Cas d’utilisation 2 : Importer une stratégie de pare-feu sur laquelle la stratégie IPS est configurée

RÉSUMÉ Une stratégie de système de prévention des intrusions (IPS) vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par un périphérique compatible IPS. Dans cette section, vous allez apprendre à importer dans Junos Space Security Director un périphérique exécutant Junos OS version 18.2 (doté d’une stratégie de pare-feu avec une stratégie IPS configurée). Vous verrez que la stratégie IPS affectée est importée avec la stratégie de pare-feu.

Quelle est la prochaine étape ?

Pour en savoir plus sur les fonctions IPS, reportez-vous au Guide de l’utilisateur de Junos Space Security Director.

Avantages

Une stratégie IPS différente peut être affectée à chaque règle de pare-feu importée.
Simplifie la gestion des stratégies de sécurité basée sur les applications au niveau de la couche 7.
Offre un meilleur contrôle et une meilleure extensibilité pour gérer le trafic dynamique des applications.

Avant de commencer

Installez Junos Space Security Director et Log Collector. Consultez le Guide d’installation et de mise à niveau de Junos Space Security Director.
Assurez-vous que l’IPS est activé sur l’équipement SRX Series.
Assurez-vous que l’équipement SRX Series exécute Junos OS version 18.2 ou ultérieure.

Note:

Bien que ce cas d’utilisation ait été spécifiquement validé par rapport à Junos Space Security Director version 19.3 et à un équipement SRX Series exécutant Junos OS version 18.2, vous pouvez utiliser Junos OS version 18.2 ou ultérieure.
Seuls les champs obligatoires et les autres champs obligatoires sont inclus dans les procédures de ce cas d’utilisation.

Aperçu

À partir de Junos Space Security Director version 19.3, lorsque vous importez une stratégie de pare-feu à partir d’un équipement SRX Series exécutant Junos OS version 18.2 ou ultérieure, la stratégie IPS affectée à la stratégie de pare-feu est également importée. L’appareil importé est affecté à la stratégie de pare-feu et s’affiche sur la page des stratégies de pare-feu. Le périphérique importé n’est pas affiché sur la page Stratégies IPS.

Dans la topologie suivante, nous avons un réseau local d’entreprise derrière un commutateur de couche 2. Le commutateur est connecté à un pare-feu SRX Series sur lequel IPS est activé et inspecte tout le trafic entrant et sortant du réseau. L’équipement SRX Series peut se présenter sous n’importe quelle forme : matériel, virtuel ou conteneurisé.

Importer une stratégie de pare-feu

Importons une stratégie de pare-feu à partir d’un équipement SRX Series exécutant Junos OS version 18.2 :

Sélectionnez Périphériques > Périphériques de sécurité.

La page Dispositifs de sécurité s’affiche.
Sélectionnez le périphérique vsrx-18.2 , puis cliquez sur Importer.

La page Importer la configuration s’affiche.
Sélectionnez la stratégie de pare-feu vsrx-18.2 (la stratégie IPS est affectée à cette stratégie de pare-feu).
Cliquez sur Suivant.

Un résumé des modifications de configuration à importer s’affiche.
Cliquez sur OK pour importer la configuration de l’appareil.

La page Job Details (Détails du travail) s’affiche. La stratégie IPS (IPS-Policy-1) est importée avec la stratégie de pare-feu (vsrx-18.2).
Cliquez sur OK.

Les stratégies importées sont affichées sur la page Stratégies IPS ainsi que dans la règle de stratégie de pare-feu.

Configuration de l’interface de ligne de commande

Voici la configuration de la CLI à partir du périphérique vSRX Virtual Firewall-18.2 :

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match from-zone any

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match to-zone any

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match application default

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match attacks predefined-attacks

ICMP:INFO:ECHO-REPLY

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 then action recommended

set security policies global policy rule-one match source-address any

set security policies global policy rule-one match destination-address any

set security policies global policy rule-one match application any

set security policies global policy rule-one then permit application-services idp-policy IPS-Policy-1

Vérifier la configuration importée dans Security Director

But
Action

But

Vérifions que l’appareil est affecté à la stratégie de pare-feu importée. Vous verrez que l’appareil n’est pas affecté à la stratégie IPS importée sur la page Stratégies IPS.

Action

Sélectionnez Configurer > stratégie IPS > stratégies.

Le périphérique n’est pas affiché pour la stratégie IPS importée sur la page Stratégies IPS.
Sélectionnez Configurer > stratégie de pare-feu > Stratégies standard.

La stratégie de pare-feu importée (vsrx-18.2) et le périphérique affecté (vsrx-18.2) s’affichent sur la page Stratégies standard.
Cliquez sur les règles de la stratégie de pare-feu vsrx-18.2.

Sur la page Règles de stratégie de pare-feu (vsrx-18.2/Rules), vous verrez la stratégie IPS importée (IPS-Policy-1) dans la colonne Sécurité avancée.

Note:

Si un équipement exécute Junos OS version 18.2 ou ultérieure et qu’il possède une CLI de stratégie IDP active déconseillée, Junos Space Security Director importe la stratégie IPS et l’affecte à toutes les règles de stratégie de pare-feu avec IPS activé.