Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

stratégies IDP de sécurité

La stratégie Junos OS détection et prévention d'intrusion (IDP) vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau transitant par IDP périphérique connecté. Il vous permet de définir des règles de stratégies pour correspondre à une section du trafic en fonction d’une zone, d’un réseau et d’une application, puis de prendre des mesures préventives actives ou passives sur ce trafic.

Pour plus d’informations, consultez les rubriques suivantes:

Présentation IDP stratégies de sécurité

Une IDP définit la façon dont votre équipement gère le trafic réseau. Elle vous permet d’appliquer diverses techniques de détection et de prévention des attaques sur le trafic traversant votre réseau.

Une politique est faite de rule bases, et chaque base de règles contient un ensemble de rules. Vous définissez les paramètres des règles, tels que les conditions de correspondance du trafic, l’action et les exigences de journalisation, puis ajoutez les règles aux bases de règles. Après avoir créé une règle IDP en ajoutant des règles dans une ou plusieurs bases de règles, vous pouvez sélectionner cette stratégie comme stratégie active sur votre équipement.

Junos OS vous permet de configurer et d’appliquer plusieurs stratégies IDP sécurité. Depuis les 15.1X49-D20 de publication Junos OS et Junos OS version 17.3R1, la validation des configurations est effectuée pour la stratégie IDP qui est configurée comme une stratégie active. Vous pouvez installer la même stratégie de IDP sur plusieurs équipements IDP, ou installer une stratégie de sécurité unique sur chaque équipement de votre réseau. Une seule stratégie ne contient qu’une seule instance de tout type de base de règles.

Note:

La IDP activée par défaut. Aucune licence n’est requise. Les attaques personnalisées et les groupes d’attaque personnalisés dans IDP stratégies peuvent également être configurés et installés même lorsqu’une licence et une base de données de signatures valides ne sont pas installées sur l’équipement.

À partir de Junos OS Version 18.4R1, lors du chargement d’une nouvelle stratégie de IDP, les sessions existantes sont inspectées à l’aide de la stratégie récemment chargée et les sessions existantes ne sont pas ignorées pour le traitement IDP.

La liste suivante décrit les modifications apportées IDP inspection des sessions existantes après le chargement d’une nouvelle stratégie:

  • Signatures basées sur les paquets: l IDP de sécurité se poursuit pour les attaques basées sur les paquets avec la nouvelle stratégie IDP sécurité.

  • Signatures basées sur les flux: l’inspection des flux IDP se poursuit pour les attaques basées sur le flux provenant de la nouvelle stratégie IDP, avec en fin de compte un temps de compensation inférieur au nombre d’octets transmis pour ce flux.

  • Signatures basées sur le contexte: l’inspection de IDP se poursuit pour les attaques basées sur le contexte créées par le détecteur après le chargement d’une nouvelle stratégie IDP, à l’exception de la nouvelle stratégie chargée avec le nouveau détecteur.

Les stratégies de IDP suivantes sont prise en charge:

  • DMZ_services

  • DNS_Services

  • File_Server

  • Getting_Started

  • IDP_par défaut

  • Recommandé

  • Web_Server

Vous pouvez effectuer les tâches suivantes pour gérer les stratégies IDP sécurité:

  • Créez de nouvelles stratégies IDP de A à Z. Voir l’exemple: Définir des règles pour une IDP IPS base de règles.

  • Créez une stratégie IDP à partir de l’un des modèles prédéfin conçus par Juniper Networks (voir Understanding Predefined IDP Policy Templates).

  • Ajoutez ou supprimez des règles dans une base de règles. Vous pouvez utiliser l’un des objets d’IDP suivants pour créer des règles:

    • zone

      Note:

      Vous pouvez configurer l’adresse source et l’adresse source, à l’exception des adresses lorsque la zone d’origine est une adresse, et de même avoir l’adresse de destination et l’adresse de destination, à l’exception des adresses lorsque la zone est une adresse quelconque.

    • Objets réseau disponibles dans le système de base

    • Objets de services prédéfins fournis par Juniper Networks

    • Objets d’applications personnalisés

    • Objets d’attaque prédéfinus fournis par Juniper Networks

  • Création d’objets d’attaque personnalisés (voir Exemple: Configurer IDP attaques basées sur les signatures ).

  • Mettez à jour la base de données de signatures fournie par Juniper Networks. Cette base de données contient tous les objets prédéfinés.

  • Maintenez plusieurs stratégies IDP de sécurité. N’importe quelle stratégie peut être appliquée à l’équipement.

Les stratégies IDP pour chaque système logique utilisateur sont compilées et stockées sur la mémoire du plan de données. Pour estimer la mémoire suffisante du plan de données pour une configuration, prenons les deux facteurs suivants:

  • IDP stratégies appliquées à chaque système logique utilisateur sont considérées comme des instances uniques, car l’ID et les zones de chaque système logique utilisateur sont différents. Les estimations doivent prendre en compte les besoins de mémoire combinés pour tous les systèmes logiques utilisateur.

  • À mesure que la base de données des applications augmente, la compilation des stratégies nécessite plus de mémoire. L’utilisation de la mémoire doit être conservée en-dessous de la mémoire du plan de données disponible pour permettre l’augmentation de la base de données.

Compréhension de IDP des stratégies unifiées en matière de stratégies unifiées

Avec le soutien de IDP politique de sécurité unifiée:

  • IDP stratégie de sécurité est activée à l’aide de la set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy <idp-policy-name> commande.

  • Lorsque la stratégie de IDP est mise à disposition dans le cadre de la stratégie de sécurité unifiée, toutes les correspondances IDP seront gérées au sein de la stratégie unifiée, sauf si la source, la destination ou l’application explicites sont définies (stratégie traditionnelle).

  • Vous pouvez également configurer les conditions de correspondance dans IDP pour obtenir une granularité d’inspection supplémentaire.

  • La configuration de l’adresse source ou de destination, de la source et de la destination, à l’exception, de et vers la zone, ou de l’application, n’est pas requise avec une stratégie unifiée, car la correspondance se produit dans la stratégie de sécurité elle-même.

  • L’application de couche 7 peut être modifiée au cours d’une durée de vie de session et cette modification d’application peut conduire à désactiver IDP service de la session.

  • La correspondance initiale avec la stratégie de sécurité peut entraîner une ou plusieurs correspondances de stratégie. Dans le cadre d’un contrôle IDP d’IDP de session, une stratégie de sécurité est active si une stratégie de sécurité est présente dans l’une des règles ci-après.

Si vous avez configuré une stratégie de sécurité traditionnelle (avec une condition de correspondance de 5 tuples ou une application dynamique configurée comme aucune) et une stratégie unifiée (avec une condition de correspondance de 6 tuple), la stratégie de sécurité traditionnelle correspond d’abord au trafic, avant la stratégie unifiée.

Lorsque vous configurez une stratégie unifiée avec une application dynamique dans l’une des conditions de correspondance, cette configuration élimine les étapes supplémentaires à suivre pour IDP configuration de la stratégie. Toutes les configurations de stratégies d’IDP sont gérées dans le cadre de la stratégie de sécurité unifiée et simplifient la configuration d’une stratégie IDP afin de détecter toute attaque ou intrusion sur une session donnée.

Comprendre les stratégies multi IDP pour des stratégies unifiées

Lorsque les équipements de sécurité sont configurés avec des stratégies unifiées, vous pouvez configurer plusieurs stratégies de sécurité IDP et définir l’une de ces stratégies comme stratégie de sécurité par IDP par défaut

Si plusieurs stratégies IDP sont configurées pour une session et lorsqu’un conflit de stratégie survient, l’équipement applique la stratégie de IDP par défaut pour cette session et résout ainsi les conflits de stratégies.

Note:

Si vous avez configuré deux stratégies de sécurité ou plus IDP dans une stratégie de sécurité unifiée, alors vous devez configurer la stratégie d’IDP par défaut.

Pour configurer la stratégie IDP en tant que stratégie par défaut, utilisez la set security idp default-policy policy-name commande.

La phase initiale de recherche de la stratégie de sécurité, qui se passe avant l’identification d’une application dynamique, peut entraîner plusieurs correspondances entre les stratégies. IDP est activée sur la session si au moins une des stratégies de sécurité correspondances a IDP configurée.

Si une seule IDP est configurée dans la liste de stratégies potentielle, celle-IDP est appliquée à la session.

Si plusieurs stratégies de IDP sont configurées pour une session dans la liste de stratégies potentielle, l’équipement applique la stratégie d’IDP qui est configurée comme étant la stratégie de sécurité IDP par défaut.

Une fois que les applications dynamiques sont identifiées pour une session, si la stratégie de IDP correspond à une stratégie configurée autre que la stratégie IDP par défaut, une re-dynamique des stratégies est effectuée et la stratégie IDP configurée pour la stratégie de correspondance finale est appliquée.

Si la stratégie de sécurité correspond à la dernière stratégie de sécurité applique la même stratégie de sécurité IDP qui a été configurée lors de la recherche initiale des stratégies de sécurité IDP, alors cette stratégie de sécurité est appliquée pour la session.

Si la stratégie de sécurité correspond à la dernière stratégie de sécurité ne comprend pas de stratégie de sécurité IDP, le traitement IDP est désactivé pour la session.

Avantages de plusieurs stratégies de IDP et de la configuration IDP par défaut pour les stratégies unifiées

  • Offre la flexibilité nécessaire pour maintenir et utiliser plusieurs stratégies IDP sécurité.

  • Gère les conflits de stratégies en utilisant la configuration IDP stratégie par défaut.

IDP stratégies unifiées pour la sélection des stratégies unifiées

Ce sujet fournit des détails sur la sélection IDP stratégies unifiées pour des stratégies unifiées.

IDP de stratégies avec une stratégie de sécurité IDP unique

Lorsqu’une stratégie de sécurité est traitée pour une session, la correspondance initiale de la stratégie de sécurité peut entraîner des correspondances de stratégie unique ou multiples. Si le cache d’application est présent, la correspondance de la stratégie entraîne la correspondance de la stratégie unique.

Dans le cadre du contrôle d’intérêt de session, l’IDP est activée si une stratégie de sécurité IDP est présente dans l’une des règles ci-après.

Une fois l’identification dynamique des applications effectuée, la stratégie de sécurité effectue un re-examen des stratégies. Les services d’application de couche 7 (IDP) sont informés de leur désactivation si l’IDP n’est pas configurée sur la stratégie de correspondance finale. La stratégie de IDP étant mise à disposition dans le cadre de la stratégie de sécurité unifiée, toutes les correspondances entre les IDP sont gérées au sein de la stratégie unifiée, sauf si la source, la destination ou l’application explicites sont définies (stratégie traditionnelle). La configuration de l’adresse source ou de destination, de la source et de la destination, à l’exception, de et vers la zone, ou de l’application, n’est pas requise avec une stratégie unifiée, car la correspondance se produit dans la stratégie de sécurité elle-même. Le tableau 1 illustre un exemple de choix IDP stratégie de sécurité dans une stratégie de sécurité.

Les figures 1 et 2 fournissent les détails du flux de travail pour la sélection de stratégies de sécurité unifiées IDP et multiples pour des stratégies unifiées.

adresse
Tableau 1: Exemple de sélection de stratégie au sein d’une stratégie de sécurité
Stratégie de sécurité Adresse source adresse source de destination Adresse de destination Stratégies de service d’application dynamiques pour les applications

P1

Dans

10.1.1.1

Sortie

Tout

HTTP (EN ANGLAIS)

IDP

Recommandé

P2

Dans

10.1.1.1

Sortie

Tout

GMAIL

UTM

utm_policy_1

Figure 1: IDP pour le premier chemin de flux IDP Processing for Flow First Path
Figure 2: traitement IDP après l’examen final des polices IDP Processing After Final Policy Lookup

IDP de polices avec plusieurs stratégies IDP sécurité

Si plusieurs stratégies sont présentes dans la liste de stratégies potentielles avec différentes stratégies d’IDP, alors l’équipement applique la règle IDP qui est configurée comme stratégie de sécurité par IDP par défaut.

Une fois les applications dynamiques identifiées, si la stratégie de IDP correspond à la dernière stratégie configurée qui sont différentes de la stratégie IDP par défaut, une nouvelle recherche de stratégie est effectuée et la stratégie IDP configurée pour la stratégie de correspondance finale est appliquée.

Si la stratégie de sécurité correspond à la dernière stratégie de sécurité ne comprend pas de stratégie de sécurité IDP, le traitement IDP est désactivé pour la session.

pour applications
Tableau 2: Exemple de sélection de stratégie au sein d’une stratégie de sécurité
Stratégie Adresse source de l’adresse source adresse de destination Adresse de destination Stratégies de service d’application dynamiquesles

P1

Dans

10.1.1.1

Sortie

Tout

HTTP (EN ANGLAIS)

IDP

Recommandé

P2

Dans

10.1.1.1

Sortie

Tout

GMAIL

UTM

utm_policy_1

P3

Dans

Tout

Sortie

Tout

GMAIL

IDP

idpengine

Prenons l’exemple de stratégies de sécurité configurées pour une session:

  • If security policy P1 and policy P3 match for a session

    IDP un conflit entre les stratégies est observé. Ainsi, la IDP de sécurité configurée en tant que stratégie de sécurité par IDP est appliquée dans ce cas.

    Après la dernière correspondance entre les stratégies de sécurité, IDP une nouvelle recherche des stratégies est effectuée en fonction IDP stratégies de sécurité. Si la dernière stratégie de sécurité appliquée correspond à la stratégie P1, une stratégie de sécurité IDP nommée est appliquée pour la session.

  • If security policy P1 and policy P2 match for a session

    Comme une seule stratégie de sécurité IDP est configurée dans les stratégies de sécurité correspondances, IDP qui est nommée recommandée est appliquée à la session.

    Si la stratégie de sécurité correspond à la dernière stratégie P1, l’inspection de session continue d’IDP stratégie nommée recommandée. Si la stratégie de sécurité correspond à la dernière stratégie de sécurité P2, IDP désactivée et ignore la session.

Exemple: Configuration de plusieurs stratégies IDP et d’une stratégie de IDP par défaut pour les stratégies de sécurité unifiées

Pour que le trafic en transit passe par l’inspection IDP, vous configurez une stratégie de sécurité et activez IDP services d’applications sur tout le trafic que vous souhaitez inspecter.

Cet exemple montre comment configurer une stratégie de sécurité pour activer pour la première fois IDP services de sécurité sur le trafic de l’équipement.

Exigences

Avant de commencer, installez ou vérifiez une IDP de fonctionnalités de contrôle.

Cet exemple utilise les composants matériels et logiciels suivants:

  • Un équipement SRX Series de sécurité.

  • Junos OS version ultérieure 18.3R1 version ultérieure.

Note:

Cet exemple de configuration a été testé sur un SRX1500 exécutant Junos OS version 18.3R1. Cependant, vous pouvez utiliser la même configuration sur les équipements de SRX300, SRX550M, SRX4100, SRX4200 et SRX5000, à l’aide des dernières Junos OS.

Aperçu

Dans cet exemple, vous configurez deux stratégies de sécurité pour permettre aux SRX1500 services IDP d’inspecter l’ensemble du trafic depuis la zone de confiance vers la zone non protégée.

Dans un premier temps, vous devez télécharger et installer la base de données de signatures à partir Juniper Networks site Web. Ensuite, téléchargez et installez les modèles de stratégies prédéfin IDP et activez la stratégie prédéfinée « Recommandé » comme stratégie active.

Dans la version 18.2 ci-dessous du SRX, un seul nom de stratégie peut être utilisé pour toutes les règles de pare-feu et toutes les versions IDP actives des stratégies de sécurité.

Depuis Junos SRX 18.2, le style set security idp active-policy de stratégie traditionnel qui n’utilisait qu’un seul nom de stratégie IDP de toutes les règles de pare-feu a été dépréprécié.

Le style de configuration utilise plutôt le même pour les stratégies traditionnelles que pour les stratégies unifiées en faisant référence à IDP stratégie de sécurité est gérée dans la commande Stratégies de set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name sécurité.

Ensuite, vous devez créer deux stratégies de sécurité, de la zone de confiance à la zone non protégée, et spécifier les actions à prendre sur le trafic qui correspond aux conditions spécifiées dans les stratégies.

Configuration

Procédure

CLI configuration rapide

CLI configuration rapide n’est pas disponible pour cet exemple, car une intervention manuelle est requise pendant la configuration.

Procédure étape par étape
  1. Créez deux stratégies de sécurité pour le trafic de la zone de confiance à la zone non protégée.

    Note:

    Notez les points suivants:

    • L’ordre des stratégies de sécurité sur l’équipement SRX Series est important parce que Junos OS effectue une recherche de stratégie en commençant en haut de la liste, et lorsque l’équipement trouve une correspondance pour le trafic reçu, il arrête la recherche de stratégie.

    • L’SRX Series vous permet d’activer le traitement IDP sur une stratégie de sécurité au lieu d’activer l’inspection approfondie IDP sur l’ensemble de l’équipement.

    • Une stratégie de sécurité identifie le trafic à envoyer au moteur IDP, puis le moteur de IDP applique l’inspection en fonction de son contenu. Le trafic qui correspond à une stratégie de sécurité dans laquelle IDP ne peut pas dérivations complètes IDP traitement. Le trafic qui correspond à une stratégie de sécurité indiquée pour le traitement IDP permet de IDP de sécurité configurée dans cette stratégie de sécurité particulière.

    Créez une stratégie de sécurité P1 avec une application dynamique comme critère de correspondance.

    Créez une stratégie de sécurité P2 avec une application dynamique comme critère de correspondance.

  2. Définissez les stratégies IDP que vous souhaitez configurer dans les stratégies de sécurité.

  3. Configurez les stratégies de IDP comme étapes dans les règles de stratégies IDP et les bases de règles IDP, puis configurez l’une des stratégies IDP (recommandée) comme stratégie de sécurité IDP par défaut.

  4. Confirmez la stratégie par défaut configurée sur votre équipement.

  5. Indiquez l’action à prendre sur le trafic qui correspond aux conditions spécifiées dans la stratégie de sécurité. L’action en matière de stratégie de sécurité doit être de permettre le flux.

Dans les versions SRX 18.3 et ultérieures, les stratégies de sécurité peuvent utiliser différentes stratégies de sécurité IDP, ce qui permet un traitement unique des règles IDP pour chaque stratégie de sécurité. Lorsque plusieurs IDP règles de sécurité sont utilisées sur les stratégies de sécurité, IDP une stratégie par défaut est requise pour être configurée.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.

Vérification

Vérification de la configuration IDP réseau

But

Vérifiez que la configuration IDP fonctionne correctement.

Action

À partir du mode opérationnel, saisissez la show security idp status commande.

Sens

La sortie de l’exemple montre la stratégie de sécurité prédéfin IDP recommandée comme stratégie active.

Exemple: Activer la IDP dans une stratégie de sécurité traditionnelle

Depuis Junos SRX 18.2, le style set security idp active-policy de stratégie traditionnel qui n’utilisait qu’un seul nom de stratégie IDP de toutes les règles de pare-feu a été dépréprécié.

Le style de configuration utilise plutôt le même pour les stratégies traditionnelles que pour les stratégies unifiées en faisant référence à IDP stratégie de sécurité est gérée dans la commande Stratégies de set security policies from-zone <zone-name> to-zone <zone-name> policy <policy-name> then permit application-services idp-policy idp-policy-name sécurité.

Cet exemple montre comment configurer deux stratégies de sécurité pour activer la circulation IDP services sur l’ensemble du trafic HTTP et HTTPS dans les deux directions d’un équipement de sécurité. Ce type de configuration peut être utilisé pour surveiller le trafic à l’origine et en provenance d’une zone sécurisée d’un réseau interne en tant que mesure de sécurité supplémentaire pour les communications confidentielles.

Note:

Ici, cela fait Zone2 partie du réseau interne.

Exigences

Avant de commencer:

Aperçu

Pour que le trafic en transit passe par l’inspection IDP, vous configurez une stratégie de sécurité et activez IDP services d’applications sur tout le trafic que vous souhaitez inspecter. Les stratégies de sécurité contiennent des règles qui définissent les types de trafic autorisés sur le réseau et la manière dont le trafic est traité à l’intérieur du réseau. L IDP dans une stratégie de sécurité dirige le trafic qui correspond aux critères spécifiés pour être contrôlé par rapport IDP bases de règles.

Note:

IDP activée par défaut. Aucune licence n’est requise. Des attaques personnalisées et des groupes d’attaque personnalisés dans IDP stratégies peuvent être configurées et installées même lorsqu’une licence et une base de données de signatures valides ne sont pas installées sur l’équipement.

Pour permettre au trafic de transit de passer sans inspection IDP, permit spécifiez une action pour la règle sans activer IDP services d’applications. Le trafic correspondant aux conditions de cette règle passe par l’équipement sans IDP’inspection approfondie.

Cet exemple montre comment configurer deux stratégies, idp-app-policy-1 et idp-app-policy-2, afin d’activer les services IDP sur tous les trafics HTTP et HTTPS qui circulent dans les deux directions de l’équipement. La stratégie idp-app-policy-1 dirige l’ensemble du trafic HTTP et HTTPS d’une zone 1 à une zone2 précédemment configurée pour être vérifié IDP bases de règles. La stratégie idp-app-policy-2 dirige l’ensemble du trafic HTTP et HTTPS d’une zone2 à une zone1 pour être contrôlé IDP bases de règles.

Note:

L’action définie dans la stratégie de sécurité doit être . permit Vous ne pouvez pas activer IDP du trafic que l’équipement refuse ou rejette.

Si vous avez configuré une stratégie de sécurité traditionnelle (avec une condition de correspondance de 5 tuples ou une application dynamique configurée comme aucune) et une stratégie unifiée (avec une condition de correspondance de 6 tuple), la stratégie de sécurité traditionnelle correspond d’abord au trafic, avant la stratégie unifiée.

Lorsque vous configurez une stratégie unifiée avec une application dynamique dans l’une des conditions de correspondance, cette configuration élimine les étapes supplémentaires de configuration, d’adresse source et de destination, de destination, sauf dans la zone ou l’application, en provenance et en zone. Toutes les configurations de stratégies d’IDP sont gérées dans le cadre de la stratégie de sécurité unifiée et simplifient la configuration d’une stratégie IDP afin de détecter toute attaque ou intrusion sur une session donnée. La configuration de l’adresse source ou de destination, de la source et de la destination, à l’exception, de et vers la zone, ou de l’application, n’est pas requise avec une stratégie unifiée, car la correspondance se produit dans la stratégie de sécurité elle-même.

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans l’CLI [edit] au niveau de la hiérarchie, commit puis entrez dans le mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour activer IDP services sur tous les flux de trafic HTTP et HTTPS dans les deux directions de l’équipement:

  1. Créez une stratégie de sécurité pour le trafic qui circule de la zone 1 à la zone 2 identifiée comme étant junos-http ou junos-https.

  2. Indiquez l’action à prendre sur le trafic zone 1 vers zone 2 qui correspond aux conditions spécifiées dans la stratégie.

  3. Créez une autre stratégie de sécurité pour le trafic qui circule dans la direction inverse identifiée comme étant junos-http ou junos-https.

  4. Indiquez l’action à prendre sur le trafic qui correspond aux conditions spécifiées dans cette politique.

  5. Configurez la stratégie active.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, exécutez cette tâche:

Vérification de la configuration

But

Vérifiez que la configuration de la stratégie de sécurité est correcte.

Action

À partir du mode opérationnel, saisissez la show security policies commande.

Vérification des IDP de compilation des stratégies et de l’état de la charge

But

Affichez les IDP journaux pour vérifier l’état IDP de charge de stratégie et de compilation. Lors de l’activation d’IDP de sécurité, vous pouvez afficher les journaux IDP et vérifier si la stratégie est chargée et compilée avec succès.

Action

Pour suivre la progression de la charge et de la compilation d’une stratégie IDP, configurez l’une ou les deux des stratégies suivantes dans le CLI:

  • Vous pouvez configurer un fichier journal dans /var/log/lequel vous vous trouverez et définir des indicateurs d’option de traçage pour enregistrer ces opérations:

  • Vous pouvez configurer votre équipement pour journaliser les messages journaux système à un fichier dans le /var/log répertoire:

Après avoir validation de la configuration dans le CLI, saisissez l’une des commandes suivantes à partir de l’invite de shell dans le shell de niveau UNIX:

Exemple de sortie

nom de commande

Exemple de sortie

nom de commande

Sens

Affiche les messages journaux montrant les procédures qui s’exécutent en arrière-plan après la validation de la set security idp active-policy commande. Cet exemple de sortie montre que la compilation des stratégies, la configuration du capteur et la charge des stratégies sont réussies.