AUF DIESER SEITE

IDP-Lizenzen herunterladen und installieren
Überprüfen der Verbindung zum Update-Server
IDP-Signaturpaket herunterladen
IDP-Signaturpaket installieren
Herunterladen und Installieren von IDP-Richtlinienvorlagen
Anwenden der empfohlenen IDP-Richtlinie
Deaktivieren der Commit-Skriptdatei
Aktivieren von IDP in einer Sicherheitsrichtlinie

IDP-Grundkonfiguration

Dieses Thema enthält Details zur Aktivierung von IDP auf Firewalls der SRX-Serie. Es behandelt wichtige Schritte wie das Abrufen von Lizenzen, das Herunterladen von Signatur-Updates und das Anwenden vordefinierter Richtlinien. In diesem Thema wird auch erläutert, wie IDP in Sicherheitsrichtlinien integriert werden kann, um eine effektive Überprüfung des Datenverkehrs und eine effektive Bedrohungsabwehr zu gewährleisten.

Juniper Networks stellt auf seiner Website regelmäßig eine Datei mit Aktualisierungen der Angriffsdatenbank zur Verfügung. Sie können diese Datei herunterladen, um Ihr Netzwerk vor neuen Bedrohungen zu schützen. Das Sicherheitspaket, das Sie von Juniper Networks herunterladen können, enthält auch IDP-Richtlinienvorlagen, die Sie bei der Implementierung von IDP-Richtlinien auf Ihrer Junos-Sicherheitsplattform unterstützen.

Die Verfahren in diesem Thema zeigen Ihnen, wie Sie die anfänglichen IDP-Funktionen auf Ihre Firewall der SRX-Serie herunterladen und konfigurieren.

Sie können dieses Verfahren für Ihre Firewall der SRX-Serie verwenden, auf der Junos OS Version 18.3R1 ausgeführt wird. Dieses Konfigurationsbeispiel wurde mit Junos OS Version 19.3R1 getestet.

Sie müssen die folgenden Schritte ausführen, bevor Sie die IDP-Funktionalität auf einer Firewall der SRX-Serie konfigurieren:

Herunterladen und Installieren der Lizenzen
Überprüfen Sie den Netzwerkzugriff auf Ihre Firewall der SRX-Serie.
IDP-Signaturpaket (auch als Sicherheitspaket oder Angriffsobjekte bezeichnet) herunterladen und installieren
Laden Sie Richtlinienvorlagen herunter (optional).
Konfigurieren der empfohlenen Richtlinie als IDP-Richtlinie (optional)
Aktivieren der IDP-Inspektion in einer Sicherheitsrichtlinie

IDP-Lizenzen herunterladen und installieren

Juniper Networks unterhält eine Datenbank mit Angriffssignaturen für die IDP-Funktion. Sie benötigen eine gültige Lizenz zum Abrufen von Updates für das Herunterladen und Installieren der täglichen Updates der Signaturdatenbank, die von Juniper Networks bereitgestellt werden. Der IDP-Signaturlizenzschlüssel bietet keine Unterstützung für Kulanzfristen.

Weitere Informationen zu den Lizenzen finden Sie unter Lizenzschlüssel für Junos OS-Funktionen.

Überprüfen der Verbindung zum Update-Server

Sie müssen die Junos Security Platform mit dem Internet verbinden, um ein Gerät direkt zu aktualisieren.

Verwenden Sie den folgenden Befehl für den Betriebsmodus, um die Serververbindung von Ihrer Junos-Sicherheitsplattform aus zu überprüfen.

Dieser Befehl überprüft nicht nur die Netzwerkkonnektivität, sondern stellt auch die Version der entfernten Datenbank bereit, die für den Vergleich von Versionsunterschieden mit der vorherigen Befehlsausgabe nützlich ist.

IDP-Signaturpaket herunterladen

Sie können das Sicherheitspaket von Juniper Networks manuell oder automatisch in bestimmten Zeitintervallen herunterladen. Die folgenden Schritte veranschaulichen die Befehle für den Betriebsmodus, um das Sicherheitspaket herunterzuladen und den Status des Downloads zu überprüfen.

Sicherheitspaket herunterladen.
Das Herunterladen der Datenbank kann je nach Größe der Datenbank und Geschwindigkeit der Internetverbindung einige Zeit in Anspruch nehmen.

Überprüfen Sie den Download-Status des Sicherheitspakets.

IDP-Signaturpaket installieren

Nachdem Sie den Download des IDP-Signaturpakets abgeschlossen haben, müssen Sie das IDP-Signaturpaket installieren, bevor die Signaturen tatsächlich in einer Richtlinie verwendet werden. Wenn Sie bereits eine Richtlinie konfiguriert haben, müssen Sie die Richtlinie nicht erneut bestätigen – durch die Installation der Updates werden sie der vorhandenen Richtlinie hinzugefügt.

Installieren Sie das Sicherheitspaket.
Die Installation der Angriffsdatenbank kann je nach Größe des Sicherheitspakets einige Zeit in Anspruch nehmen.

Überprüfen Sie den Installationsstatus der Angriffsdatenbank.

In der Befehlsausgabe werden Informationen zu den heruntergeladenen und installierten Versionen der Angriffsdatenbank angezeigt.

Das System zeigt die folgende Meldung an, wenn auf den Geräten keine aktiven IDP-Richtlinien konfiguriert sind.

Herunterladen und Installieren von IDP-Richtlinienvorlagen

Der Download des IDP-Signaturpakets enthält verschiedene Richtlinienvorlagen. Nachdem Sie die Vorlagen installiert haben, können Sie die Vorlagenrichtlinien unverändert verwenden oder für Ihre Netzwerkumgebung anpassen.

Führen Sie die folgenden Schritte aus, um die neuesten von Juniper Networks bereitgestellten Richtlinienvorlagen herunterzuladen und zu installieren.

Laden Sie die vordefinierten IDP-Richtlinienvorlagen herunter.

Überprüfen Sie den Download-Status des Sicherheitspakets.

Installieren Sie die IDP-Richtlinienvorlagen.

Überprüfen Sie die Aktualisierung des Installationsstatus.

Anwenden der empfohlenen IDP-Richtlinie

Das Junos OS lädt die Richtlinienvorlagen in Form eines Commit-Skripts herunter. Nachdem Sie die Richtlinienvorlagen heruntergeladen und installiert haben, müssen Sie das Vorlagen-Commit-Skript mit den Konfigurationsmodusbefehlen mit den folgenden Schritten aktivieren:

Aktivieren Sie die Skriptdatei templates.xsl .
Die heruntergeladenen Vorlagen werden in der Junos OS-Konfigurationsdatenbank gespeichert. Die Vorlagen sind in der CLI auf Hierarchieebene [edit security idp idp-policy] verfügbar.
Sie müssen die Konfiguration bestätigen, um ein Commit-Skript zu aktivieren.

Zeigen Sie die Liste der heruntergeladenen Vorlagen an.

Aktivieren Sie die vordefinierte Richtlinie als aktive Richtlinie. In diesem Beispiel verwenden Sie die empfohlene Richtlinie als aktive Richtlinie.
Die IDP-Signaturdatenbank bietet Vorlagen für eine Vielzahl von Netzwerkszenarien. Weitere Informationen finden Sie unter Vordefinierte IDP-Richtlinienvorlagen.

Bestätigen Sie, dass die aktive Richtlinie auf Ihrem Gerät aktiviert ist.

Deaktivieren der Commit-Skriptdatei

Wir empfehlen Ihnen, die Commit-Skriptdatei zu löschen oder zu deaktivieren. Durch Löschen oder Deaktivieren der Commit-Skriptdatei können Sie das Risiko vermeiden, dass Änderungen an den vordefinierten Richtlinien (die mit den Vorlagen erstellt wurden) überschrieben werden, wenn Sie die Konfiguration bestätigen.

Führen Sie die folgenden Schritte aus, um die Commit-Skriptdatei zu löschen oder zu deaktivieren:

Aktivieren von IDP in einer Sicherheitsrichtlinie

Der letzte Schritt zur Aktivierung der empfohlenen IDP-Richtlinie besteht darin, die IDP-Aktion auf eine Sicherheitsrichtlinie anzuwenden.

Aktivieren Sie die Sicherheitsrichtlinie für die IDP-Überprüfung.

Übernehmen Sie die Änderungen, sobald Sie mit der Konfiguration fertig sind.

Überprüfen Sie die IDP-Konfiguration in der Sicherheitsrichtlinie mithilfe des show security policies policy-name idp-policy-1 detail Befehls.

Die Beispielausgabe bestätigt, dass Sie IDP für die Sicherheitsrichtlinie aktiviert haben.

Jetzt können Sie mit der Konfiguration anderer IDP-Richtlinien fortfahren. Siehe Beispiel: Konfigurieren mehrerer IDP-Richtlinien und einer Standard-IDP-Richtlinie für einheitliche Sicherheitsrichtlinien.