为 MX 系列路由器配置 SecIntel 源
概述
SecIntel 提供从瞻博网络 ATP 云到 MX 系列路由平台的精心整理、经过验证的威胁情报,从而阻止以无与伦比的线速与恶意 IP 之间的命令和控制通信。
通过 SecIntel 和 MX 系列路由器集成,您可以:
- 检测并阻止已知的恶意 IP、受感染的 C&C 主机和 DDoS 攻击。
- 漏洞恶意 DNS 请求。
- 启用客户 IP 威胁源。
从 Junos OS 19.3R1 及更高版本中开始,MX240、MX480 和 MX960 路由器支持 SecIntel 源。
从 Junos OS 22.1R1 及更高版本开始,MX 设备上的 SecIntel 源包括 GeoIP 过滤以及直接注册到瞻博网络 ATP 云的选项。
MX240、MX480 和 MX960 路由器支持直接注册到瞻博网络 ATP 云。
有关更多信息,请参阅 MX 上的瞻博网络 SecIntel。
好处
通过 SecIntel 和 MX 系列路由器集成,您可以:
-
先行关闭攻击。
-
保护用户、应用和基础架构免受损害,包括订阅者。
-
无需额外的基础架构,即可将连接层转变为安全层。
用例 1:直接注册到瞻博网络 ATP 云
在早期版本中,MX 系列路由器通过 Junos Space Security Director/策略实施器下载了 SecIntel 源。从 Junos OS 22.1R1 版开始,MX 系列路由器可以直接从云源下载全球 SecIntel 源,而无需注册到瞻博网络 ATP 云。
在此用例中,我们将了解如何在不连接到 Junos Space Security Director 或策略实施器的情况下将 MX 系列路由器注册到瞻博网络 ATP 云。
拓扑
先决条件
- 适用于 MX 系列的瞻博网络 SecIntel 许可证 (-S-MXxxx-CSECINTELx)。
流程
-
从瞻博网络获取适用于 MX 系列路由器的 SecIntel 许可证。您需要软件序列号 (SSRN)。
-
将 MX 系列路由器注册到瞻博网络 ATP 云。
-
验证来自瞻博网络 ATP 云的源。
-
实施过滤配置以实施下载的源。
MX 系列路由器上所需的配置
- 注册脚本
- 过滤器配置
您只能配置美国区域云源端点。所有 MX 云馈送请求仅从美国地区 CF 提供。
软件支持参考号 (SSRN) 是在购买瞻博网络软件许可证后以电子方式随附的履约文档上提供的软件序列号。
如果软件已安装许可证,则可以通过运行 show system license 命令来获取软件支持参考号 (SSRN)。SSRN 作为 JUNOS 列出的“软件序列号”的前 12 位数字数字。
某些产品将使用以下格式报告其 SSRN,这会为每个购买的软件实例创建一个唯一标识符。在这种情况下,删除后缀字母,这将保留用于支持授权的实际数字 SSRN。
> show system license Software Serial Number: XXXXXXXXXXXX-abcdef Support Reference Number: XXXXXXXXXXXX
要从云源接收源,请首先使用瞻博网络 ATP 云注册 MX 系列路由器。要注册的示例命令是:
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/enroll/secintel/mx/mx-secintel.slax version 21.3XYZ is valid for bootstrapping. Please provide the Juniper SecIntel license SSRN or press 0 to cancel Secintel license SSRN: XXXXXXXXXXXXXXXX
要从 MX 系列路由器中移除 SecIntel 配置,必须取消注册设备。要解除注册的示例命令是:
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/disenroll/secintel/mx/mx-secintel.slaxversion 21.3XYZ is valid for bootstrapping. Please provide the activation code or press 0 to cancel SSRN: XXXXXXXXXXXXXXXX
以下全局 SecIntel 源可用于 MX 系列路由器:
- cc_ip_data
- cc_ipv6_data
- cc_ip_blocklist
- geoip_country
- geoip_country_ipv6
好处
- 使用 Junos Space SD 或 PE 无需复杂的设置。
- 只需简单的配置即可实施已下载的源。
用例 2:使用 Junos Space Security Director 和策略实施器注册到瞻博网络 ATP 云。
在此用例中,我们将了解如何使用 Junos Space Security Director 和策略实施器将 MX 系列路由器注册到瞻博网络 ATP 云。
拓扑
流程
- Junos Space Security Director 和策略实施器的配置。
- 在 Junos Space 中发现已添加为威胁防御交换矩阵中的设备的 MX 系列路由器(这是 MX 系列路由器到策略实施器的注册过程)。
- 许可证要求(联系瞻博网络销售/客户团队)。
MX 系列路由器和 SD/PE 上所需的配置
- SD 中的自定义源配置。
- 了解如何在 MX 系列路由器上应用源。
- MX 系列路由器上的过滤器配置。
好处
- 服务提供商路由器上的 VRF 可以针对每个客户的服务进行定制。
- 所有威胁缓解措施均会以线速进行处理,从而提高性能。
用例 3:识别并阻止 MX 系列路由器上的命令和控制流量
在此用例中,我们将了解如何在互连安全设置中的网络边缘阻止 C&C 流量。在这里,客户端正在尝试访问 C&C 服务器,而 MX 路由器则用于阻止流量。
拓扑
MX 系列路由器和 SD/PE 上所需的配置
-
瞻博网络 ATP 云 C&C 源和带有策略实施器的 Security Director。
-
瞻博网络 MX 系列路由器。
流程
-
策略实施器从瞻博网络 ATP 云下载 C&C 源。
-
瞻博网络 MX 系列路由器从策略实施器下载 C&C 源。
-
瞻博网络 MX 系列路由器将 IP 数据添加到临时数据库过滤器。
-
瞻博网络 MX 系列路由器可丢弃进出 C&C 源中列出的 C&C 服务器的流量,从而抵御僵尸网络和恶意软件。
-
瞻博网络 MX 系列路由器可对负载不足或不支持 C&C 源的防火墙减轻 C&C 保护负担。
有关配置详细信息,请参阅 MX 演示上的 SecIntel。