Anhang: Firewall der nächsten Generation JVD-Konfiguration

Allgemeine Workflows und Betriebsabläufe für die Erstellung der Firewall-Topologie der nächsten Generation für Datencenter

Diese Übersicht veranschaulicht die Verwendung der Firewall-CLI der Juniper SRX-Serie und der Cloud-Konsole von Juniper Security Director (GUI) zur Bereitstellung der Firewall-Architektur der nächsten Generation im Datencenter. Konzeptionell ist die Firewall der Juniper SRX-Serie am Datencenter-Edge konfiguriert, um Visibilität und Kontrolle des Datenverkehrs zu bieten, der von den folgenden Quellen stammt:

• Datenverkehr, der von vertrauenswürdigen Clients stammt, ausgehend ins Internet. (Süd-Nord-Verkehr)
• Datenverkehr, der aus einer nicht vertrauenswürdigen Umgebung stammt und eingehend zu den im Datencenter konfigurierten Services gelangt. (Nord-Süd-Verkehr)
• Datenverkehr, der von vertrauenswürdigen Clients stammt und Services nutzt, die im Datencenter gehostet werden. (Ost-West-Verkehr)

Abbildung 1 veranschaulicht den Workflow für die Konfiguration der Firewall der Juniper SRX-Serie mithilfe der Junos OS CLI und der Cloud-Konsole von Juniper Security Director.

Die Reihenfolge der Konfigurationsaufgaben in diesem Beispiel ist wie folgt:

1. Konfigurieren des Chassis-Clusters über die CLI: Clustering ermöglicht hohe Verfügbarkeit.
2. Baseline-Konfiguration mit Schnittstelle, Zonen, Adressen, Services, Firewall-Richtlinien, NAT und Standard-Routing laden: Legen Sie eine Baseline-Konfiguration für das Gerät fest, sodass es Datenverkehr übertragen und eine Internetverbindung herstellen kann.
3. Konfigurieren der Protokollierung auf einem externen SIEM: Sie können mehrere Protokolldatenströme in der Firewall der SRX-Serie konfigurieren und die SRX-Protokollierungsmechanismen auf mehrere SIEMs verweisen.
4. Webverwaltung aktivieren: Aktivieren Sie die Webverwaltung, damit Sie über die integrierte Verwaltungslösung über J-Web auf die Firewall der SRX-Serie zugreifen können.
5. Ermitteln Sie das Gerät und importieren Sie die Basiskonfiguration in die Juniper Security Director Cloud: Ermitteln Sie das Gerät und importieren Sie die Basiskonfiguration in die Juniper Security Director Cloud.
6. Aktivieren Sie die Protokollierung für Juniper Security Director Cloud: Aktivieren Sie die Protokollierung, sodass der Datenverkehr von der Firewall der SRX-Serie in der Juniper Security Director Cloud protokolliert wird.
7. Registrieren Sie das Gerät bei der Juniper ATP Cloud: Juniper ATP Cloud ist die Bedrohungserkennungs-Komponente dieser Lösung und die Quelle der SecIntel-Bedrohungs-Feeds. Es kann auch eine erweiterte Malware-Erkennung bieten.
8. Erstellen Sie Sicherheitsrichtlinien mit anwendungsspezifischer Umgebung.
9. Erstellen Sie IDP-Profile, die die Sicherheitslandschaft der Datencenter-Umgebung abdecken.
10. Weisen Sie das erstellte IDP-Profil in einer Sicherheitsrichtlinie zu.
11. SecIntel-Profil erstellen: Das SecIntel-Profil enthält Optionen für DNS, Command and Control (C & C) und infizierte Hosts.
12. SecIntel-Profil der Regel zuweisen: Durch das Zuweisen des SecIntel-Profils zur Regel wird sichergestellt, dass der gesamte Datenverkehr, der die Regel verwendet, mit den SecIntel-Feeds abgeglichen wird.
13. AAMW-Profil erstellen: Mit dem AAMW-Profil können Sie die Art des Datenverkehrs auswählen, der auf Malware überprüft werden soll. Der Datenverkehr umfasst HTTP, IMAP, SNB und SMTP.
14. AAMW-Profil der Regel zuweisen: Weisen Sie das Profil der Regel zu, sodass der gesamte Datenverkehr, der die Regel verwendet, basierend auf dem Profil auf Malware überprüft wird.
15. Erstellen Sie ein DNS-Sicherheitsmetadatenprofil: Mit der DNS-Sicherheit können Sie DNS-bezogene Bedrohungen wie DGA und DNS-Tunneling identifizieren.
16. Zuweisen der DNS-Metadaten zum Zonenkontext: Der gesamte Datenverkehr zwischen den Zonensätzen wird auf DNS-Sicherheit überprüft.
17. Konfigurieren Sie Bildschirmoptionen, um die nicht vertrauenswürdige Zone vor DDoS-Angriffen zu schützen.
18. Konfigurieren Sie den Reverse-SSL-Proxy, um den Webserver-Datenverkehr zu analysieren und zu schützen. Der Datenverkehr wird fortschrittlichen Sicherheitsdiensten unterzogen.

Die Konfiguration für jede getestete JVD-Funktion lautet wie folgt:

Gehäusekonfiguration (CLI)

Baseline-Konfiguration (CLI)

Konfiguration der System- und Sicherheitsprotokollierung (CLI)

Management-Konfiguration (CLI)

GUI-gesteuerte Funktionskonfiguration über Juniper Security Director Cloud:

• Erkennen Sie das Gerät in der Juniper Security Director Cloud und importieren Sie die Basiskonfiguration.
• Onboarding des Geräts in der Juniper Security Director Cloud.

Gehen Sie wie folgt vor, um die Firewall der SRX-Serie zu integrieren:

1. Gehen Sie zu SRX > Geräteverwaltung > Gerät und klicken Sie dann auf +.
2. Wählen Sie SRX-Geräte übernehmen aus.
3. Wählen Sie SRX-Cluster aus.
4. Geben Sie im Feld Anzahl der zu übernehmenden SRX-Cluster 1 ein.
5. Klicken Sie auf OK und dann auf Schließen.

Die obige Aktion erstellt ein temporäres Gerät, und um den Onboarding-Vorgang abzuschließen, klicken Sie auf Cluster übernehmen , wie in Abbildung 4 zu sehen . Kopieren Sie die CLI-Befehle auf den node0 des SRX-Clusters und fügen Sie sie ein.

Registrieren des Geräts bei der Juniper ATP Cloud nach Geräteerkennung

1. Gehen Sie zu SRX > Geräteverwaltung > Gerät.
2. Wählen Sie Geräte aus.
3. Klicken Sie auf Mehr, und wählen Sie dann Bei ATP registrieren aus.
4. Melden Sie sich bei Ihrer Firewall der SRX-Serie an und fügen Sie den Befehl in die Junos OS CLI ein.

Aktivieren Sie die Protokollierung auf der Firewall der SRX-Serie, um den Datenverkehr in der Juniper Security Director Cloud zu protokollieren

Anwendungs-Sicherheit

Konfigurieren Sie die Firewall-Richtlinie zur Implementierung von Anwendungssicherheit in einer Datencenter-Umgebung. Wir erstellen eine Firewall-Richtlinie, um alle Social-Media-/Shopping-Websites und -Apps mit hoher Bandbreite (Facebook, Amazon) und Video-Sharing-Websites wie YouTube, Vimeo usw. zu blockieren.

Erstellen Sie eine Anwendungsgruppe, die Sie in der Firewallrichtlinie verwenden:

1. Wechseln Sie zu Freigegebene Dienste > Anwendungen.
2. Klicken Sie auf das Dropdown-Menü Erstellen und wählen Sie dann Signaturgruppe aus.
3. Geben Sie einen Namen für die Anwendungsgruppe ein.
4. Klicken Sie auf + , um alle Anwendungen hinzuzufügen, die blockiert werden müssen.
5. Klicken Sie auf OK , um die Anwendungsgruppe zu speichern.

Schließen Sie die Anwendungsgruppe in eine Sicherheitsrichtlinie zur Durchsetzung ein:

1. Wechseln Sie zu SRX > Sicherheit Policy > SRX Policy.
2. Klicken Sie auf + , um eine neue Firewall-Regel hinzuzufügen.
3. Geben Sie Quellzone und Quelladresse ein.
4. Zielzone und Zieladresse eingeben.
5. Wählen Sie Dienste und Anwendungsgruppe aus, die wir mit Apps erstellt haben, die blockiert werden müssen.
6. Wählen Sie Aktion aus.
7. Aktivieren Sie bei Bedarf die Protokollierung unter Optionen.

Intrusion Detection and Prevention (IDP)

Bei der Implementierung von IDP können Sie beim Entwerfen der IDP-Richtlinie die folgenden Einstellungen berücksichtigen:

• Umgebung (Services, die innerhalb des Datencenters ausgeführt werden)
• Anwendungen (Anwendungen, die derzeit über die Firewall bereitgestellt werden)
• Ausgenommen alle Services oder Protokolle, die nicht gescannt werden (z. B. SSH)

Basierend auf den für dieses JVD implementierten Services haben wir uns dafür entschieden, den Client-zu-Server-basierten Schutz zu klonen und einige Regeln hinzuzufügen, die den Server-zu-Client-basierten Datenverkehr berücksichtigen.

Die erstellte Richtlinie berücksichtigt die folgenden Einstellungen:

• Im Datencenter ausgeführte Services (HTTP, HTTPS, MAIL, ICMP, DB, DNS usw.)
• Signaturen zur Erkennung bösartiger Aktivitäten
• Signaturen zur Erkennung von Netzwerk- / Service-Scans
• Signaturen zur Erkennung von DOS- und DDOS-basierten Angriffen

Workflow zum Erstellen von IDP-Richtlinien und zum Durchsetzen der Richtlinien.

So klonen Sie eine vordefinierte Richtlinie:

1. Gehen Sie zu SRX > Sicherheit Subscription > IPS > IPS Profiles.
2. Wählen Sie die vordefinierte Richtlinie zum Klonen aus.
3. Klicken Sie auf Mehr und wählen Sie dann Klonen aus.
4. Geben Sie einen neuen Richtliniennamen ein.

In diesem JVD haben wir die Richtlinie CS-To-Web-Protection-Rules genannt und einige Regeln hinzugefügt, die dem Server-to-Client-Schutz Rechnung tragen.

Sobald eine neue IPS-Regel hinzugefügt wurde, aktualisieren Sie Folgendes:

1. Name der IPS-Regel.
2. Fügen Sie neue IDP-Signaturen hinzu.
3. Wählen Sie Aktion aus, wenn eine Bedrohung erkannt wird.
4. Optional. Erkannte Angriffe protokollieren.
5. IPS-Regeln verfügen auch über erweiterte Optionen, um IP-Aktionen bei erkannten Angriffen zu aktivieren.

Hinweis:

Jede hinzugefügte Signatur enthält eine empfohlene Aktion, die bei Erkennung ausgeführt werden soll. Sie können die Aktion als Empfohlen festlegen. Weitere Informationen zu den Signaturen und der empfohlenen Aktion finden Sie unter: https://threatlabs.juniper.net/home/search/#/list/ips?page_number=1&page_size=20

Nachdem das IPS-Profil und die Regeln erstellt wurden, erzwingen Sie das IPS-Profil für eine Sicherheitsrichtlinie:

1. Klicken Sie auf die Firewall-Regel, bei der IPS aktiviert werden muss.
2. Klicken Sie auf Sicherheit-Abonnements.
3. Verwenden Sie entweder die globalen Optionen und aktivieren Sie nur den IPS-Schalter oder klicken Sie auf Anpassen , um eine neue Richtlinie auszuwählen.

Sie können die globalen Optionen auf der Hauptseite der SRX-Richtlinie festlegen.

SecIntel Konfiguration

1. Wechseln Sie zu SRX > Sicherheit-Abonnements > SecIntel >-Profile.
2. Klicken Sie auf Erstellen.
3. Konfigurieren Sie die Profile für die erforderlichen Services.

So erstellen Sie Profilgruppen:

1. Wechseln Sie zu SRX > Sicherheit-Abonnements > SecIntel >Profilgruppen.
2. Klicken Sie auf + , um eine neue Profilgruppe zu erstellen.

Als letzten Schritt aktivieren wir die SecIntel-Profilgruppe in einer Sicherheitsrichtlinie, die die Erkennung und Behebung von SecIntel-Profilen basierend auf der Reputation erzwingt.

So aktivieren Sie die SecIntel-Profilgruppe in einer Sicherheitsrichtlinie:

1. Wechseln Sie zu SRX > Sicherheit Policy > SRX Policy.
2. Wählen Sie die Richtlinie aus, die Sie ändern möchten, und klicken Sie auf das Stiftsymbol.
3. Bearbeiten Sie die Richtlinie, um die SecIntel-Profilgruppe zu aktivieren, oder klicken Sie auf Neu erstellen , um ein anderes Profil auszuwählen.

Erweiterte Anti-Malware

1. Wechseln Sie zu SRX > Sicherheit-Abonnements > Anti-Malware.
2. Klicken Sie auf +.
3. Konfigurieren Sie die Protokolle, die Sie aktivieren müssen, und klicken Sie auf OK , um das AAMW-Profil zu speichern.

Das erstellte AAMW-Profil ist in einer Sicherheitsrichtlinie konfiguriert.

DNS-Sicherheit

Die DNS-Sicherheit wird in zwei Phasen konfiguriert:

• Aktivieren der SecIntel-Phase, die im Abschnitt SecIntel behandelt wird.
• Aktivieren von DNS-Kernsicherheitsfeatures wie DNS DGA und DNS-Tunneling, die in diesem Abschnitt behandelt werden.

Um die DNS-Sicherheit zu aktivieren, folgen Sie dem Pfad zum Konfigurieren der Einstellungen in der Juniper Security Director Cloud:

1. Wechseln Sie zu SRX > Geräteverwaltung > Geräte.
2. Klicken Sie auf das Gerät, auf dem wir die DNS-Sicherheit konfigurieren möchten.
3. Klicken Sie auf Junos Detaillierte Konfigurationen.
4. Geben Sie die DNS-Filterung in den Suchbereich ein.
5. Wählen Sie Dienste > DNS-Filterung aus.
6. Geben Sie die Details ein.
7. Klicken Sie auf Speichern , wenn Sie fertig sind.
8. Optional. Klicken Sie auf Vorschau , wenn Sie die gespeicherte Konfiguration anzeigen möchten.
9. Klicken Sie auf Bereitstellen , um die Konfiguration auf dem Gerät bereitzustellen.

Hinweis:

Sie können jederzeit alle Konfigurationsabschnitte abschließen und speichern, bevor Sie die endgültige Konfiguration bereitstellen.

Diese Konfiguration ist auch für die Implementierung von IoT-Sicherheit identisch.

Konfigurieren wir die wichtigsten DNS-Sicherheitsfunktionen:

1. Geben Sie Metadaten in den Suchbereich ein.
2. Wählen Sie Dienste > Sicherheit Metadaten-Streaming aus.
3. Klicken Sie hier, um mit dem Konfigurationsabschnitt fortzufahren.
4. Klicken Sie auf + , um die Konfiguration der DNS-Metadaten zu aktivieren.
5. Klicken Sie auf Speichern , wenn Sie fertig sind.
6. Optional. Klicken Sie auf Vorschau , wenn Sie die gespeicherte Konfiguration anzeigen möchten.
7. Klicken Sie auf Bereitstellen , um die Konfiguration auf dem Gerät bereitzustellen.

Hinweis:

Stellen Sie sicher, dass Sie die Konfiguration speichern und bereitstellen, sobald sie abgeschlossen ist.

Verwenden Sie die CLI, um die Metadaten-Streamingrichtlinie für ein Zonenpaar zu konfigurieren und DNS-Sicherheitseinstellungen durchzusetzen.

Stellen Sie sicher, dass die Konfiguration bereitgestellt wird, bevor Sie die nächsten Schritte über die CLI konfigurieren.

Sicherheits-Bildschirme

So konfigurieren Sie die Option "Sicherheits-IDS-Bildschirm" in der Juniper Security Director Cloud:

1. Wechseln Sie zu SRX > Geräteverwaltung > Geräte.
2. Klicken Sie auf das Gerät.
3. Klicken Sie Junos detaillierte Konfigurationen.
4. Suchen Sie nach Bildschirmen.
5. Wählen Sie Sicherheit > Bildschirm aus.
6. Klicken Sie auf + , um ein neues Profil hinzuzufügen.
   Abbildung 39: Konfiguration der Bildschirme von Juniper Security Director Cloud
   Abbildung 40: Juniper Security Director Cloud – Screens-Flood-Angriffsoptionen
7. Klicken Sie auf OK , um die Bildschirmkonfiguration zu speichern, sobald die gewünschte Konfiguration abgeschlossen ist.
8. Klicken Sie auf Zonen , um den Bildschirm für eine bestimmte Zone zu erzwingen.
   Abbildung 41: Juniper Security Director Cloud – Zuweisen von Bildschirmoptionen zu Zone
9. Klicken Sie auf OK , um die Konfiguration zu speichern, sobald die neue Bildschirmkonfiguration auf die Zone angewendet wurde.
10. Klicken Sie auf Bereitstellen , um die Konfiguration auf dem Gerät bereitzustellen.

Reverse-SSL-Proxy

Da sich das Anwendungsszenario für eine Firewall der nächsten Generation in Datencentern auf den Schutz interner Ressourcen wie Webserver konzentriert, können wir optional SSL-Reverse-Proxy implementieren. SSL-Reverse-Proxy stellt sicher, dass erweiterte Dienste auf entschlüsselten Webserver-Datenverkehr angewendet und überprüft werden, bevor die Firewall verlassen wird, um an die Webserver-Ressourcen zu gelangen.

Die Erstellung der Webserver-Zertifikate wird in diesem Abschnitt nicht behandelt. Sie müssen dieses Zertifikat in die Cloud von Juniper Security Director importieren. Dieses Zertifikat wird beim Erstellen des SSL-Proxyprofils verwendet.

So erstellen Sie das SSL-Reverseproxyprofil:

1. Webserver-Zertifikate importieren.
2. Erstellen Sie das SSL-Reverseproxyprofil.
3. Wechseln Sie zu SRX > Sicherheit Abonnements > Profile entschlüsseln.
4. Klicken Sie auf + , um ein neues Profil hinzuzufügen.

Fügen Sie das Profil in eine Firewallregel zur Durchsetzung ein:

1. Wechseln Sie zu SRX > Sicherheit Policy > SRX Policy.
2. Klicken Sie auf + , um eine neue Firewall-Regel hinzuzufügen.
3. Geben Sie Quellzone und Quelladresse ein.
4. Zielzone und Zieladresse eingeben.
5. Wählen SieDienste und Anwendungen aus.
6. Wählen Sie unter Sicherheitsabonnements die Option Erweiterte Dienste aus, die aktiviert werden müssen. In diesem Beispiel wird IPS ausgewählt.
7. Wählen Sie das im vorherigen Schritt erstellte SSL-Reverseproxyprofil aus.

Validierung der Firewall-Lösung der nächsten Generation im Datencenter

Die Konfiguration bietet erweiterte Sicherheitsservices in Datencenter-Umgebungen mit Firewalls der nächsten Generation. In diesem Abschnitt konzentrieren wir uns auf die Validierung der Lösung, die mit diesem JVD implementiert wird.

Beginnen wir mit dem Juniper Security Director Cloud-Dashboard, das bei der Anmeldung die Startseite bildet. Die Dashboard-Seite bietet durch verschiedene leicht verfügbare Widgets eine Landschaft der Geschehnisse in der Umgebung.

Die Seite >Protokolle > Sitzung überwachen bietet eine Momentaufnahme des Datenverkehrsflusses durch die Umgebung. Mithilfe der Seite "Sitzung" können Sie Informationen basierend auf verschiedenen Optionen filtern, die auf der Seite bereitgestellt werden.

Tabelle 1: Filteroptionen

Filteroptionen	Beschreibung
	Verwenden Sie Erweiterten Filter anzeigen , um die Protokolle zu durchsuchen. Alle Ereignisfelder werden verwendet, um die Suche zu durchlaufen.
	Verwenden Sie Gruppieren nach , um die Protokolle basierend auf vordefinierten Feldern zu sortieren. Was in den nächsten Screenshots gezeigt wird.

Die Seite "Alle Sicherheitsereignisse" enthält Details zu allen vom Gerät empfangenen Sicherheitsereignissen.

Die Seite "Bedrohungen" konzentriert sich nur auf die in der Umgebung identifizierten Bedrohungen.

Validierung der Anwendungs-Sicherheit

Gruppierte Anwendungen bieten einen Überblick über identifizierte Anwendungen aus dem Datenverkehr, den die Firewall verarbeitet hat.

Die Gruppierung mit geschachtelten Anwendungen liefert Informationen zu den tatsächlichen Anwendungen, die die Anwendungen verwenden, wie in Abbildung 49 dargestellt.

Validierung von IDP-Funktionen

Die Seite "Bedrohungen" enthält Informationen zu den erkannten IDP-Angriffen in der Umgebung. Sie können auch die detaillierten Informationen zu den folgenden Themen anzeigen:

• Quell- und Zielzone
• Quell- und Ziel-IP-Adressen
• IDP-Richtlinie und -Regel, die die Erkennung ausgelöst hat
• Erkannter Angriff und dessen Schweregrad
• Maßnahmen, die auf den erkannten Angriff ergriffen wurden

IDP – Detailinformationen

SecIntel Feature-Validierung

SecIntel-Feeds, die auf die Firewall-Richtlinie angewendet werden, generieren Protokolle, wenn der Datenverkehr der konfigurierten Risikostufe entspricht.

Die Detailansicht zeigt Informationen zur Kategorie und zur SecIntel-Richtlinie, die die Aktion erzwungen hat, einschließlich Quelle, Ziel und entsprechender Zonen.

Das Advanced Threat Prevention-Dashboard enthält auch Details zu dem Client, der den Datenverkehr eingeleitet hat, sowie den Verlauf des Ereignisses.

Erweiterte Validierung von Anti-Malware-Funktionen

Die konfigurierte AAMW-Richtlinie kann je nach identifiziertem Protokoll zu mehreren Protokollen führen. Einige Schlüsselprotokolle enthalten Informationen über die von AAMW erzwungene Aktion.

Tabelle 2: Erweiterte Anti-Malware-Protokolle

Protokoll-Informationen	Beschreibung
AAMW_ACTION_LOG	Die Maßnahmen wurden auf der Grundlage des Urteils auf der Grundlage des Sandboxing-Ergebnisses der Juniper ATP Cloud und des definierten Risikoprofils auf der Firewall der SRX-Serie ergriffen.
AAMW_HOST_INFECTED_EVENT_LOG	Wenn das gefundene Urteil bösartig ist, wird das mit dem Host infizierte Ereignisprotokoll generiert.
AAMW_MALWARE_EVENT_LOG	Wenn das Urteil als Ergebnis des Sandboxings bösartig ist, wird das Malware-Ereignisprotokoll generiert.

Die Ansicht "ATP infiziert" enthält die folgenden Details:

• Indicators of Compromise (IOC).
• Statische Analyse der identifizierten bösartigen Datei.
• Verhaltensanalyse zur Identifizierung wichtiger Verhaltensweisen auf der Grundlage der zugewiesenen Bedrohungsstufe, um abzuleiten, wie bösartig die identifizierte Datei ist.
• Netzwerkaktivität liefert Details zu den während des Sandboxings identifizierten Malware-Aktivitäten.
• Verhaltensdetails beschreiben die während des Sandboxings identifizierten Verhaltensschritte.

Validierung der DNS-Sicherheitsfunktionen

DNS-Sicherheitsprotokolle werden basierend auf den einzelnen DNS-Sicherheitsfunktionen wie DGA und DNS-Tunneling generiert, wenn sich ein identifizierter DNS-Datenverkehr als bösartig erweist, werden entsprechende Protokolle generiert.

Tabelle 3: DNS-Sicherheitsprotokolle

Protokoll-Informationen	Beschreibung
SMS_STREAMING	Das Protokoll wird für DNS REQ generiert, wenn das "Benachrichtigungsprotokoll" unter allen Erkennungen (DGA, Tunneling und alle) konfiguriert ist.
SMS_CLEAN_VERDICT	Das Protokoll wird generiert, wenn das Cloud-Urteil "sauber" ist und "Benachrichtigungsprotokollerkennung" unter allen Erkennungen (DGA und alle) konfiguriert ist.
SMS_MALICIOUS_VERDICT	Ein Protokoll wird generiert, wenn das Urteil der Cloud böswillig ist oder Tunneling erkannt wird, und die "Benachrichtigungsprotokollerkennung" ist unter allen Erkennungen (DGA, Tunneling und alle) konfiguriert.
SMS_FALLBACK_EVENT	Das Protokoll wird generiert, wenn das Cloud-Urteil nicht im Urteils-Timeout-Intervall empfangen wird. Das Protokoll wird nur generiert, wenn das "Fallback-options notification log" unter einer beliebigen Erkennung (DGA, Tunneling und alle) konfiguriert ist.

Neben den generierten Protokollen können Sie auch die Details zu Straftaten im Abschnitt "Advanced Threat Prevention" anzeigen, der Informationen zu Folgendem enthält:

• Client, der die Offense ausgelöst hat.
• Details zur Straftat, wenn es sich um DGA- oder DNS-Tunneling handelt.
• Informationen über das IOC und Exfiltrationsversuche.

.

Screens-Funktionsvalidierung

IP-Spoofing

SYN-Flood – (Quell- und Zielgrenzwerte anwenden)

.

Reverse-SSL-Proxy-Validierung

Der Reverse-SSL-Proxy ermöglicht die Entschlüsselung von spezifischem Datenverkehr, der für einen Webserver bestimmt ist, um den Datenverkehr erweiterten Sicherheitsdiensten zu unterziehen.

Nach der Anwendung auf eine Sicherheitsrichtlinie werden Sie mehrere Protokolle bemerken, die die Aktion definieren können, die der SSL-Proxy ausführt.

Tabelle 4: Reverse-SSL-Proxy-Protokolle

Protokoll-Informationen	Beschreibung
SSL_PROXY_SSL_SESSION_DROP	Das Protokoll wird generiert, wenn der SSL-Proxy eine Sitzung verwirft.
SSL_PROXY_SSL_SESSION_ALLOW	Das Protokoll wird generiert, wenn die SSL-Sitzung vom SSL-Proxy verarbeitet wird, auch wenn kleinere Fehler aufgetreten sind.
SSL_PROXY_SESSION_IGNORE	Das Protokoll wird generiert, nachdem Nicht-SSL-Sitzungen erkannt wurden, die zunächst fälschlicherweise als SSL-Sitzungen angesehen werden.
SSL_PROXY_SESSION_WHITELIST	Das Protokoll wird generiert, wenn eine SSL-Proxy-Sitzung auf die Whitelist gesetzt wird.
SSL_PROXY_ERROR	Für die Meldung von Fehlern während des SSL-Proxys wird ein Protokoll erstellt.
SSL_PROXY_WARNING	Ein Protokoll wird für das Melden von Warnungen während des SSL-Proxys erstellt.
SSL_PROXY_INFO	Ein Protokoll wird für die Berichterstellung allgemeiner Informationen während des SSL-Proxys erstellt.