在防火墙策略中配置 IPS 策略

借助入侵防御系统（IPS）策略，您可以针对通过支持 IPS 的设备的网络流量，选择性地实施各种攻击检测和防御技术。在本节中，您将了解如何创建 IPS 策略，然后将 IPS 策略分配给分配给运行 Junos OS 18.2 或更高版本的设备的防火墙策略规则。

好处

为每个防火墙策略规则分配不同的 IPS 策略。
IPS 策略匹配在分配了 IPS 策略的标准或统一防火墙策略内进行处理。
简化第 7 层基于应用的安全策略管理。
提供更好的控制和可扩展性来管理动态应用流量。

准备工作

安装 Junos Space Security Director 和日志收集器。请参阅《 Junos Space Security Director 安装和升级指南》。
确保在 SRX 系列设备上启用了 IPS。
确保 SRX 系列设备运行的是 Junos OS 18.2 或更高版本。

注意：

尽管此用例已针对 Junos Space Security Director 19.3 版和运行 Junos OS 18.2 版的 SRX 系列设备进行了专门验证，但您仍可使用 Junos OS 18.2 或更高版本。
在此用例中，过程中仅包含必填字段和其他必填字段。

概述

从 Junos Space Security Director 19.3 版开始，您无法从 IPS 策略页面将运行 Junos OS 18.2 及更高版本的设备分配给 IPS 策略。您需要为运行 Junos OS 18.2 及更高版本的设备的防火墙策略规则分配 IPS 策略。IPS 策略的 CLI 配置将与分配 IPS 策略的标准或统一防火墙策略一起生成。在防火墙策略中配置 IPS 策略时，系统会根据 IPS 规则库检查符合指定条件的流量。这种类型的配置可用于监控进出内部网络安全区域的流量，作为机密通信的附加安全措施。

在以下拓扑中，我们有一个位于第 2 层交换机后面的企业局域网。交换机连接到启用了 IPS 的 SRX 系列防火墙，并检查进出网络的所有流量。SRX 系列设备可以是任何形式：硬件、虚拟或容器化设备。

创建 IPS 策略

我们先创建一个 IPS 策略，然后在运行 Junos OS 18.2 版的 SRX 系列设备上配置该策略：

选择 “配置 > IPS 策略 ”> “策略”。

此时将显示 IPS 策略页面。
单击 + 图标。

此时将显示“创建 IPS 策略”页面。
输入以下 IPS 策略名称： IPS_Policy

策略名称最多可包含 255 个字符，并且可以包含字母数字字符、空格和句点。
选择“ 策略类型”作为“设备策略”。

注意：
您还可以选择组策略选项。可以将组策略或特定于设备的策略分配给防火墙策略。
请勿从列表中选择任何设备。

注意：
仅列出运行 Junos OS 18.1 及更低版本的设备。要在运行 Junos OS 18.2 或更高版本的设备上配置 IPS 策略，需要将 IPS 策略（不带设备分配）分配给防火墙策略规则。IPS 策略随防火墙策略更新而更新。
单击 “确定”。

创建的 IPS 策略（IPS_Policy）将显示在 IPS 策略页面上。

将 IPS 策略分配给防火墙策略规则

现在，让我们将创建的 IPS 策略分配给防火墙策略规则：

选择“ 配置 >防火墙策略 ” >“标准策略”。

将显示“标准策略”页面。
单击 + 图标。

此时将显示“创建防火墙策略”页面。
输入以下防火墙策略名称： Firewall_Policy
选择“ 策略类型”作为“设备策略”。

选择设备策略选项时，将为每个设备创建防火墙策略。如果选择组策略选项，则防火墙策略将与多个设备共享。
选择 vsrx-18.2 设备。

Junos Space Security Director 发现的所有设备都列在下拉列表中。要详细了解 Junos Space Security Director 中的设备发现，请参阅在 Security Director 中创建设备发现配置文件。

注意：
您选择的设备必须运行 Junos OS 18.2 或更高版本。
单击 “确定 ”创建防火墙策略。

您创建（Firewall_Policy）的防火墙策略将显示在“标准策略”页面上。
单击 Firewall_Policy 策略的“添加规则”以添加规则。

此时将显示“创建规则”页面。
在“常规”选项卡上，输入以下规则名称： Firewall_Policy_Rule
单击 “下一步 ”，直到到达“高级安全”选项卡。
在“高级安全”选项卡上：
1. 从“操作”下拉列表中选择 “允许 ”。
2. 从 IPS 策略下拉列表中选择值 IPS_Policy 。
  
  注意：
  从 Junos Space Security Director 20.1R1 V1 版热修补程序开始，您可以将未分配给任何设备的组 IPS 策略分配给防火墙策略。
单击 “下一步 ”，直到到达“规则放置”选项卡，然后单击 “完成”。

您可以在防火墙策略配置摘要中查看 IPS 策略详细信息。
单击 “确定 ”创建规则。

规则将显示在“Firewall_Policy/规则”页面上。
单击 “保存 ”以保存规则。

与 Firewall_Policy_Rule 类似，我们创建了另一个规则 Firewall_Policy_Rule2。

目的

让我们验证您创建的防火墙策略是否包含您创建的 IPS 策略（IPS_Policy）。

行动

选择“ 配置 >防火墙策略 ”> “标准策略”。

将显示“标准策略”页面。
单击名为（Firewall_Policy）的防火墙策略的规则。

此时将显示“Firewall_Policy/规则”页面。在“高级安全性”列中，将为您创建的两个规则（Firewall_Policy_Rule 和 Firewall_Policy_Rule2）显示名为 IPS_Policy 的 IPS 策略。

CLI 配置

您将看到 IPS_Policy 策略已分配给 Firewall_Policy_Rule 和 Firewall_Policy_Rule2 规则。

##Security Firewall Policy: global ##

set security policies global policy Firewall_Policy_Rule match application any

set security policies global policy Firewall_Policy_Rule match destination-address any

set security policies global policy Firewall_Policy_Rule match source-address any

set security policies global policy Firewall_Policy_Rule then permit application-services idp-policy IPS_Policy

set security policies global policy Firewall_Policy_Rule2 match application any

set security policies global policy Firewall_Policy_Rule2 match destination-address any

set security policies global policy Firewall_Policy_Rule2 match source-address any

set security policies global policy Firewall_Policy_Rule2 then permit application-services idp-policy IPS_Policy

##IDP Configurations##

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match application default

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match attacks predefined-attack-groups "Additional Web Services - Info"

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match from-zone any

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match to-zone any

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 then action recommended