创建威胁防御策略
您可以从“策略”页面为各种配置文件创建威胁防御策略。
如果您是首次创建策略,则可以选择使用瞻博网络 ATP 云设置策略实施器,也可以单独配置瞻博网络 ATP 云。单击任一按钮即可快速设置您的选择。有关配置比较,请参阅 比较 Juniper Connected Security 与非 Juniper Connected Security 配置步骤 。
开始之前
确定将用于此策略的配置文件类型;命令和控制服务器、受感染的主机、恶意软件。您可以在策略中选择一个或多个威胁配置文件。请注意,您可以单独配置地理 IP 策略。请参阅 创建地理 IP 策略。
确定在发现威胁时应采取的措施。
知道要添加到此策略的策略实施组。要应用策略,您必须分配一个或多个策略实施组。请参阅本页底部有关将组分配给策略的说明。
配置策略并分配了另一个组后,您可以以草稿形式保存策略或对其进行更新。策略更改在更新之前不会生效。
如果您在没有策略实施器的情况下使用瞻博网络 ATP 云,则必须将威胁防御策略分配给防火墙规则,其才能生效。请参阅本页底部的说明。
如果删除分配给策略实施组的威胁防御策略,则会出现一个状态屏幕,其中显示删除进度和受影响的配置项。
要创建威胁防御策略,请执行以下作:
字段 |
描述 |
|---|---|
姓名 |
输入一个必须以字母数字字符开头并且可以包含下划线的唯一字符串;不允许空格;最多 63 个字符。 |
描述 |
输入描述;最大长度为 1024 个字符。您应使此描述对所有管理员尽可能有用。 |
配置文件 |
将以下配置文件包括到威胁防御策略中。您必须至少包含一个配置文件。如果尝试在未选择配置文件的情况下创建威胁防御策略,则会显示错误消息。 |
日志设置(所有配置文件的策略设置) |
选择策略的日志设置。您可以记录所有流量,也可以仅记录阻止的流量,也可以不记录流量。 |
表 2 显示了策略中命令和控制服务器威胁的管理。
字段 |
描述 |
|---|---|
命令和控制服务器 |
选择并选择命令和控制服务器的设置。C&C 是一种集中式计算机,用于向僵尸网络(受攻击的计算机网络)发出命令并从中接收报告。僵尸网络可用于收集帐号或信用卡信息等敏感信息,或参与分布式拒绝服务 (DDoS) 攻击。 |
Include C& C profile in policy |
选中该复选框以在策略中包括此威胁类型的管理。 |
威胁分数 |
使用滑块根据威胁分数更改要执行的作。威胁评分使用多个标准进行分配。请参阅 UI 中的监控页面进行调查,该页面位于 “监控 > 威胁管理”下。 |
作 |
如果威胁分数足够高以导致连接被阻止,则可以使用以下可配置选项:
|
表 3 显示了策略中受感染主机威胁的管理。
字段 |
描述 |
|---|---|
受感染的主机 |
受感染的主机是指极有可能被攻击者获得未经授权访问的系统。在受感染主机数据源中,会列出主机的 IP 地址或 IP 子网,以及威胁评分。 |
Include infected host profile in policy |
选中该复选框以在策略中包括此威胁类型的管理。
注意:
如果要 在网络中 实施受感染的主机策略,则必须在站点中包括交换机。 |
作 |
您有以下选项:
|
表 4 显示了策略中恶意软件威胁的管理。
字段 |
描述 |
|---|---|
恶意软件 (HTTP 文件下载、SMTP 文件附件和 IMAP 附件) |
恶意软件是由主机下载或作为电子邮件附件接收,根据已知签名和 URL 发现可疑的文件。或其他启发式方法。 |
Include malware profile in policy |
选中该复选框以在策略中包括此威胁类型的管理。 |
HTTP 文件下载 |
启用此功能以扫描通过 HTTP 下载的文件,然后选择文件扫描设备配置文件。设备配置文件使用瞻博网络 ATP 云进行配置。 |
扫描 HTTPS |
使用此功能可扫描通过 HTTPS 下载的加密文件。 |
设备配置文件 |
选择 ATP 云设备配置文件。这是通过 ATP 云进行配置的。ATP 云配置文件允许您定义要发送到云进行检查的文件。您可以将要扫描的文件类型以通用名称组合在一起,并根据要扫描的内容创建多个配置文件。 |
作 |
如果威胁分数足够高以导致连接被阻止,则可以使用以下可配置选项:
|
SMTP 文件附件 |
启用此功能可检查作为电子邮件附件接收的文件(仅限通过 SMTP)。 |
扫描 SMTPS |
启用此选项可为 SMTP 配置反向代理。 反向代理不禁止服务器证书。它将实际的服务器证书或链按原样转发给客户端,而不对其进行修改。 |
设备配置文件 |
如果未单击 “更改 ”按钮来选择用于 SMTP 扫描的设备配置文件,则默认情况下将使用为 HTTP 选择的设备配置文件。 选择 “更改 ”以对 SMTP 使用不同的设备配置文件。 设备配置文件通过 ATP 云进行配置,并定义要发送到云进行检查的文件。 |
威胁分数 |
使用滑块根据威胁分数更改要执行的作。威胁评分使用多个标准进行分配。此威胁评分适用于所有恶意软件、HTTP 和 SMTP。(注意:没有恶意软件监控设置。 |
作 |
SMTP 文件附件的作包括:隔离、传递添加了警告标头的恶意邮件和允许。此作在 ATP 云中设置。有关信息,请参阅瞻博网络 ATP 云文档。 |
IMAP 附件 |
启用此功能以选择要应用于 IMAP 电子邮件的文件扫描设备配置文件和威胁分数范围。 |
扫描 IMAPS |
启用此选项可为 IMAP 电子邮件配置反向代理。 |
设备配置文件 |
如果未单击 “更改 ”按钮来选择用于 IMAP 扫描的设备配置文件,则默认情况下将使用 HTTP 选择的设备配置文件。 选择 “更改” 以对 IMAP 使用不同的设备配置文件。 设备配置文件通过 ATP 云进行配置,并定义要发送到云进行检查的文件。 |
作 |
IMAP 附件的作包括:阻止、传递带有警告标头的恶意邮件和允许。此作在 ATP 云中设置。有关信息,请参阅瞻博网络 ATP 云文档。 |
威胁分数 |
使用滑块根据威胁分数更改要执行的作。威胁评分使用多个标准进行分配。此威胁评分适用于所有恶意软件、HTTP、SMTP 和 IMAP。(注意:没有恶意软件监控设置。 |
表 5 显示了策略中 DDoS 威胁的管理
字段 |
描述 |
|---|---|
Include DDoS Profile in Policy |
启用此选项以包括分布式拒绝服务 (DDoS) 保护的管理,使 MX 路由器能够快速识别攻击并防止大量恶意控制数据包耗尽系统资源。 为 DDoS 配置文件创建威胁策略时,系统不会将其推送到设备,因为尚未将策略分配给任何设备。将策略分配给策略实施组。由于策略是为 MX 路由器创建的,因此当将策略分配给策略实施组 (PEG) 时,不会启动规则分析。 |
作 |
从 DDoS 配置文件的列表中选择以下作:
|
擦洗站点 |
指定数据包转 as-number:community-value 发到的路由实例,其中每个值都是一个十进制数。例如,65001:100。 |
制定威胁防御策略后,为其分配一个或多个组:
在威胁防护策略主页(位于配置>威胁防护>策略)中,找到相应的策略。
在“策略实施组”列中,单击未分配策略实施组时显示的分配给 组 链接,或单击此列中显示的组名称以编辑已分配组的现有列表。您还可以选中策略旁边的复选框,然后单击页面顶部的分配给 组 按钮。请参阅 策略实施组概述 。
对于使用监控作创建的受感染主机配置文件,如果策略实施组仅包含第三方连接器设备或同时包含 Junos Space 和第三方连接器设备的组合,则无法分配策略实施组。策略实施组中必须只有 Junos Space 子网,才能使用监控作将其分配给受感染的主机配置文件。
如果使用丢弃连接或隔离作编辑现有受感染主机配置文件以监控作,则不能分配仅包含第三方连接器设备或 Junos Space 与第三方连接器设备组合的任何策略实施组。
在“分配给组”页面中,选中“可用”列表中组旁边的复选框,然后单击 “> ”图标将其移动到“已选定”列表。“已选择”列表中的组将分配给策略。
单击 确定。
分配一个或多个策略实施组后,“状态”列中将显示“ 准备更新 ”链接。您必须进行更新才能应用新的或编辑的策略配置。单击“准备更新”链接将转到“威胁策略分析”页面。请参阅 威胁策略分析概述。从那里,您可以查看更改并选择立即更新、稍后更新或以草稿形式保存它们而不更新。
如果您在没有策略实施器的情况下使用瞻博网络 ATP 云,则必须将威胁防御策略分配给防火墙规则,其才能生效。导航 至配置 > 防火墙策略 > 策略。在“高级安全性”列中,单击一个项目以访问“编辑高级安全性”页面,然后从 “威胁防御 ”下拉列表中选择威胁防御策略。