SUR CETTE PAGE

Télécharger et installer des licences IDP
Vérification de votre connexion au serveur de mise à jour
Télécharger le package de signature IDP
Installer le package de signature IDP
Télécharger et installer des modèles de stratégie IDP
Application de la stratégie IDP recommandée
Désactiver le fichier de script de validation
Activation de l’IDP dans une stratégie de sécurité

Configuration de base de l’IDP

Cette rubrique fournit des détails sur l’activation de l’IDP sur les pare-feu SRX Series. Il couvre les étapes clés telles que l’obtention des licences, le téléchargement des mises à jour de signature et l’application de stratégies prédéfinies. Le sujet met également en évidence la manière d’intégrer l’IDP aux politiques de sécurité pour une inspection efficace du trafic et une prévention des menaces.

Juniper Networks met régulièrement à disposition sur son site un fichier contenant les mises à jour de sa base de données d’attaques. Vous pouvez télécharger ce fichier pour protéger votre réseau contre les nouvelles menaces. Le package de sécurité, que vous pouvez télécharger sur le site de Juniper Networks, comprend également des modèles de stratégie IDP pour vous aider à implémenter cette stratégie sur votre plate-forme de sécurité Junos.

Les procédures décrites dans cette rubrique vous montrent comment télécharger et configurer la fonctionnalité IDP initiale sur votre pare-feu SRX Series.

Vous pouvez utiliser cette procédure pour votre pare-feu SRX Series exécutant Junos OS version 18.3R1. Cet exemple de configuration est testé avec Junos OS version 19.3R1.

Vous devez effectuer les étapes suivantes avant de configurer la fonctionnalité IDP sur un pare-feu SRX Series :

Télécharger et installer les licences
Vérifiez l’accès réseau à votre pare-feu SRX Series.
Télécharger et installer le package de signatures IDP (également appelé package de sécurité ou objets d’attaque)
Téléchargez des modèles de stratégie (facultatif).
Configurer la stratégie recommandée en tant que stratégie IDP (facultatif)
Activer l’inspection IDP dans une stratégie de sécurité

Télécharger et installer des licences IDP

Juniper Networks tient à jour une base de données de signatures d’attaques à utiliser avec la fonctionnalité IDP. Vous avez besoin d’une licence valide pour récupérer les mises à jour afin de télécharger et d’installer les mises à jour quotidiennes de la base de données de signatures fournies par Juniper Networks. La clé de licence de signature IDP ne prend pas en charge la période de grâce.

Pour plus d’informations sur les licences, reportez-vous à la section Clés de licence des fonctionnalités Junos OS.

Vérification de votre connexion au serveur de mise à jour

Vous devez connecter la plate-forme de sécurité Junos à Internet pour mettre à jour un périphérique directement.

Utilisez la commande de mode opérationnel suivante pour vérifier la connexion au serveur à partir de votre plate-forme de sécurité Junos.

Cette commande vérifie non seulement la connectivité réseau, mais fournit également la version de la base de données distante, ce qui est utile pour comparer les différences de version avec la sortie de la commande précédente.

Télécharger le package de signature IDP

Vous pouvez télécharger le package de sécurité Juniper Networks manuellement ou automatiquement à des intervalles de temps spécifiés. Les étapes suivantes illustrent les commandes du mode opérationnel pour télécharger le package de sécurité et vérifier l’état du téléchargement.

Téléchargez le package de sécurité.
Le téléchargement de la base de données peut prendre un certain temps en fonction de la taille de la base de données et de la vitesse de votre connexion Internet.

Vérifiez l’état de téléchargement du package de sécurité.

Installer le package de signature IDP

Une fois que vous avez terminé le téléchargement du package de signatures IDP, vous devez installer le package de signatures IDP avant que les signatures ne soient réellement utilisées dans une stratégie. Si une stratégie est déjà configurée, vous n’avez pas besoin de la valider à nouveau : l’installation des mises à jour les ajoute à la stratégie existante.

Installez le package de sécurité.
L’installation de la base de données d’attaque peut prendre un certain temps en fonction de la taille du package de sécurité.

Vérifiez l’état d’installation de la base de données d’attaque.

La sortie de la commande affiche des informations sur les versions téléchargées et installées de la base de données d’attaque.

Le système affiche le message suivant si aucune stratégie IDP active n’est configurée sur les appareils.

Télécharger et installer des modèles de stratégie IDP

Le téléchargement du package de signature IDP comprend divers modèles de stratégie. Une fois les modèles installés, vous pouvez les utiliser tels quels ou les personnaliser en fonction de votre environnement réseau.

Procédez comme suit pour télécharger et installer les derniers modèles de politiques fournis par Juniper Networks.

Téléchargez les modèles prédéfinis de stratégie IDP.

Vérifiez l’état de téléchargement du package de sécurité.

Installez les modèles de stratégie IDP.

Vérifiez la mise à jour de l’état de l’installation.

Application de la stratégie IDP recommandée

Junos OS télécharge les modèles de stratégie sous la forme d’un script de validation. Une fois que vous avez téléchargé et installé les modèles de stratégie, vous devez activer le script de validation du modèle avec les commandes du mode de configuration en procédant comme suit :

Activez le fichier de scripts templates.xsl .
Les modèles téléchargés sont enregistrés dans la base de données de configuration de Junos OS. Les modèles sont disponibles dans la CLI au niveau de la [edit security idp idp-policy] hiérarchie.
Vous devez valider la configuration pour activer un script de validation.

Affichez la liste des modèles téléchargés.

Activez la stratégie prédéfinie en tant que stratégie active. Dans cet exemple, vous utilisez la stratégie recommandée en tant que stratégie active.
La base de données de signatures IDP fournit des modèles pour une multitude de scénarios réseau. Pour plus d’informations, consultez Modèles prédéfinis de stratégie IDP.

Confirmez que la stratégie active est activée sur votre appareil.

Désactiver le fichier de script de validation

Nous vous recommandons de supprimer ou de désactiver le fichier de script de validation. En supprimant ou en désactivant le fichier de script de validation, vous pouvez éviter le risque d’écraser les modifications apportées aux stratégies prédéfinies (créées à l’aide des modèles) lorsque vous validez la configuration.

Pour supprimer ou désactiver le fichier de script de validation, procédez comme suit :

Activation de l’IDP dans une stratégie de sécurité

La dernière étape pour activer la stratégie IDP recommandée consiste à appliquer l’action IDP à une stratégie de sécurité.

Activez la stratégie de sécurité pour l’inspection IDP.

Validez les modifications une fois que vous avez terminé la configuration.

Vérifiez la configuration IDP dans la stratégie de sécurité à l’aide de la show security policies policy-name idp-policy-1 detail commande.

L’exemple de sortie confirme que vous avez activé IDP pour la stratégie de sécurité.

Vous pouvez maintenant procéder à la configuration d’autres stratégies IDP. Reportez-vous à la section Exemple : Configuration de plusieurs stratégies IDP et d’une stratégie IDP par défaut pour des stratégies de sécurité unifiées.