Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der Firewall der SRX-Serie zum Blockieren infizierter Hosts

Ein infizierter Host-Feed listet die Hosts auf, die kompromittiert wurden und für die Kommunikation mit anderen Geräten unter Quarantäne gestellt werden müssen. Der Feed hat das Format von IP-Adressen, die alle eine Bedrohungsstufe von 10 aufweisen, z. B. xxx.xxx.xxx.133 mit Bedrohungsstufe 10. Sie können Sicherheitsrichtlinien konfigurieren, um Durchsetzungsmaßnahmen für den ein- und ausgehenden Datenverkehr von und zu einem Host zu ergreifen, dessen IP-Adresse im Feed aufgeführt ist. Der Feed "Infizierter Host" wird nur dann auf die Firewall der SRX-Serie heruntergeladen, wenn das infizierte Hostprofil in einer Firewall-Richtlinie konfiguriert und aktiviert ist.

Anmerkung:

Sobald der globale Schwellenwert für die Juniper ATP-Cloud für einen infizierten Host erreicht ist (siehe Konfiguration für infizierte Hosts), wird dieser Host zum Feed der infizierten Hosts hinzugefügt und von der Cloud mit der Bedrohungsstufe 10 versehen. Daher sind alle IP-Adressen im Feed der infizierten Hosts Bedrohungsstufe 10.

So erstellen Sie das infizierte Hostprofil sowie die Richtlinie und die Firewall-Richtlinie:

  1. Definieren Sie ein Profil für den infizierten Host und CC. In diesem Beispiel wird das infizierte Hostprofil benannt ih-profile und die Aktion lautet: Alles mit der Bedrohungsstufe 10 blockieren, löschen. Das CC-Hostprofil hat einen Namen cc-profile und basiert auf ausgehenden Anforderungen an einen C&C-Host. Fügen Sie dem Profil also C&C-Regeln hinzu (Bedrohungsstufen 8 und höher werden blockiert).

    Wenn Sie keine Bedrohungsstufe konfiguriert haben, verwenden Sie den folgenden Befehl, um die Standardregel zu konfigurieren.

    Ab Junos 18.1R1 gibt es Unterstützung für die Blockierungsaktion mit HTTP-URL-Umleitung für infizierte Hosts. Wenn sich die IP-Adresse während der Verarbeitung einer Sitzungs-IP-Adresse in der Liste der infizierten Hosts befindet und der HTTP-Datenverkehr die Ports 80 oder 8080 verwendet, kann eine HTTP-Umleitung für infizierte Hosts durchgeführt werden. Wenn für den HTTP-Datenverkehr dynamische Ports verwendet werden, kann keine HTTP-Datenverkehrsumleitung durchgeführt werden. Siehe Befehl unten.

  2. Überprüfen Sie Ihren Befehl mit dem Befehl show services security-intelligence CLI-Befehl. Es sollte in etwa so aussehen:
  3. Konfigurieren Sie die Security Intelligence-Richtlinie so, dass sie beide in Schritt 1 erstellten Profile enthält. In diesem Beispiel heißt die Richtlinie .infected-host-cc-policy
  4. Konfigurieren Sie die Firewall-Richtlinie so, dass sie die Security Intelligence-Richtlinie einschließt. In diesem Beispiel wird die Zone von Vertrauensstellung zu nicht vertrauenswürdiger Instanz festgelegt.
  5. Überprüfen Sie Ihren Befehl mit dem Befehl show security policies CLI-Befehl. Es sollte in etwa so aussehen:
  6. Übernehmen Sie die Änderungen.