Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Vordefinierte IDP-Richtlinienvorlagen

Dieses Thema enthält eine detaillierte Anleitung zu vordefinierten IDP-Richtlinienvorlagen bei der Konfiguration und Verwendung von IDP-Richtlinien in Junos OS. Er enthält Anweisungen zum Erstellen, Anpassen und Verwalten von Richtlinienvorlagen zum Schutz der Netzwerkinfrastruktur vor verschiedenen Sicherheitsbedrohungen durch Identifizierung und Abwehr von bösartigem Datenverkehr.

Sie können die vordefinierten Richtlinienvorlagen als Ausgangspunkt für die Erstellung eigener Richtlinien verwenden. Die Vorlagen helfen Administratoren, Best Practices für die Sicherheit effizient anzuwenden, ohne jede Regel manuell zu definieren, was die Einrichtungszeit verkürzt und menschliche Fehler minimiert. Jede Vorlage ist ein Satz von Regeln eines bestimmten Regelbasistyps, den Sie kopieren und dann nach Ihren Anforderungen aktualisieren können.

Grundlegendes zu vordefinierten IDP-Richtlinienvorlagen

Vordefinierte Richtlinienvorlagen sind in der templates.xls Datei auf einer gesicherten Website von Juniper Networks verfügbar. Um eine Vorlage zu verwenden, führen Sie einen Befehl über die CLI aus, um diese Datei herunterzuladen und in ein Verzeichnis /var/db/scripts/commit zu kopieren.

Jede Richtlinienvorlage enthält Regeln, die die Standardaktionen verwenden, die den Angriffsobjekten zugeordnet sind. Sie sollten diese Vorlagen so anpassen, dass sie in Ihrem Netzwerk funktionieren, indem Sie Ihre eigenen Quell- und Zieladressen auswählen und IDP-Aktionen auswählen, die Ihren Sicherheitsanforderungen entsprechen.

Die Client/Server-Vorlagen sind auf Benutzerfreundlichkeit ausgelegt und bieten eine ausgewogene Leistung und Abdeckung. Zu den Client/Server-Vorlagen gehören Clientschutz, Serverschutz und Client/Server-Schutz.

Jede der Client-/Servervorlagen verfügt über zwei gerätespezifische Versionen: eine 1-Gigabyte-Version (GB) und eine 2-GB-Version.

Anmerkung:

Die mit 1 GB gekennzeichneten 1-Gigabyte-Versionen sollten nur für Geräte verwendet werden, die auf 1 GB Arbeitsspeicher beschränkt sind. Wenn ein 1-GB-Gerät etwas anderes als eine 1-GB-Richtlinie lädt, kann es aufgrund des begrenzten Arbeitsspeichers oder der eingeschränkten Abdeckung zu Fehlern bei der Richtlinienerstellung kommen. Wenn ein 2-GB-Gerät etwas anderes als eine 2-GB-Richtlinie lädt, kann die Abdeckung des Geräts eingeschränkt sein.

Verwenden Sie diese Vorlagen als Leitfaden für die Erstellung von Richtlinien. Es wird empfohlen, eine Kopie dieser Vorlagen zu erstellen und die Kopie (nicht das Original) für die Richtlinie zu verwenden. Dieser Ansatz ermöglicht es Ihnen, Änderungen an der Richtlinie vorzunehmen und zukünftige Probleme aufgrund von Änderungen in den Richtlinienvorlagen zu vermeiden.

Tabelle 1 fasst die von Juniper Networks bereitgestellten vordefinierten IDP-Richtlinienvorlagen zusammen.

Tabelle 1: Vordefinierte IDP-Richtlinienvorlagen

Vorlagenname

Beschreibung

Client-And-Server-Protection

Entwickelt, um sowohl Clients als auch Server zu schützen. Zur Verwendung auf Geräten mit hohem Arbeitsspeicher mit 2 GB oder mehr Arbeitsspeicher.

Client-And-Server-Protection-1G

Entwickelt, um sowohl Clients als auch Server zu schützen. Zur Verwendung auf allen Geräten, auch auf Zweigstellengeräten mit geringem Arbeitsspeicher.

Client-Protection

Entwickelt, um Clients zu schützen. Zur Verwendung auf Geräten mit hohem Arbeitsspeicher mit 2 GB oder mehr Arbeitsspeicher.

Client-Protection-1G

Entwickelt, um Clients zu schützen. Zur Verwendung auf allen Geräten, auch auf Zweigstellengeräten mit geringem Arbeitsspeicher.

DMZ Services

Schützt eine typische DMZ-Umgebung (demilitarisierte Zone).

DNS Server

Schützt DNS-Dienste (Domain Name System).

File Server

Schützt Dateifreigabedienste wie Network File System (NFS), FTP und andere.

Getting Started

Enthält sehr offene Regeln. Nützlich in kontrollierten Laborumgebungen, sollte aber nicht in Live-Netzwerken mit hohem Datenverkehr bereitgestellt werden.

IDP Default

Enthält eine gute Mischung aus Sicherheit und Leistung.

Recommended

Enthält nur die Angriffsobjekte, die von Juniper Networks als recommended solche gekennzeichnet wurden. Die Spalte "Aktionen" aller Regeln ist so festgelegt, dass für jedes Angriffsobjekt die empfohlene Aktion ausgeführt wird.

Server-Protection

Entwickelt, um Server zu schützen. Zur Verwendung auf Geräten mit hohem Arbeitsspeicher mit 2 GB oder mehr Arbeitsspeicher.

Server-Protection-1G

Entwickelt, um Server zu schützen. Zur Verwendung auf allen Geräten, auch auf Zweigstellengeräten mit geringem Arbeitsspeicher.

Web Server

Schützt HTTP-Server vor Remote-Angriffen.

So verwenden Sie vordefinierte Richtlinienvorlagen:

  1. Laden Sie die Richtlinienvorlagen von der Website von Juniper Networks herunter.

  2. Installieren Sie die Richtlinienvorlagen.

  3. Aktivieren Sie die templates.xls Skriptdatei. Commit-Skripte im /var/db/scripts/commit Verzeichnis werden ignoriert, wenn sie nicht aktiviert sind.

  4. Wählen Sie eine Richtlinienvorlage aus, die für Sie geeignet ist, und passen Sie sie bei Bedarf an.

  5. Aktivieren Sie die Richtlinie, die Sie auf dem System ausführen möchten. Die Aktivierung der Richtlinie kann einige Minuten dauern. Selbst nachdem die Meldung "Commit abgeschlossen" in der CLI angezeigt wird, fährt das System möglicherweise mit der Kompilierung fort und überträgt die Richtlinie per Push auf die Data Plane.

    Anmerkung:

    Gelegentlich kann der Kompilierungsprozess für eine Richtlinie fehlschlagen. In diesem Fall stimmt die aktive Richtlinie, die in Ihrer Konfiguration angezeigt wird, möglicherweise nicht mit der tatsächlichen Richtlinie überein, die auf Ihrem Gerät ausgeführt wird. Führen Sie den show security idp status Befehl aus, um die ausgeführte Richtlinie zu überprüfen. Darüber hinaus können Sie die IDP-Protokolldateien anzeigen, um das Laden und den Kompilierungsstatus der Richtlinie zu überprüfen.

  6. Löschen oder deaktivieren Sie die Commit-Skriptdatei. Durch das Löschen der Commit-Skriptdatei vermeiden Sie das Risiko, dass Änderungen an der Vorlage beim Commit der Konfiguration überschrieben werden. Durch das Deaktivieren der Anweisung wird der Anweisung ein inaktives Tag hinzugefügt, wodurch die Anweisung effektiv aus der Konfiguration auskommentiert wird. Anweisungen, die als inaktiv markiert sind, werden nicht wirksam, wenn Sie den commit Befehl ausgeben.

Weitere Informationen finden Sie unter https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490.

Herunterladen und Verwenden von vordefinierten IDP-Richtlinienvorlagen (CLI-Verfahren)

Bevor Sie beginnen, konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Konfigurationshandbuch für Junos OS-Schnittstellen für Sicherheitsgeräte.

So laden Sie eine vordefinierte Richtlinienvorlage herunter und verwenden sie:

  1. Laden Sie die Skriptdatei templates.xsl in das Verzeichnis /var/db/idpd/sec-download/sub-download herunter. Diese Skriptdatei enthält vordefinierte IDP-Richtlinienvorlagen.
  2. Kopieren Sie die templates.xls Datei in das Verzeichnis /var/db/scripts/commit, und benennen Sie sie in templates.xsl um.
  3. Aktivieren Sie die Skriptdatei templates.xsl. Zum Commit-Zeitpunkt prüft der Junos OS-Verwaltungsprozess (mgd) das Verzeichnis /var/db/scripts/commit auf Skripte und führt das Skript in der Kandidatenkonfigurationsdatenbank aus, um sicherzustellen, dass die Konfiguration den von den Skripten vorgegebenen Regeln entspricht.
  4. Bestätigen Sie die Konfiguration. Durch die Bestätigung der Konfiguration werden die heruntergeladenen Vorlagen in der Junos OS-Konfigurationsdatenbank gespeichert und in der CLI auf Hierarchieebene [edit security idp idp-policy] zur Verfügung gestellt.
  5. Sehen Sie sich die Liste der heruntergeladenen Vorlagen an.
  6. Aktivieren Sie die vordefinierte Richtlinie. Die folgende Anweisung gibt die Recommended vordefinierte IDP-Richtlinie als aktive Richtlinie an:
  7. Löschen oder deaktivieren Sie die Commit-Skriptdatei. Durch das Löschen der Commit-Skriptdatei vermeiden Sie das Risiko, dass Änderungen an der Vorlage beim Commit der Konfiguration überschrieben werden. Führen Sie einen der folgenden Befehle aus:
  8. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
  9. Sie können die Konfiguration überprüfen, indem Sie den show security idp status Befehl verwenden. Weitere Informationen finden Sie in der Junos OS CLI-Referenz.

Zugehörige Dokumentation