Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Modèles prédéfinis de stratégie IDP

Cette rubrique fournit des conseils détaillés sur les modèles prédéfinis de stratégie IDP lors de la configuration et de l’utilisation des stratégies IDP dans Junos OS. Il comprend des instructions pour créer, personnaliser et gérer des modèles de stratégie afin de protéger l’infrastructure réseau contre diverses menaces de sécurité en identifiant et en atténuant le trafic malveillant.

Vous pouvez utiliser les modèles de stratégie prédéfinis comme point de départ pour créer vos propres stratégies. Les modèles aident les administrateurs à appliquer efficacement les meilleures pratiques de sécurité sans définir manuellement chaque règle, ce qui réduit le temps de configuration et minimise les erreurs humaines. Chaque modèle est un ensemble de règles d’un type de base de règles spécifique que vous pouvez copier puis mettre à jour en fonction de vos besoins.

Présentation des modèles de stratégie IDP prédéfinis

Des modèles de politiques prédéfinis sont disponibles dans le fichier sur un templates.xls site Web sécurisé de Juniper Networks. Pour commencer à utiliser un modèle, exécutez une commande à partir de l’interface de ligne de commande pour télécharger et copier ce fichier dans un /var/db/scripts/commit répertoire.

Chaque modèle de stratégie contient des règles qui utilisent les actions par défaut associées aux objets d’attaque. Vous devez personnaliser ces modèles pour qu’ils fonctionnent sur votre réseau en sélectionnant vos propres adresses source et de destination et en choisissant des actions IDP qui reflètent vos besoins en matière de sécurité.

Les modèles client/serveur sont conçus pour être faciles à utiliser et offrent des performances et une couverture équilibrées. Les modèles client/serveur incluent la protection du client, la protection du serveur et la protection du client/serveur.

Chacun des modèles client/serveur possède deux versions spécifiques à l’appareil : une version de 1 gigaoctet (Go) et une version de 2 Go.

Note:

Les versions de 1 gigaoctet étiquetées 1G ne doivent être utilisées que pour les appareils limités à 1 Go de mémoire. Si un appareil de 1 Go charge autre chose qu’une stratégie de 1 Go, il peut rencontrer des erreurs de compilation de stratégie en raison d’une mémoire limitée ou d’une couverture limitée. Si un appareil de 2 Go charge autre chose qu’une politique de 2 Go, sa couverture peut être limitée.

Utilisez ces modèles comme guide pour la création de stratégies. Nous vous recommandons de faire une copie de ces modèles et d’utiliser la copie (et non l’original) pour la stratégie. Cette approche vous permet d’apporter des modifications à la stratégie et d’éviter de futurs problèmes dus à des modifications apportées aux modèles de stratégie.

Le Tableau 1 récapitule les modèles prédéfinis de stratégie IDP fournis par Juniper Networks.

Tableau 1 : modèles prédéfinis de stratégie IDP

Nom du modèle

Description

Client-And-Server-Protection

Conçu pour protéger à la fois les clients et les serveurs. À utiliser sur les appareils à haute mémoire avec 2 Go ou plus de mémoire.

Client-And-Server-Protection-1G

Conçu pour protéger à la fois les clients et les serveurs. À utiliser sur tous les équipements, y compris les appareils de succursale à faible mémoire.

Client-Protection

Conçu pour protéger les clients. À utiliser sur les appareils à haute mémoire avec 2 Go ou plus de mémoire.

Client-Protection-1G

Conçu pour protéger les clients. À utiliser sur tous les équipements, y compris les appareils de succursale à faible mémoire.

DMZ Services

Protège un environnement typique d’une zone démilitarisée (DMZ).

DNS Server

Protège les services DNS (Domain Name System).

File Server

Protège les services de partage de fichiers, tels que NFS (Network File System), FTP et autres.

Getting Started

Contient des règles très ouvertes. Utile dans les environnements de laboratoire contrôlés, mais ne doit pas être déployé sur des réseaux actifs à fort trafic.

IDP Default

Contient un bon mélange de sécurité et de performances.

Recommended

Contient uniquement les objets d’attaque balisés par recommended Juniper Networks. La colonne Actions de toutes les règles est définie pour effectuer l’action recommandée pour chaque objet d’attaque.

Server-Protection

Conçu pour protéger les serveurs. À utiliser sur les appareils à haute mémoire avec 2 Go ou plus de mémoire.

Server-Protection-1G

Conçu pour protéger les serveurs. À utiliser sur tous les équipements, y compris les appareils de succursale à faible mémoire.

Web Server

Protège les serveurs HTTP des attaques à distance.

Pour utiliser des modèles de stratégie prédéfinis :

  1. Téléchargez les modèles de politiques sur le site Web de Juniper Networks.

  2. Installez les modèles de stratégie.

  3. Activez le fichier de templates.xls script. Les scripts de commit dans le /var/db/scripts/commit répertoire sont ignorés s’ils ne sont pas activés.

  4. Choisissez un modèle de stratégie qui vous convient et personnalisez-le si nécessaire.

  5. Activez la stratégie que vous souhaitez exécuter sur le système. L’activation de la stratégie peut prendre quelques minutes. Même après l’affichage d’un message de validation terminée dans l’interface de ligne de commande, le système peut continuer à compiler et à envoyer la stratégie vers le plan de données.

    Note:

    Il peut arriver que le processus de compilation échoue pour une stratégie. Dans ce cas, il est possible que la stratégie active affichée dans votre configuration ne corresponde pas à la politique réelle exécutée sur votre appareil. Exécutez la show security idp status commande pour vérifier la stratégie en cours d’exécution. En outre, vous pouvez afficher les fichiers journaux IDP pour vérifier le chargement de la stratégie et l’état de compilation.

  6. Supprimez ou désactivez le fichier de script de validation. En supprimant le fichier de script de validation, vous évitez le risque d’écraser les modifications apportées au modèle lorsque vous validez la configuration. La désactivation de l’instruction ajoute une balise inactive à l’instruction, ce qui a pour effet de commenter l’instruction à partir de la configuration. Les instructions marquées comme inactives ne prennent pas effet lorsque vous exécutez la commit commande.

Pour plus d’informations, voir https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490.

Téléchargement et utilisation de modèles prédéfinis de stratégie IDP (procédure CLI)

Avant de commencer, configurez les interfaces réseau. Reportez-vous au Guide de configuration des interfaces Junos OS pour les équipements de sécurité.

Pour télécharger et utiliser un modèle de stratégie prédéfini :

  1. Téléchargez le fichier de script templates.xsl dans le répertoire /var/db/idpd/sec-download/sub-download. Ce fichier de script contient des modèles de stratégie IDP prédéfinis.
  2. Copiez le fichier templates.xls dans le répertoire /var/db/scripts/commit et renommez-le templates.xsl.
  3. Activez le fichier de scripts templates.xsl. Au moment de la validation, le processus de gestion de Junos OS (mgd) recherche des scripts dans le répertoire /var/db/scripts/commit et exécute le script dans la base de données de configuration candidate pour s’assurer que la configuration est conforme aux règles dictées par les scripts.
  4. Validez la configuration. La validation de la configuration enregistre les modèles téléchargés dans la base de données de configuration de Junos OS et les rend disponibles dans la CLI au niveau de la [edit security idp idp-policy] hiérarchie.
  5. Consultez la liste des modèles téléchargés.
  6. Activez la stratégie prédéfinie. L’instruction suivante spécifie la Recommended stratégie IDP prédéfinie en tant que stratégie active :
  7. Supprimez ou désactivez le fichier de script de validation. En supprimant le fichier de script de validation, vous évitez le risque d’écraser les modifications apportées au modèle lorsque vous validez la configuration. Exécutez l’une des commandes suivantes :
  8. Si vous avez terminé de configurer l’appareil, validez la configuration.
  9. Vous pouvez vérifier la configuration à l’aide de la show security idp status commande. Pour plus d’informations, reportez-vous au Guide de référence de l’interface de ligne de commande Junos OS.

Documentation connexe