Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Cas d’usage 1 : Configurer une stratégie IPS dans une stratégie de pare-feu

Une stratégie de système de prévention d’intrusion (IPS) vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par un appareil compatible IPS. Dans cette section, vous allez apprendre à créer une stratégie IPS, puis à l’affecter à une règle de stratégie de pare-feu affectée à un périphérique exécutant Junos OS version 18.2 ou ultérieure.

Quelle est la prochaine étape ?

Pour en savoir plus sur les fonctionnalités IPS, reportez-vous au Guide de l’utilisateur de Junos Space Security Director.

Avantages

  • Attribuez une stratégie IPS différente à chaque règle de stratégie de pare-feu.

  • Les correspondances de stratégie IPS sont gérées dans la stratégie de pare-feu standard ou unifié à laquelle la stratégie IPS est affectée.

  • Simplifie la gestion des politiques de sécurité basée sur les applications au niveau de la couche 7.

  • Offre un meilleur contrôle et une plus grande extensibilité pour gérer le trafic des applications dynamiques.

Avant de commencer

Note:

  • Bien que ce cas d’usage ait été spécifiquement validé pour Junos Space Security Director version 19.3 et un équipement SRX Series exécutant Junos OS version 18.2, vous pouvez utiliser Junos OS version 18.2 ou ultérieure.

  • Seuls les champs obligatoires et les autres champs obligatoires sont inclus dans les procédures de ce cas d’utilisation.

Aperçu

À partir de Junos Space Security Director version 19.3, vous ne pouvez pas affecter de périphériques exécutant Junos OS version 18.2 ou ultérieure à une stratégie IPS à partir de la page Stratégies IPS. Vous devez affecter une stratégie IPS à une règle de stratégie de pare-feu pour les périphériques exécutant Junos OS version 18.2 et ultérieure. La configuration CLI de la stratégie IPS est générée en même temps que la stratégie de pare-feu standard ou unifié à laquelle la stratégie IPS est affectée. Lorsqu’une stratégie IPS est configurée dans une stratégie de pare-feu, le trafic qui correspond aux critères spécifiés est vérifié par rapport aux bases de règles IPS. Ce type de configuration peut être utilisé pour surveiller le trafic à destination et en provenance de la zone sécurisée d’un réseau interne, comme mesure de sécurité supplémentaire pour les communications confidentielles.

Dans la topologie suivante, nous avons un réseau local d’entreprise derrière un commutateur de couche 2. Le commutateur est connecté à un pare-feu SRX Series sur lequel IPS est activé et inspecte tout le trafic entrant et sortant du réseau. L’équipement SRX Series peut se présenter sous n’importe quelle forme : matérielle, virtuelle ou conteneurisée.

Network topology with cloud for internet, SRX Series gateway device, Layer 2 switch, and three hosts connected to the switch.

Création d’une stratégie IPS

Créons d’abord une stratégie IPS que nous allons ensuite configurer sur un équipement SRX Series exécutant Junos OS version 18.2 :

  1. Sélectionnez Configurer > stratégie IPS > stratégies.

    La page Stratégies IPS s’affiche.

  2. Cliquez sur l’icône +.

    La page Créer une stratégie IPS s’affiche.User interface for creating an IPS policy in a network security app with fields for name, description, policy options, and device selection. Includes Cancel and OK buttons.

  3. Saisissez le nom de la stratégie IPS suivant : IPS_Policy

    Le nom d’une stratégie peut comporter un maximum de 255 caractères et inclure des caractères alphanumériques, des espaces et des points.

  4. Sélectionnez le type de stratégie Stratégie d’appareil.
    Note:

    Vous pouvez également sélectionner l’option de stratégie de groupe. Vous pouvez affecter une stratégie de groupe ou une stratégie spécifique à l’équipement à la stratégie de pare-feu.
  5. Ne sélectionnez aucun appareil dans la liste.
    Note:

    Seuls les périphériques exécutant Junos OS version 18.1 et antérieure sont répertoriés. Pour configurer une stratégie IPS sur des périphériques exécutant Junos OS version 18.2 ou ultérieure, vous devez affecter une stratégie IPS (sans attribution de périphérique) à une règle de stratégie de pare-feu. La stratégie IPS est mise à jour avec la mise à jour de la stratégie de pare-feu.
  6. Cliquez sur OK.

    La stratégie IPS (IPS_Policy) créée s’affiche sur la page Stratégies IPS.

Affectation de la stratégie IPS à une règle de stratégie de pare-feu

Affectons maintenant la stratégie IPS créée à une règle de stratégie de pare-feu :

  1. Sélectionnez Configurer > stratégie de pare-feu > stratégies standard.

    La page Stratégies standard s’affiche.

  2. Cliquez sur l’icône +.

    La page Créer une stratégie de pare-feu s’affiche.User interface for creating a firewall policy with fields for name and description, policy options, device selection, navigation menu, and buttons for Cancel and OK.

  3. Saisissez le nom de stratégie de pare-feu suivant : Firewall_Policy
  4. Sélectionnez le type de stratégie Stratégie d’appareil.

    Lorsque vous sélectionnez l’option de stratégie de périphérique, la stratégie de pare-feu est créée pour chaque appareil. Si vous sélectionnez l’option de stratégie de groupe, la stratégie de pare-feu est partagée avec plusieurs équipements.

  5. Sélectionnez le périphérique vsrx-18.2.

    Tous les périphériques détectés par Junos Space Security Director sont répertoriés dans la liste déroulante. Pour en savoir plus sur la découverte de périphériques dans Junos Space Security Director, reportez-vous à la section Créer des profils de découverte de périphériques dans Security Director.

    Note:

    Le périphérique que vous sélectionnez doit exécuter Junos OS version 18.2 ou ultérieure.
  6. Cliquez sur OK pour créer la stratégie de pare-feu.

    La stratégie de pare-feu que vous avez créée (Firewall_Policy) s’affiche sur la page Stratégies standard.

  7. Cliquez sur Ajouter une règle pour la stratégie Firewall_Policy afin d’ajouter des règles.

    La page Create Rule (Créer une règle) s’affiche.

  8. Dans l’onglet Général, entrez le nom de règle suivant : Firewall_Policy_Rule

    User interface for creating a firewall rule in software. Current step is General, with Rule Name and Description fields. Options to Cancel or Next. Sidebar lists policy categories like Firewall Policy and NAT Policy.

  9. Cliquez sur Suivant jusqu’à ce que vous atteigniez l’onglet Sécurité avancée.
  10. Dans l’onglet Sécurité avancée :
    1. Sélectionnez Autoriser dans la liste déroulante Action.
    2. Sélectionnez la valeur IPS_Policy dans la liste déroulante Stratégie IPS.
      Note:

      À partir du correctif à chaud Junos Space Security Director version 20.1R1 V1, vous pouvez affecter à une stratégie de pare-feu une stratégie IPS de groupe qui n’est affectée à aucun équipement.
  11. Cliquez sur Suivant jusqu’à ce que vous atteigniez l’onglet Placement de la règle, puis cliquez sur Terminer.

    Vous pouvez afficher les détails de la stratégie IPS dans le résumé de configuration de la stratégie de pare-feu.Configuration interface for creating a firewall rule. Rule name: Firewall_Policy_Rule. Traffic source and destination set to Any. IPS off. IPS policy: IPS_Policy. Action: PERMIT. Navigation buttons: Cancel, Back, OK.

  12. Cliquez sur OK pour créer la règle.

    La règle s’affiche sur la page Firewall_Policy/Règles.

  13. Cliquez sur Enregistrer pour enregistrer la règle.

Comme Firewall_Policy_Rule, nous avons créé une autre règle Firewall_Policy_Rule2.

Vérification de l’affectation de la stratégie IPS à la stratégie de pare-feu

But

Vérifions que la stratégie de pare-feu que vous avez créée inclut la stratégie IPS que vous avez créée (IPS_Policy).

Action

  1. Sélectionnez Configurer > stratégie de pare-feu > stratégies standard.

    La page Stratégies standard s’affiche.

  2. Cliquez sur les règles de la stratégie de pare-feu nommées (Firewall_Policy).

    La page Firewall_Policy/Règles s’affiche. Dans la colonne Sécurité avancée, la stratégie IPS nommée IPS_Policy s’affiche pour les règles que vous avez créées (Firewall_Policy_Rule et Firewall_Policy_Rule2).

User interface for managing firewall policies, showing the Firewall Policy Rules section with navigation menu, list of rules, toolbar, and search bar.

Configuration de l’interface de ligne de commande

Vous verrez que la stratégie de IPS_Policy est affectée aux règles de Firewall_Policy_Rule et de Firewall_Policy_Rule2 .

##Security Firewall Policy: global ##

set security policies global policy Firewall_Policy_Rule match application any

set security policies global policy Firewall_Policy_Rule match destination-address any

set security policies global policy Firewall_Policy_Rule match source-address any

set security policies global policy Firewall_Policy_Rule then permit application-services idp-policy IPS_Policy

set security policies global policy Firewall_Policy_Rule2 match application any

set security policies global policy Firewall_Policy_Rule2 match destination-address any

set security policies global policy Firewall_Policy_Rule2 match source-address any

set security policies global policy Firewall_Policy_Rule2 then permit application-services idp-policy IPS_Policy

##IDP Configurations##

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match application default

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match attacks predefined-attack-groups "Additional Web Services - Info"

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match from-zone any

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 match to-zone any

set security idp idp-policy IPS_Policy rulebase-ips rule Device-1 then action recommended