Juniper ATP-Cloud-Richtlinie – Übersicht
Die Verbindung zur Juniper ATP-Cloud-Cloud wird bei Bedarf gestartet. Sie wird nur eingerichtet, wenn eine Bedingung erfüllt ist und eine Datei oder URL an die Cloud gesendet werden muss. Die Cloud überprüft die Datei und gibt eine Urteilsnummer (1 bis 10) zurück. Eine Urteilszahl ist eine Punktzahl oder eine Bedrohungsstufe. Je höher die Zahl, desto höher die Malware-Bedrohung. Die Firewall der SRX-Serie vergleicht diese Bewertungsnummer mit den ATP-Cloud-Richtlinieneinstellungen von Juniper und lässt die Sitzung entweder zu oder verweigert sie. Wenn die Sitzung verweigert wird, wird ein Reset-Paket an den Client gesendet, und die Pakete werden vom Server gelöscht.
Die ATP-Cloud-Richtlinien von Juniper sind eine Erweiterung der Sicherheitsrichtlinien von Junos OS. Tabelle 1 zeigt die Ergänzungen.
- Ab Junos OS Version 15.1X49-D80 ist die Match-Then-Bedingung in der Konfiguration der Juniper ATP-Cloud-Richtlinie veraltet. Die folgenden Beispiele gelten für Junos OS Version 15.1X49-D80 und höher.
- Die erweiterte Anti-Malware-Dateiüberprüfung (AAMW) wird für Dateidownloadvorgänge vom Server zum Client unterstützt. Der Datei-Upload-Vorgang wird nicht unterstützt.
Addition |
Beschreibung |
|---|---|
Maßnahmen und Benachrichtigungen auf der Grundlage der Urteilsnummer und des Schwellenwerts |
Definiert den Schwellenwert und was zu tun ist, wenn die Urteilszahl größer oder gleich dem Schwellenwert ist. Wenn der Schwellenwert beispielsweise 7 (der empfohlene Wert) beträgt und Juniper ATP Cloud für eine Datei die Urteilszahl 8 zurückgibt, wird das Herunterladen dieser Datei blockiert und ein Protokolleintrag erstellt. set services advanced-anti-malware policy aamwpolicy1 verdict-threshold recommended set services advanced-anti-malware policy aamwpolicy1 http action block notification log |
Standardaktion und -benachrichtigung |
Definiert, was zu tun ist, wenn die Urteilszahl unter dem Schwellenwert liegt. Wenn der Schwellenwert beispielsweise 7 beträgt und Juniper ATP-Cloud für eine Datei die Bewertungszahl 3 zurückgibt, wird diese Datei heruntergeladen und eine Protokolldatei erstellt. set services advanced-anti-malware policy aamwpolicy1 default-notification log |
Name des Prüfprofils |
Name des ATP-Cloud-Profils von Juniper, das die zu scannenden Dateitypen definiert. set services advanced-anti-malware policy aamwpolicy1 http inspection-profile default_profile |
Fallback-Optionen |
Definiert, was zu tun ist, wenn Fehlerbedingungen auftreten oder wenn Ressourcen fehlen. Folgende Fallback-Optionen stehen zur Verfügung:
set services advanced-anti-malware policy aamwpolicy1 fallback-options action permit set services advanced-anti-malware policy aamwpolicy1 fallback-options notification log
Anmerkung:
Bei den oben genannten Aktionen wird davon ausgegangen, dass eine gültige Sitzung vorhanden ist. Wenn keine gültige Sitzung vorhanden ist, lässt Juniper ATP Cloud die Datei zu, unabhängig davon, ob Sie die Fallback-Option auf "Blockieren" gesetzt haben. |
Benachrichtigung über die Sperrliste |
Definiert, ob ein Protokolleintrag erstellt werden soll, wenn versucht wird, eine Datei von einer in der Blocklistendatei aufgeführten Site herunterzuladen. set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log |
Benachrichtigung über die Zulassungsliste |
Definiert, ob ein Protokolleintrag erstellt werden soll, wenn versucht wird, eine Datei von einer Site herunterzuladen, die in der Zulassungslistendatei aufgeführt ist. set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log |
Name des SMTP-Prüfprofils |
Name des Überprüfungsprofils für SMTP-E-Mail-Anhänge. Die "auszuführenden Aktionen" werden in der Web-Benutzeroberfläche und nicht über CLI-Befehle definiert. set services advanced-anti-malware policy aamwpolicy1 smtp inspection-profile my_smtp_profile |
Verwenden Sie den show services advanced-anti-malware policy CLI-Befehl, um Ihre Juniper ATP-Cloud-Richtlinieneinstellungen anzuzeigen.
show services advanced-anti-malware policy aamwpolicy1
Advanced-anti-malware configuration:
Policy Name: aamwpolicy1
Default-notification : No Log
Whitelist-notification: Log
Blacklist-notification: Log
Fallback options:
Action: permit
Notification: Log
Protocol: HTTP
Verdict-threshold: recommended (7)
Action: block
Notification: Log
Inspection-profile: default_profile
Protocol: SMTP
Verdict-threshold: recommended (7)
Action: User-Defined-in-Cloud (permit)
Notification: No Log
Inspection-profile: my_smtp_profile
Verwenden Sie den show security policies CLI-Befehl, um Ihre Firewall-Richtlinieneinstellungen anzuzeigen.
show security policies
from-zone trust to-zone untrust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
security-intelligence-policy SecIntel;
}
}
}
}
policy firewall-policy1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-inspect-profile;
}
advanced-anti-malware-policy aamwpolicy1;
}
}
}
}
}