络的端点。
根据从 Juniper Connected Security 收到的威胁警报，PPS 通过在端点级别隔离或采取行动来增强安全性。

通过瞻博网络 Connected Security 部署 Pulse Policy Secure

以下高级工作流介绍了如何部署具有瞻博网络 Connected Security 的 PPS。PPS 从瞻博网络 Connected Security 解决方案接收威胁警报信息，并根据准入控制策略对终端采取措施。

用户成功通过 PPS 服务器进行身份验证。
用户从互联网下载文件。外围防火墙（SRX 系列设备）会扫描文件，并根据用户定义的策略将扫描后的文件发送到瞻博网络 ATP 云进行分析。
瞻博网络 ATP 云检测到文件是否包含恶意软件，将终端识别为受感染的主机，并通知 SRX 系列设备和策略实施器。
策略实施器下载受感染的主机源并向 PPS 发送威胁操作。
PPS 服务器隔离或阻止终端。

PPS 会跟踪受感染的主机，在终端被清除之前，不允许受感染的主机获得完全访问权限。从瞻博网络 ATP 云或策略实施器中清除主机并清除后，PPS 会从策略实施器连接器接收 clear 事件。收到 clear 事件后，PPS 会移除受感染的主机。主机现已通过身份验证，并为其分配了适当的角色。

使用瞻博网络 Connected Security 配置 Pulse Policy Secure

网络安全设备配置了用于准入访问控制的 PPS。

下面简要概述了设置和运行集成所需的配置步骤：

管理员配置基本的 PPS 配置，例如创建认证服务器、认证领域、用户角色和角色映射规则。要了解有关配置 PPS 的更多信息，请参阅 Pulse 策略安全管理指南。
在 PPS 中将策略实施器配置为客户端。PPS 充当策略实施器的 RESTful API 服务器。

管理员用户的 RESTful API 访问权限必须通过访问串行控制台或从 PPS 管理用户界面（UI）启用。选择身份验证>身份验证服务器>管理员>用户”。单击管理员并启用允许访问 REST API 选项。
配置 PPS 以根据威胁防御策略阻止或隔离终端。

您必须配置准入控制客户端以获取将事件发送到 PPS 的策略实施器 IP 地址和准入控制策略，以了解 PPS 事件类型，例如事件阻止端点、隔离端点、清除阻止端点和清除隔离端点。
在 PPS 中，通过选择端点策略>网络访问>RADIUS 客户端>新建 RADIUS 客户端，将交换机或 WLC 配置为 RADIUS 客户端。交换机配置了 PPS 作为 RADIUS 服务器。
配置 RADIUS 返回属性策略，以定义接收隔离事件时的操作。
- 使用 VLAN 隔离：
  
  PPS 确定在收到隔离端点事件时要发送到 RADIUS 客户端的隔离 VLAN，如图 1 所示。
  
  图 1：隔离主机的 RADIUS 返回属性
- 使用 ACL 进行隔离：
  
  对于具有平面 VLAN 的环境，PPS 提供了通过应用预配置的防火墙过滤器来隔离用户的功能。此外，在对终端设备使用静态 IP 地址分配的环境中，这是一种首选方法。
  
  以下示例显示了交换机上的防火墙过滤器配置。然后，防火墙过滤器名称作为 RADIUS 返回属性传递，如图 2 所示。
  
  使用以下命令在交换机上配置“仅允许脉冲”和“全部允许”防火墙过滤器：
  
  set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term pps from destination-address 10.92.81.113/32
  
  set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term pps then accept
  
  set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term dhcp_allow from destination-port 67
  
  set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term dhcp_allow then accept
  
  set firewall family ethernet-switching filter PERMIT-PULSE-ONLY term pps-discard then discard
  
  deactivate firewall family ethernet-switching filter PERMIT-PULSE-ONLY
  
  set firewall family ethernet-switching filter PERMIT-ALL term ALLOW-ALL from destination-address 0.0.0.0/0
  
  set firewall family ethernet-switching filter PERMIT-ALL term ALLOW-ALL then accept
  
  deactivate firewall family ethernet-switching filter PERMIT-ALL
要在 PPS 中分配这些过滤器，请选择端点策略>网络访问>Radius 属性>返回属性。

图 2：清除隔离区的 RADIUS 返回属性

注意：

确保 PPS 具有端点 IP 地址，以便强制工作正常。
由于终结点 IP 地址是必需的，因此用户位于 NAT 后面的部署可能无法按预期工作。这是因为 PPS 可能具有实际的 IP 地址，而 Juniper Connected Security 可能会发送经过 NAT 处理的 IP 地址。
要通过 PPS 接收终端 IP 地址（记帐信息），您必须在终端连接到 EX4300 系列交换机时使用 Pulse Secure 客户端。

准入控制模板
准入控制策略
准入控制客户端

准入控制模板

准入控制模板提供可从网络安全设备接收的可能事件的列表，以及用于分析消息的正则表达式。该模板还提供了可以对事件采取的可能操作。

PPS 加载了策略实施器的默认模板。管理员可以为其他安全设备创建模板并上传这些模板。

要查看准入控制模板，请选择端点策略>准入控制>模板，如图 3 所示。您可以查看已配置的集成模板列表，以及网络安全设备和支持的协议类型列表。

图3：Pulse安全模板页面 Pulse Secure Templates Page

准入控制策略

准入控制策略定义要在 PPS 上为用户会话执行的操作列表。这些操作基于事件和从网络安全设备接收的信息的严重性。

要查看和添加新的集成策略，请执行以下操作：

选择终结点策略>准入控制>策略”。
单击 “新建策略”。

此时将显示“新建策略”页面，如图 4 所示。

图4：Pulse Secure - 新策略页面
输入策略名称。
选择瞻博网络策略实施器作为模板。
在“接收规则”部分中，选择以下事件类型之一和严重性级别。事件类型和严重性级别基于所选模板。
会话支持以下事件类型：
- 阻止端点 — 永久阻止 PPS 上的主机 MAC 地址。如果管理员选择清除被阻止的端点，则可以使用 Junos Space Security Director 应用程序或使用 PPS 管理 UI 将其清除。
- 隔离终端（更改用户角色）- 更改在 PPS 上分配给用户的角色，以便可以更改用户的限制或权限。管理员可以选择永久或临时应用这些角色。如果它是永久性的，则无论系统连接到哪个网络，都会被直接隔离。
- 清除阻止的端点 — 清除先前阻止的 MAC 地址。
- 清除隔离的端点 — 清除以前隔离的 MAC 地址。
在“然后执行此操作”部分中，选择以下所需操作：
- 选择一个角色并将其分配给终端，以将该终端放入隔离网络。
- 在“进行此角色分配”选项中，指定以下操作：
  - 永久 - 永久应用角色分配。这是推荐的选项。选择此选项可使操作保留。
  - 仅适用于此会话 - 仅为当前会话应用角色分配。
在“角色”部分中，指定以下选项：
- 策略适用于所有角色 - 将策略应用于所有用户。
- 策略适用于所选角色 - 仅将此策略应用于映射到所选角色列表中角色的用户。必须从“可用角色”列表向此列表添加角色。
- 策略适用于除下面选择的角色以外的所有角色 - 将此策略应用于所有用户，但映射到所选角色列表中的角色的用户除外。必须从“可用角色”列表向此列表添加角色。
注意：
这些选项适用于隔离和阻止操作。
单击保存更改。

创建策略后，可以看到摘要页。图 5 显示了为具有不同用户角色的不同事件创建的不同策略。

图 5：Pulse Secure - 策略配置页面 Pulse Secure - Policies Configure Page

准入控制客户端

准入控制客户端是启用了系统日志转发的网络安全设备。消息由运行在 PPS 上的系统日志服务器模块接收。

要添加客户端：

选择 “终结点策略>准入控制>客户端”。
单击 “新建客户端”。

此时将显示“新建客户端”页面，如图 6 所示。

图6：Pulse Secure - 新客户端页面
输入瞻博网络策略实施器的名称。这是作为客户端添加到 PPS 中。
输入说明。
输入客户端的 IP 地址。
选择客户端使用的模板：JuniperNerworks-Policy Enforcer-HTTP-JSON。
单击保存更改。

策略实施器在 PPS 中添加了新客户端。

在 Security Director 中创建脉冲策略安全连接器

在 PPS 中将策略实施器添加为客户端后，请为 PPS 创建连接器，以配置瞻博网络安全解决方案以发送事件信息。

要使用 Security Director 为 PPS 创建连接器并配置 Juniper Connected Security，请执行以下操作：

选择“安全控制器>管理>策略实施器>连接器”。

此时将显示“连接器”页面。
单击创建图标（+）。

此时将显示“创建连接器”页，如图 7 所示。

图 7：创建连接器页
在“常规”选项卡中，选择“连接器类型”列表中的“ 脉冲策略安全 ”。
在 IP 地址/URL 字段中，输入 PPS 的 IP 地址。
将默认端口号保留为 443。
输入缴费灵的用户名和密码。

请注意，您必须已在 PPS 上启用 REST API 访问（身份验证>身份验证 > 管理员>用户>单击“admin”，启用允许访问 REST API）。
单击下一步。
在“网络详细信息”部分中，配置 IP 子网，如图 8 所示。

图 8：创建连接器网络详细信息页面
在“配置”选项卡中，提供此特定连接器连接所需的任何其他信息。
单击完成。

配置成功后，将显示以下页面，如图 9 所示。

图9：连接器页面
验证策略实施器和 PPS 之间的通信是否正常工作。

安装 PPS 并配置连接器后，在 PPS UI 中，为 PPS 创建策略，以便对受感染的主机采取必要的操作。

故障排除

以下故障排除日志可用：

若要验证 PPS 上的事件日志，请选择“系统>日志/监视>事件”。

您可以验证每次从策略实施器接收事件时是否生成事件日志，如图 10 所示。

图10：Pulse安全事件页面
要验证与用户登录相关的日志，如领域、角色、用户名和 IP 地址，请选择 System>Logs & Monitoring>User Access。
要验证报告，请选择系统>报告>受感染的主机。

您可以验证隔离或阻止的主机是否列在“受感染的设备”报告中。此报告列出了 MAC 地址、IP 地址和设备状态，如图 11 所示。

图 11：受感染主机报告页面
要启用调试日志进行故障排除，请选择 Maintenance>Troubleshooting >Monitoring>Debug Log，如图 12 所示。

图 12：调试日志监控页面
要对策略实施器上的任何问题进行故障排除，请从 Security Director>Administration>Policy Enforcer>Settings 页面下载并验证策略实施器日志，如图 13 所示。

图 13：策略实施器设置页面
管理员还可以从瞻博网络 ATP 云验证主机表，以检查主机的状态，如图 14 所示。

如果“调查状态”字段值为“已解决-固定”，则可以清除主机条目。

图 14：瞻博网络 ATP 云主机页面