Cas d’usage 2 : Importer une stratégie de pare-feu pour laquelle la stratégie IPS est configurée

Une stratégie de système de prévention d’intrusion (IPS) vous permet d’appliquer de manière sélective diverses techniques de détection et de prévention des attaques sur le trafic réseau passant par un appareil compatible IPS. Dans cette section, vous allez apprendre à importer un périphérique exécutant Junos OS version 18.2 (qui dispose d’une stratégie de pare-feu avec une stratégie IPS configurée) dans Junos Space Security Director. Vous verrez que la stratégie IPS affectée est importée avec la stratégie de pare-feu.

Quelle est la prochaine étape ?

Pour en savoir plus sur les fonctionnalités IPS, reportez-vous au Guide de l’utilisateur de Junos Space Security Director.

Avantages

Une stratégie IPS différente peut être attribuée à chaque règle de stratégie de pare-feu importée.
Simplifie la gestion des politiques de sécurité basée sur les applications au niveau de la couche 7.
Offre un meilleur contrôle et une plus grande extensibilité pour gérer le trafic des applications dynamiques.

Avant de commencer

Installez Junos Space Security Director et le collecteur de journaux. Reportez-vous au Guide d’installation et de mise à niveau de Junos Space Security Director.
Assurez-vous que l’IPS est activé sur l’équipement SRX Series.
Assurez-vous que le périphérique SRX Series exécute Junos OS version 18.2 ou ultérieure.

Note:

Bien que ce cas d’usage ait été spécifiquement validé pour Junos Space Security Director version 19.3 et un équipement SRX Series exécutant Junos OS version 18.2, vous pouvez utiliser Junos OS version 18.2 ou ultérieure.
Seuls les champs obligatoires et les autres champs obligatoires sont inclus dans les procédures de ce cas d’utilisation.

Aperçu

À partir de Junos Space Security Director version 19.3, lorsque vous importez une stratégie de pare-feu à partir d’un équipement SRX Series exécutant Junos OS version 18.2 ou ultérieure, la stratégie IPS affectée à la stratégie de pare-feu est également importée. L’appareil importé est affecté à la stratégie de pare-feu et s’affiche sur la page des stratégies de pare-feu. L’appareil importé ne s’affiche pas sur la page Stratégies IPS.

Dans la topologie suivante, nous avons un réseau local d’entreprise derrière un commutateur de couche 2. Le commutateur est connecté à un pare-feu SRX Series sur lequel IPS est activé et inspecte tout le trafic entrant et sortant du réseau. L’équipement SRX Series peut se présenter sous n’importe quelle forme : matérielle, virtuelle ou conteneurisée.

Simple network topology with an internet cloud, SRX Series firewall, Layer 2 switch, and three connected hosts.

Importation d’une stratégie de pare-feu

Importons une stratégie de pare-feu à partir d’un équipement SRX Series exécutant Junos OS version 18.2 :

Sélectionnez Périphériques > Équipements de sécurité.

La page Périphériques de sécurité s’affiche.
Sélectionnez le périphérique vsrx-18.2, puis cliquez sur Importer.

La page Importer la configuration s’affiche.
Sélectionnez la stratégie de pare-feu vsrx-18.2 (la stratégie IPS est affectée à cette stratégie de pare-feu).
Cliquez sur Suivant.

Un récapitulatif des modifications de configuration à importer s’affiche.
Cliquez sur OK pour importer la configuration de l’appareil.

La page Détails de la tâche s’affiche. La stratégie IPS (IPS-Policy-1) est importée en même temps que la stratégie de pare-feu (vsrx-18.2).
Cliquez sur OK.

Les stratégies importées s’affichent sur la page Stratégies IPS ainsi que dans la règle de stratégie de pare-feu.

Configuration de l’interface de ligne de commande

Voici la configuration CLI du pare-feu virtuel vSRX-18.2 :

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match from-zone any

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match to-zone any

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match application default

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 match attacks predefined-attacks

ICMP:INFO:ECHO-REPLY

set security idp idp-policy IPS-Policy-1 rulebase-ips rule rule1 then action recommended

set security policies global policy rule-one match source-address any

set security policies global policy rule-one match destination-address any

set security policies global policy rule-one match application any

set security policies global policy rule-one then permit application-services idp-policy IPS-Policy-1

Vérifier la configuration importée dans Security Director

But
Action

But

Vérifions que l'appareil est affecté à la stratégie de pare-feu importée. Vous verrez que l’appareil n’est pas affecté à la stratégie IPS importée sur la page Stratégies IPS.

Action

Sélectionnez Configurer > stratégie IPS > stratégies.

L’appareil n’est pas affiché pour la stratégie IPS importée sur la page Stratégies IPS.
Sélectionnez Configurer > stratégie de pare-feu > stratégies standard.

La stratégie de pare-feu importée (vsrx-18.2) et l’équipement attribué (vsrx-18.2) s’affichent sur la page Stratégies standard.
Cliquez sur les règles de la stratégie de pare-feu vsrx-18.2 .

Sur la page Règles de stratégie de pare-feu (vsrx-18.2/Rules), la stratégie IPS importée (IPS-Policy-1) s’affiche dans la colonne Sécurité avancée.

Note:

Si un équipement exécute Junos OS version 18.2 ou ultérieure et que sa CLI de stratégie idp active obsolète, Junos Space Security Director importe la stratégie IPS et l’affecte à toutes les règles de stratégie de pare-feu avec IPS activé.