AUF DIESER SEITE
Beispiel: Konfigurieren der IoT-Geräteerkennung und Richtliniendurchsetzung
In diesem Beispiel konfigurieren Sie Ihr Sicherheitsgerät für die Erkennung von IoT-Geräten und die Durchsetzung von Sicherheitsrichtlinien.
Überblick
Um mit der IoT-Geräteerkennung in Ihrem Netzwerk zu beginnen, benötigen Sie lediglich ein Sicherheitsgerät, das mit der Juniper ATP Cloud verbunden ist. Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Wie in der Topologie dargestellt, umfasst das Netzwerk einige IoT-Geräte, die über einen drahtlosen Access Point (AP) mit einer Firewall der SRX-Serie verbunden sind. Das Sicherheitsgerät ist mit dem Juniper Cloud ATP-Server und mit einem Host-Gerät verbunden.
Das Sicherheitsgerät sammelt Metadaten des IoT-Geräts und streamt die relevanten Informationen an die Juniper ATP-Cloud. Um das Streaming von IoT-Metadaten zu aktivieren, müssen Sie Streamingrichtlinien für Sicherheitsmetadaten erstellen und diese Richtlinien an Sicherheitsrichtlinien anfügen. Das Streaming des Datenverkehrs des IoT-Geräts wird automatisch angehalten, wenn der Juniper Cloud-Server über genügend Details zur Klassifizierung des IoT-Geräts verfügt.
Die Juniper ATP-Cloud erkennt und klassifiziert IoT-Geräte. Mithilfe des Bestands der erkannten IoT-Geräte erstellen Sie Bedrohungsfeeds in Form von dynamischen Adressgruppen. Sobald das Sicherheitsgerät dynamische Adressgruppen heruntergeladen hat, können Sie die dynamischen Adressgruppen verwenden, um Sicherheitsrichtlinien für den IoT-Datenverkehr zu erstellen und durchzusetzen.
Tabelle 1 und Tabelle 2 enthalten Details zu den in diesem Beispiel verwendeten Parametern.
| Zonen | Schnittstellen | , mit denen verbunden ist |
|---|---|---|
| Vertrauen | GE-0/0/2.0 | Client-Gerät |
| nicht vertrauenswürdig | GE-0/0/4.0 und GE-0/0/3.0 | Access Points zur Verwaltung des IoT-Datenverkehrs |
| Cloud | GE-0/0/1.0 | Internet (für die Verbindung mit der Juniper ATP-Cloud) |
| Anwendung | vom Richtlinientyp | |
|---|---|---|
| P1 | Sicherheits-Richtlinie | Ermöglicht Datenverkehr von Zone zu Zone ohne vertrauenswürdige Zone |
| P2 | Sicherheits-Richtlinie | Ermöglicht Datenverkehr von Zone zu Zone "nicht vertrauenswürdig" |
| Seite 3 | Sicherheits-Richtlinie | Ermöglicht Datenverkehr von der Vertrauenszone zur Cloud-Zone |
| Seite 1 | Metadaten-Streaming-Richtlinie | Streamt Datenverkehrsmetadaten aus nicht vertrauenswürdigen Zonen an vertrauenswürdige Zonen |
| Seite 2 | Metadaten-Streaming-Richtlinie | Streamt Metadaten des Datenverkehrs von Vertrauenszone zu Klumpenzone |
| Unwanted_Applications | Globale Richtlinie zur Sicherheit | Verhindert IoT-Datenverkehr auf der Grundlage des Bedrohungs-Feeds und der Sicherheitsrichtlinie im globalen Kontext |
Anforderungen
- Firewall der SRX-Serie oder Gerät der NFX-Serie
- IoT-Sicherheit ist eine Premium-ATP-Funktion und erfordert eine Premium-Lizenz (Premium 1 oder Premium 2), um berechtigt zu sein. Weitere Informationen finden Sie unter Software-Lizenzen für ATP-Cloud.
- Junos OS Version 22.1R1 oder höher
- Juniper Advanced Threat Prevention Cloud-Konto. Weitere Informationen finden Sie unter Registrieren eines Juniper Advanced Threat Prevention Cloud-Kontos.
Wir haben die Konfiguration anhand einer Virtuelle Firewall vSRX Instance mit Junos OS Version 22.1R1 verifiziert und getestet.
Konfiguration
Bereiten Sie Ihre Firewall der SRX-Serie auf die Arbeit mit der Juniper ATP Cloud vor
Sie müssen Ihre Firewall der SRX-Serie für die Kommunikation mit dem ATP-Webportal von Juniper konfigurieren. Stellen Sie sicher, dass Ihre Firewall der SRX-Serie mit dem Internet verbunden ist. Stellen Sie sicher, dass Sie die folgende Erstkonfiguration vornehmen, um Ihre Firewall der SRX-Serie auf Internet einzustellen.
- Konfigurieren Sie die Schnittstelle. In diesem Beispiel verwenden wir die Schnittstelle ge-0/0/1.0 als Schnittstelle für das Internet auf der Firewall der SRX-Serie.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.50.50.1/24
- Fügen Sie die Schnittstelle zu einer Sicherheitszone hinzu.
[edit] user@host# set security zones security-zone cloud interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security zones security-zone cloud interfaces ge-0/0/1.0 host-inbound-traffic protocols all
- Konfigurieren Sie DNS.
[edit] user@host# set groups global system name-server 172.16.1.1
- Konfigurieren Sie NTP.
[edit] user@host# set groups global system processes ntp enable user@host# set groups global system ntp boot-server 192.168.1.20 user@host# set groups global system ntp server 192.168.1.20
Sobald Ihre SRX-Serie das Internet über die Schnittstelle ge-0/0/1.0 erreichen kann, fahren Sie mit den nächsten Schritten fort.
- Überprüfen Sie die erforderlichen Lizenzen und das Anwendungssignaturpaket
- Registrierung des Sicherheitsgeräts bei der Juniper ATP Cloud
- Konfigurieren der Streamingeinstellungen für den IoT-Datenverkehr
- Konfiguration der Firewall der SRX-Serie
- Anzeigen erkannter IOT-Geräte in der ATP-Cloud
- Bedrohungs-Feeds erstellen
- Erstellen von Sicherheitsrichtlinien mithilfe von Adaptive Threat Profiling-Feeds
- Ergebnisse
Überprüfen Sie die erforderlichen Lizenzen und das Anwendungssignaturpaket
- Stellen Sie sicher, dass Sie über eine entsprechende Juniper ATP-Cloud-Lizenz verfügen. Verwenden Sie den
show system licenseBefehl, um den Lizenzstatus zu überprüfen. Die Ausgabe zeigt möglicherweise das Legacy-ATP-Cloud-Branding (SkyATP) basierend auf dem SRX-Gerätetyp (SRX oder vSRX) und der JUNOS-Version, wie in den folgenden Beispielen gezeigt:user@host> show system license License identifier: JUNOS123456 License version: 4 Software Serial Number: 1234567890 Customer ID: JuniperTest Features: Sky ATP - Sky ATP: Cloud Based Advanced Threat Prevention on SRX firewalls date-based, 2016-07-19 17:00:00 PDT - 2016-07-30 17:00:00 PDTroot@host> show system license License identifier: JUNOS123456 License version: 4 Software Serial Number: 1234567890 Customer ID: JuniperTest Features: ATP Cloud - Cloud Based Advanced Threat Prevention on SRX firewalls date-based, 2016-07-19 17:00:00 PDT - 2016-07-30 17:00:00 PDTHinweis:Der
show system licenseBefehl auf einer Firewall der SRX-Serie zeigt möglicherweise keine ATP-Cloud-Lizenz an, wenn die Berechtigung in der Cloud verwaltet wird. Dies liegt daran, dass für die Geräte der SRX-Serie kein Lizenzschlüssel für ATP Cloud installiert werden muss. Stattdessen wird die Berechtigung automatisch auf den Cloud-Server übertragen, wenn Sie den Lizenzschlüssel mit Ihrer Seriennummer und Ihrem Autorisierungscode der SRX-Serie generieren. Für virtuelle Firewalls von vSRX ist eine installierte Lizenz erforderlich. - Stellen Sie sicher, dass auf Ihrem Gerät die neuesten Anwendungssignaturen auf Ihrem Sicherheitsgerät installiert sind.
- Vergewissern Sie sich, dass die Lizenz zur Anwendungsidentifikation auf Ihrem Gerät installiert ist.
user@host> show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signatur
- Laden Sie die neueste Version des Anwendungssignaturpakets herunter.
user@host> request services application-identification download
- Überprüfen Sie den Download-Status.
user@host> request services application-identification download status Downloading application package 3475 succeeded.
- Installieren Sie das Signaturpaket für die Anwendungsidentifikation.
user@host> request services application-identification install
- Überprüfen Sie die Version des installierten Anwendungssignaturpakets.
user@host> show services application-identification version Application package version: 3418 Release date: Tue Sep 14 14:40:55 2021 UTC
- Vergewissern Sie sich, dass die Lizenz zur Anwendungsidentifikation auf Ihrem Gerät installiert ist.
Registrierung des Sicherheitsgeräts bei der Juniper ATP Cloud
Beginnen wir mit der Registrierung des Sicherheitsgeräts bei der Juniper ATP-Cloud. Wenn Sie Ihr Gerät bereits registriert haben, können Sie diesen Schritt überspringen und direkt zu Konfigurieren der Streamingeinstellungen für den IoT-Datenverkehr springen. Wenn nicht, verwenden Sie eine der folgenden Methoden für die Geräteregistrierung.
- Methode 1: Registrieren eines Sicherheitsgeräts mit der CLI
- Methode 2: Registrieren des Sicherheitsgeräts im Juniper ATP-Cloud-Webportal
Methode 1: Registrieren eines Sicherheitsgeräts mit der CLI
- Führen Sie auf Ihrer Firewall der SRX-Serie den folgenden Befehl aus, um den Registrierungsvorgang zu starten.
user@host> request services advanced-anti-malware enroll Please select geographical region from the list: 1. North America 2. European Region 3. Canada 4. Asia Pacific Your choice: 1
- Wählen Sie einen vorhandenen Realm aus oder erstellen Sie einen neuen Realm.
Enroll SRX to: 1. A new SkyATP security realm (you will be required to create it first) 2. An existing SkyATP security realm
Wählen Sie Option 1 aus, um einen Realm zu erstellen. Führen Sie die folgenden Schritte aus:
-
You are going to create a new Sky ATP realm, please provide the required information:
-
Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed): Real name: example-company-a
-
Please enter your company name: Company name: Example Company A
-
Please enter your e-mail address. This will be your username for your Sky ATP account: Email: me@example-company-a.com
-
Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character): Password: ********** Verify: **********
-
Please review the information you have provided: Region: North America New Realm: example-company-a Company name: Example Company A Email: me@example-company-a.com
-
Create a new realm with the above information? [yes,no] yes Device enrolled successfully!
Sie können auch einen vorhandenen Realm verwenden, um Ihre SRX-Serie bei der Juniper ATP Cloud zu registrieren.
-
- Verwenden Sie den
show services advanced-anti-malwareBefehl status CLI, um zu bestätigen, dass Ihre Firewall der SRX-Serie mit dem Cloud-Server verbunden ist.root@idpreg-iot-v2# run show services advanced-anti-malware dynamic-filter status Feb 09 18:36:46 Dynamic Filter Server Connection Status: Server Hostname: srxapi.us-west-2.sky.junipersecurity.net Server Port: 443 Proxy Hostname: None Proxy Port: None Control Plane Connection Status: Connected Last Successful Connect: 2022-02-09 18:36:07 PST Pkts Sent: 2 Pkts Received: 6
Methode 2: Registrieren des Sicherheitsgeräts im Juniper ATP-Cloud-Webportal
Sie können ein Junos OS Betriebsskript (Op) verwenden, um Ihre Firewall der SRX-Serie so zu konfigurieren, dass sie eine Verbindung mit dem Juniper Advanced Threat Prevention Cloud-Service herstellt.
- Klicken Sie im Juniper ATP-Cloud-Webportal auf der Seite Geräte auf die Schaltfläche Registrieren.
- Kopieren Sie den Befehl in die Zwischenablage, und klicken Sie auf OK.
- Fügen Sie den Befehl in die Junos OS CLI der Firewall der SRX-Serie im Betriebsmodus ein.
- Verwenden Sie den
show services advanced-anti-malwareBefehl status, um zu überprüfen, ob eine Verbindung von der Firewall der SRX-Serie zum Cloud-Server hergestellt wurde. Der Serverhostname im folgenden Beispiel ist nur ein Beispiel.user@host> show services advanced-anti-malware statusServer connection status: Server hostname: srxapi.us-west-2.sky.junipersecurity.net Server realm: qatest Server port: 443 Proxy hostname: None Proxy port: None Control Plane: Connection time: 2022-02-15 21:31:03 PST Connection status: Connected Service Plane: fpc0 Connection active number: 18 Connection retry statistics: 48Im Beispiel gibt der Verbindungsstatus an, dass der Cloud-Server mit Ihrem Sicherheitsgerät verbunden ist.
- Sie können die registrierten Geräte auch im Juniper ATP-Cloud-Portal anzeigen. Wechseln Sie zur Seite Geräte > Alle Geräte . Auf der Seite werden alle registrierten Geräte aufgelistet.
Konfigurieren der Streamingeinstellungen für den IoT-Datenverkehr
In diesem Verfahren erstellen Sie Metadaten-Streamingrichtlinien und aktivieren Sicherheitsdienste auf Ihrem Sicherheitsgerät.
- Konfiguration der Cloud-Verbindung abschließen.
[edit] user@host# set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml user@host# set services security-intelligence authentication tls-profile aamw-ssl
-
Erstellen Sie eine Streaming-Richtlinie für Sicherheitsmetadaten.
[edit] user@host# set services security-metadata-streaming policy p1 dynamic-filter user@host# set services security-metadata-streaming policy p2 dynamic-filter
Später werden wir diese Richtlinie für das Streaming von Sicherheitsmetadaten an Sicherheitsrichtlinien anfügen, um das Streaming des IoT-Datenverkehrs für die Sitzung zu ermöglichen.
- Aktivieren Sie Sicherheitsservices wie Anwendungsverfolgung, Anwendungsidentifizierung und PKI.
[edit] user@host# set services application-identification user@host# set security pki user@host# set security application-tracking
Konfiguration der Firewall der SRX-Serie
Verwenden Sie dieses Verfahren, um Schnittstellen, Zonen und Richtlinien zu konfigurieren sowie die IoT-Paketfilterung und Streamingdienste auf Ihrem Sicherheitsgerät zu aktivieren.
-
Konfigurieren Sie Schnittstellen.
[edit] user@host# set interfaces ge-0/0/2 mtu 9092 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.60.60.1/24 user@host# set interfaces ge-0/0/3 mtu 9092 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.70.70.1/24 user@host# set interfaces ge-0/0/4 mtu 9092 user@host# set interfaces ge-0/0/4 unit 0 family inet address 10.80.80.1/24
-
Konfigurieren Sie Sicherheitszonen und aktivieren Sie den Anwendungsdatenverkehr für jede konfigurierte Zone.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols all user@host# set security zones security-zone trust application-tracking user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/3.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust application-tracking user@host# set security zones security-zone cloud application-tracking
Wie in der Topologie dargestellt, empfängt die Zone "nicht vertrauenswürdig" Transit- und Host-Datenverkehr von IoT-Geräten im Netzwerk. Das Client-Gerät befindet sich in der Vertrauenszone und die Juniper ATP-Cloud in der Cloud-Zone.
-
Konfigurieren der Sicherheitsrichtlinie P1.
[edit] user@host# set security policies from-zone trust to-zone untrust policy P1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy P1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy P1 match application any user@host# set security policies from-zone trust to-zone untrust policy P1 then permit
Diese Konfiguration lässt Datenverkehr von Zone "vertrauenswürdig" in Zone "nicht vertrauenswürdig" zu.
-
Konfigurieren der Sicherheitsrichtlinie P2.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P2 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P2 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P2 match application any user@host# set security policies from-zone untrust to-zone trust policy P2 then permit user@host# set security policies from-zone untrust to-zone trust application-services security-metadata-streaming-policy p1
Die Konfiguration lässt Datenverkehr von Zone zu Zone "nicht vertrauenswürdig" zu und wendet die Streaming-Richtlinie für Sicherheitsmetadaten p1 an, um das Streaming von IoT-Datenverkehr für die Sitzung zu ermöglichen.
-
Konfigurieren Sie die Sicherheitsrichtlinie P3.
[edit] user@host# set security policies from-zone trust to-zone cloud policy P3 match source-address any user@host# set security policies from-zone trust to-zone cloud policy P3 match destination-address any user@host# set security policies from-zone trust to-zone cloud policy P3 match application any user@host# set security policies from-zone trust to-zone cloud policy P3 then permit user@host# set security policies from-zone trust to-zone cloud application-services security-metadata-streaming-policy p2
Diese Konfiguration lässt Datenverkehr von der Vertrauenszone zur Cloud-Zone zu und wendet die Streaming-Richtlinie für Sicherheitsmetadaten p2 an, um das Streaming von IoT-Datenverkehr für die Sitzung zu ermöglichen.
- Bestätigen Sie die Konfiguration.
[edit] user@host# commit
Sehen wir uns alle erkannten IoT-Geräte im Juniper ATP Cloud-Portal an.
Anzeigen erkannter IOT-Geräte in der ATP-Cloud
Um erkannte IoT Geräte im ATP Cloud Juniper-Portal anzuzeigen, navigieren Sie zur Seite Minotor > IoT Geräte .
Sie können die IoT-Geräte anklicken und nach Gerätekategorie, Hersteller und Betriebssystemtyp filtern.
Auf der Seite werden IoT-Geräte mit Details wie IP-Adresse, Typ, Hersteller, Modelle usw. aufgelistet. Mithilfe dieser Details können Sie Bedrohungs-Feeds überwachen und erstellen, um Sicherheitsrichtlinien durchzusetzen.
Bedrohungs-Feeds erstellen
Sobald die Juniper ATP-Cloud IoT-Geräte identifiziert hat, können Sie Bedrohungs-Feeds erstellen. Wenn Ihr Sicherheitsgerät Bedrohungs-Feeds in Form von dynamischen Adressgruppen herunterlädt, können Sie den Feed Ihrer Sicherheitsrichtlinien verwenden, um Durchsetzungsmaßnahmen für den eingehenden und ausgehenden Datenverkehr auf diesen IoT-Geräten zu ergreifen.
- Gehen Sie zur Seite Minotor > IoT Geräte und klicken Sie auf die Option Feeds erstellen .
-
Klicken Sie auf das Pluszeichen (+). Die Seite Neuen Feed hinzufügen wird angezeigt.
In diesem Beispiel verwenden wir den Feednamen android_phone_user mit einer Time-to-Live (TTL) von sieben Tagen.
Schließen Sie die Konfiguration für die folgenden Felder ab:
-
Name des Feeds:
Geben Sie einen eindeutigen Namen für den Bedrohungs-Feed ein. Der Feedname muss mit einem alphanumerischen Zeichen beginnen und kann Buchstaben, Zahlen und Unterstriche enthalten. Es sind keine Leerzeichen zulässig. Die Länge beträgt 8–63 Zeichen.
-
Typ: Wählen Sie den Inhaltstyp des Feeds als IP aus.
-
Datenquelle: Wählen Sie die Datenquelle zum Erstellen des Feeds als IOT.
-
Zeit zu leben: Geben Sie die Anzahl der Tage ein, nach denen der gewünschte Feedeintrag aktiv sein soll. Nachdem der Feedeintrag den TTL-Wert (Time to Live) überschritten hat, wird der Feedeintrag automatisch entfernt. Der verfügbare Bereich beträgt 1–365 Tage.
-
- Klicken Sie auf OK , um die Änderungen zu speichern.
- Gehen Sie zu Konfigurieren > Adaptive Threat Profiling. Auf der Seite werden alle erstellten Bedrohungs-Feeds angezeigt. Sie können sehen, dass der Bedrohungs-Feed android_phone_user auf der Seite aufgeführt ist.
Klicken Sie auf den Bedrohungs-Feed, um die im Bedrohungs-Feed enthaltene IP-Adresse anzuzeigen.
- Stellen Sie sicher, dass Ihr Sicherheitsgerät den Feed heruntergeladen hat. Der Download erfolgt automatisch in regelmäßigen Abständen, kann aber einige Minuten dauern.
user@host> show services security-intelligence sec-profiling-feed status Category name :SecProfiling Feed name :Android_Phone_User Feed type :IP Last post time :N/A Last post status code:N/A Last post status :N/A Feed name :IT_feed Feed type :IP Last post time :N/A Last post status code:N/A Last post status :N/A Feed name :High_Risk_Users Feed type :IP Last post time :N/A Last post status code:N/A Last post status :N/ASie können die Bedrohungs-Feeds manuell mit dem folgenden Befehl herunterladen:
request services security-intelligence download status ||match android_phone_user
Fahren wir mit der Erstellung von Sicherheitsrichtlinien mit den heruntergeladenen Bedrohungs-Feeds fort.
Erstellen von Sicherheitsrichtlinien mithilfe von Adaptive Threat Profiling-Feeds
Sobald Ihr Sicherheitsgerät den Bedrohungs-Feed heruntergeladen hat, können Sie ihn in einer Sicherheitsrichtlinie als dynamische Adressgruppe bezeichnen. Eine dynamische Adresse ist eine Gruppe von IP-Adressen von IoT-Geräten, die zu einer bestimmten Domäne gehören.
In diesem Beispiel erstellen wir eine Richtlinie, die Datenverkehr von Android-Telefonen erkennt und blockiert.
- Definieren von Übereinstimmungskriterien für Sicherheitsrichtlinien.
[edit] user@host# set security policies global policy Block_Android_Traffic match source-address android_phone_user user@host# set security policies global policy Block_Android_Traffic match destination-address any user@host# set security policies global policy Block_Android_Traffic match application any
- Definieren der Sicherheitsrichtlinien.
[edit] user@host# set security policies global policy Block_Android_Traffic then deny
Wenn Sie in diesem Beispiel die Konfiguration bestätigen, blockiert Ihr Sicherheitsgerät HTTP-Datenverkehr für die IoT-Geräte, die zu der jeweiligen Domäne gehören.
Weitere Informationen finden Sie unter Konfigurieren der Erstellung adaptiver Bedrohungsprofile.
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy P1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy P2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
application-services {
security-metadata-streaming-policy p1;
}
}
from-zone trust to-zone cloud {
policy P3 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
application-services {
security-metadata-streaming-policy p2;
}
}
user@host# show security policies global
policy Block_Android_Traffic {
match {
source-address android_phone_user;
destination-address any;
application any;
}
then {
deny;
}
}
Überprüfen Sie die Sicherheitszonen.
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
application-tracking;
}
security-zone untrust {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
application-tracking;
}
security-zone cloud {
interfaces {
ge-0/0/0.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
application-tracking;
}
Dienstleistungen anzeigen
[edit]
user@host# show services
advanced-anti-malware {
dynamic-filter {
traceoptions {
file dyn-filterd-log size 1g world-readable;
level all;
flag all;
}
}
connection {
url https://srxapi.us-west-2.sky.junipersecurity.net;
authentication {
tls-profile aamw-ssl;
}
}
}
ssl {
initiation {
profile aamw-ssl {
trusted-ca [ aamw-secintel-ca aamw-cloud-ca ];
client-certificate aamw-srx-cert;
actions {
crl {
disable;
}
}
}
}
}
security-metadata-streaming {
policy p1 {
dynamic-filter;
}
policy p2 {
dynamic-filter;
}
}
security-intelligence {
url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml;
authentication {
tls-profile aamw-ssl;
}
}
Wenn Sie mit der Konfiguration der Funktion auf Ihrem Gerät fertig sind, geben Sie Commit aus Konfigurationsmodus ein.
Verifizierung
Überprüfen Sie die Feed-Zusammenfassung und den Status
Zweck: Überprüfen Sie, ob Ihr Sicherheitsgerät IP-Adressfeeds in Form von dynamischen Adressgruppen empfängt.
Maßnahme: Führen Sie den folgenden Befehl aus:
user@host> show services advanced-anti-malware dynamic-filter status
Dynamic Filter Server Connection Status:
Server Hostname: srxapi.us-west-2.sky.junipersecurity.net
Server Port: 443
Proxy Hostname: None
Proxy Port: None
Control Plane
Connection Status: Connected
Last Successful Connect: 2022-02-12 09:51:50 PST
Pkts Sent: 3
Pkts Received: 42
Bedeutung Die Ausgabe zeigt den Verbindungsstatus und andere Details des Juniper ATP-Cloud-Servers an.