Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des pare-feu SRX Series pour bloquer les hôtes infectés

Un flux d’hôte infecté répertorie les hôtes qui ont été compromis et doivent être mis en quarantaine pour ne pas communiquer avec d’autres équipements. Le flux est au format d’adresses IP toutes avec un niveau de menace de 10, par exemple xxx.xxx.xxx.xxx.133 avec niveau de menace 10. Vous pouvez configurer des stratégies de sécurité pour prendre des mesures d’application sur le trafic entrant et sortant vers et depuis un hôte dont l’adresse IP est répertoriée dans le flux. Le flux d’hôte infecté est téléchargé sur le pare-feu SRX Series uniquement lorsque le profil de l’hôte infecté est configuré et activé dans une stratégie de pare-feu.

Note:

Une fois le seuil global de Juniper ATP Cloud atteint pour un hôte infecté (voir Configuration des hôtes infectés), cet hôte est ajouté au flux des hôtes infectés et assigné un niveau de menace de 10 par le cloud. Par conséquent, toutes les adresses IP du flux d’hôtes infectés sont de niveau 10.

Pour créer le profil d’hôte infecté, la stratégie et la stratégie de pare-feu :

  1. Définissez un profil à la fois pour l’hôte infecté et le CC. Dans cet exemple, le profil de l’hôte infecté est nommé ih-profile et l’action consiste à bloquer tout ce qui a un niveau de menace de 10. Le profil d’hôte CC est nommé cc-profile et est basé sur les demandes sortantes vers un hôte C&C, alors ajoutez des règles de C&C au profil (les niveaux de menace 8 et plus sont bloqués.)

    Depuis Junos 18.1R1. l’action de blocage est prise en charge avec la redirection d’URL HTTP pour les hôtes infectés. Pendant le traitement d’une adresse IP de session, si l’adresse IP de la liste des hôtes infectés et le trafic HTTP utilise les ports 80 ou 8080, les hôtes infectés peuvent rediriger HTTP. Si le trafic HTTP utilise des ports dynamiques, la redirection du trafic HTTP ne peut pas être effectuée. Voir la commande ci-dessous.

  2. Vérifiez votre commande à l’aide du show services security-intelligence commande CLI. Il devrait ressembler à ceci :
  3. Configurez la stratégie d’informations de sécurité pour inclure les deux profils créés à l’étape 1. Dans cet exemple, la stratégie est nommée infected-host-cc-policy.
  4. Configurez la stratégie de pare-feu pour inclure la stratégie d’informations de sécurité. Cet exemple définit la zone d’approbation à non confiance.
  5. Vérifiez votre commande à l’aide du show security policies commande CLI. Il devrait ressembler à ceci :
  6. Validez vos modifications.