テナント システムの IDP
テナントシステムの侵入検出および防御(IDP)ポリシーにより、SRXシリーズファイアウォールを通過するネットワークトラフィックに、さまざまな攻撃検知および防御技術を選択的に適用できます。SRXシリーズファイアウォールは、ジュニパーネットワークスIDPシリーズ侵入検知防御アプライアンスと同じIDPシグネチャセットを提供し、攻撃からネットワークを保護します。
テナントシステムのIDPについて
Junos OS侵入検出防御(IDP)ポリシーにより、テナント システムを通過するネットワーク トラフィックに対して、さまざまな攻撃検知および防御技術を選択的に適用できます。
このトピックには、以下のセクションが含まれています。
IDP ポリシー
ルート レベルとテナント システム レベルでの IDP ポリシーの設定も同様です。ルート レベルで設定された IDP ポリシー テンプレートが表示され、すべてのテナント システムで使用されます。1 次管理者は、テナント・システムにバインドされたセキュリティー・プロファイル内の IDP ポリシーを指定します。テナントシステムでIDPを有効にするには、プライマリ管理者またはテナントシステム管理者が、検査するトラフィックを定義し、 階層レベルで指定するセキュリティポリシーを permit application-services idp-policy idp-policy-name
設定します。
1 次管理者は複数の IDP ポリシーを構成でき、テナント・システムは一度に複数の IDP ポリシーを持つことができます。テナント システムの場合、プライマリ管理者は同じ IDP ポリシーを複数のテナント システムにバインドするか、必要な IDP ポリシーを各テナント システムにバインドできます。複数の IDP ポリシーを設定する場合、デフォルト IDP ポリシーの設定が必須です。
プライマリ管理者は、プライマリ論理システムとテナントシステムの最大IDPセッション予約数を設定します。1 次論理システムで許可される IDP セッションの数は、 コマンド set security idp max-sessions max-sessions
を使用して定義され、テナント・システムで許可される IDP セッションの数は、 コマンド set security idp tenant-system tenant-system max-sessions max-sessions
を使用して定義されます。
テナント システム管理者は、以下のアクションを実行します。
複数の IDP ポリシーを設定し、テナント システムが使用するファイアウォール ポリシーにアタッチします。テナントシステムに対してIDPポリシーが設定されていない場合、プライマリ管理者が設定したデフォルトIDPポリシーが使用されます。IDP ポリシーは、テナント システム セキュリティ ポリシーを通じてテナント システムにバインドされます。
テナント システムの IDP ポリシーを作成または変更します。IDP ポリシーはテナント システムにバインドされます。IDP ポリシーが変更され、コミットに失敗した場合、コミット変更を開始したテナント システムのみがコミット失敗を通知します。
テナント システム管理者は、テナント システムにセキュリティ ゾーンを作成し、各セキュリティ ゾーンにインターフェイスを割り当てることができます。テナント システムに固有のゾーンは、プライマリ管理者が設定した IDP ポリシーで参照できません。プライマリ管理者は、プライマリ論理システムに設定されたIDPポリシーで、プライマリ論理システム内のゾーンを参照できます。
コマンド 、および を使用して、検出された攻撃統計と IDP カウンター、攻撃テーブル、ポリシー コミット ステータスを個々の
show security idp counters
show security idp policy-commit-status
show security idp attack table
show security idp policies
テナント システムで表示します。show security idp security-package-version
、 および を使用して、検出された攻撃統計と IDP カウンター、攻撃テーブル、ポリシー コミット ステータスをshow security idp counters counters tenant tenant-name
show security idp policy-commit-status tenant tenant-name
show security idp attack table tenant tenant-name
show security idp policies tenant tenant-name
show security idp security-package-version tenant tenant-name
ルートから表示します。
制限
パケット転送エンジンにおける IDP ポリシーのコンパイルは、グローバル レベルで行われます。論理システムまたはテナント システムに対して行われたポリシーの変更は、IDP が内部的に 1 つのグローバル ポリシーとして扱うため、すべての論理システムまたはテナント システムのポリシーのコンパイルが行われます。
論理システムまたはテナント システムに対してポリシーを変更すると、すべての論理システムまたはテナント システムの攻撃テーブルが消去されます。
テナントシステム向けIDPインストールとライセンス
idp-sig ライセンスは、ルート レベルでインストールする必要があります。ルート レベルで IDP が有効になると、デバイス上の任意のテナント システムで IDP を使用できるようになります。
ルート レベルで、デバイス上のすべてのテナント システムに 1 つの IDP セキュリティ パッケージがインストールされます。ダウンロードおよびインストール オプションは、ルート レベルでのみ実行できます。同じバージョンの IDP 攻撃データベースが、すべてのテナント システムで共有されます。
テナント システムの IDP 機能について
このトピックには、以下のセクションが含まれています。
ルールベース
単一の IDP ポリシーには、任意のタイプのルールベースのインスタンスを 1 つだけ含めることができます。侵入防御システム(IPS)ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検知します。ステートフルシグネチャとプロトコル異常に基づいて攻撃を検知します。
IPS のステータス監視はデバイスに対してグローバルに行われますが、テナント システム単位では監視されません。
マルチ検出器
新しい IDP セキュリティ パッケージを受信すると、攻撃の定義と検出機能が含まれます。新しいポリシーが読み込まれると、検出器にも関連付けられます。ロードされるポリシーに、既存のポリシーで既に使用されているディテクタと一致する関連付けられたディテクタがある場合、新しいディテクタは読み込まれず、両方のポリシーで 1 つの関連付けられたディテクタが使用されます。しかし、新しい検出器が現在の検出器と一致しない場合、新しい検出器は新しいポリシーと共にロードされます。この場合、読み込まれた各ポリシーは、独自の検出機能を使用して攻撃を検知します。
検出器のバージョンは、すべてのテナントシステムに共通です。
ログ作成と監視
ステータス監視オプションは、プライマリ管理者のみが使用できます。および clear security idp
CLI 操作コマンドのshow security idp
下のすべてのステータス監視オプションにはグローバル情報が表示されますが、テナント システム単位では表示されません。
IDPのSNMP監視は、テナントシステムではサポートされていません。
テナントシステムは、syslogのストリームモードのみをサポートしており、イベントモードをサポートしていません。
IDP は、イベントがログを有効にする IDP ポリシー ルールに一致すると、イベント ログを生成します。
テナント システム ID は、以下のタイプの IDP トラフィック処理ログに追加されます。
攻撃ログ。次の例は、テナント システムの攻撃ログを
TSYS1
示しています。"<14>1 2019-02-18T02:17:56+05:30 4.0.0.254 pamba RT_IDP - - IDP_ATTACK_LOG_EVENT_LS: Lsys TSYS1: IDP: At 1550485076, SIG Attack log <4.0.0.1/51480->5.0.0.1/21> for TCP protocol and service SERVICE_IDP application FTP by rule 1 of rulebase IPS in policy new. attack: id=4641, repeat=0, action=NONE, threat-severity=MEDIUM, name=FTP:USER:ROOT, NAT <0.0.0.0:0->0.0.0.0:0>, time-elapsed=0, inbytes=0, outbytes=0, inpackets=0, outpackets=0, intf:l1z1:xe-4/0/0.0->l1z2:xe-4/0/1.0, packet-log-id: 0, alert=no, username=N/A, roles=N/A and misc-message -
IP アクション ログ。以下の例は、テナント システムの IP アクション ログを
TSYS1
示しています。"<14>1 2019-02-19T02:21:43+05:30 4.0.0.254 pamba RT_FLOW - - FLOW_IP_ACTION_LS: Lsys TSYS1: Flow IP action detected attack attempt:4.0.0.1/51492 --> 5.0.0.1/21 from interface xe -4/0/0.0, from zone l1z1, action close. "<14>1 2019-02-19T02:21:45+05:30 4.0.0.254 pamba RT_FLOW - - APPTRACK_SESSION_CLOSE_LS: Lsys TSYS1: AppTrack session closed Closed by junos-tcp-clt-emul: 4.0.0.1/51492->5.0.0.1/ 21 junos-ftp FTP UNKNOWN 4.0.0.1/51492->5.0.0.1/21 N/A N/A 6 l1z1-l1z2 l1z1 l1z2 50000058 6(287) 5(281) 6 N/A N/A No N/A N/A VR1 xe-4/0/1.0 0 0 Infrastructure File-Servers N/A N/A
例:テナント システムの IDP ポリシーと攻撃の設定
この例では、テナントシステムに対してIDPポリシーと攻撃を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
テナントシステムで設定されたSRXシリーズファイアウォール。
Junos OS リリース 19.2R1 以降のリリース。
テナント システムに IDP ポリシーと攻撃を設定する前に、以下を確認してください。
テナント システムの概要を参照して、このタスクが構成プロセス全体にどのように適合するかを理解します。
テナント システムを作成します
TSYS1
。 例:テナントシステム、テナントシステム管理者、相互接続VPLSスイッチの作成を参照してください。テナント システム
TSYS1
のセキュリティ ゾーンを作成します。例 : テナント・システム内のゾーンの設定を参照してください。-
テナント システム管理者としてテナント システムにログインします。 テナントシステム構成の概要を参照してください。
概要
この例では、テナント システム TSYS1
で IDP カスタム攻撃、ポリシー、カスタム攻撃グループ、事前定義された攻撃と攻撃グループ、動的攻撃グループを設定します。
構成
- カスタム攻撃の設定
- IDP ポリシーの設定
- デフォルト IDP ポリシーによる複数の IDP ポリシーの設定
- IDP カスタム攻撃グループの設定
- 事前定義された攻撃および攻撃グループの設定
- IDP 動的攻撃グループの設定
カスタム攻撃の設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security idp custom-attack my-http severity info set security idp custom-attack my-http attack-type signature protocol-binding application HTTP set security idp custom-attack my-http attack-type signature context http-get-url set security idp custom-attack my-http attack-type signature pattern .*testing.* set security idp custom-attack my-http attack-type signature direction any
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
カスタム攻撃オブジェクトを設定するには:
カスタム攻撃オブジェクトを作成し、重大度レベルを設定します。
[edit security idp] user@host:TSYS1# set custom-attack my-http severity info
ステートフル シグネチャ パラメータを設定します。
[edit security idp] user@host:TSYS1# set custom-attack my-http attack-type signature protocol-binding application HTTP user@host:TSYS1# set custom-attack my-http attack-type signature context http-get-url user@host:TSYS1# set custom-attack my-http attack-type signature pattern .*testing.* user@host:TSYS1# set custom-attack my-http attack-type signature direction any
結果
設定モードから、 コマンドを入力して設定を show security idp custom-attack my-http
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host:TSYS1# show security idp custom-attack my-http severity info; attack-type { signature { protocol-binding { application HTTP; } context http-get-url; pattern .*testing.*; direction any; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
IDP ポリシーの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
IDP ポリシーを設定するには、
IDP ポリシーを作成し、照合条件を設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attacks my-http
IDP ポリシーのアクションを設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
結果
設定モードから、 コマンドを入力して設定を show security idp idp-policy idpengine
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host:TSYS1# show security idp idp-policy idpengine rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; attacks { custom-attacks my-http; } } then { action { no-action; } notification { log-attacks; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
デフォルト IDP ポリシーによる複数の IDP ポリシーの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security idp idp-policy idpengine rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine rulebase-ips rule 1 match application default set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp idp-policy idpengine1 rulebase-ips rule 1 match from-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match source-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match to-zone any set security idp idp-policy idpengine1 rulebase-ips rule 1 match destination-address any set security idp idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine1 rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP set security policies from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 set security policies from-zone l1z1 to-zone l1z2 policy 2 match source-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match destination-address any set security policies from-zone l1z1 to-zone l1z2 policy 2 match application any set security policies from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP set security policies from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine set security idp default-policy idpengine1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
複数の IDP ポリシーを設定するには:
複数の IDP ポリシーを作成し、照合条件を設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match application default user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks HTTP:AUDIT:URL user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 then notification log-attacks user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match from-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match source-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match to-zone any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match destination-address any user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then action no-action user@host:TSYS1# set idp-policy idpengine1 rulebase-ips rule 1 then notification log-attacks
セキュリティポリシーを設定し、IDPポリシーを添付します。
[edit security policies] user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 match dynamic-application junos:FTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy l1z1-l1z2 then permit application-services idp-policy idpengine1 user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match source-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match destination-address any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match application any user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 match dynamic-application junos:HTTP user@host:TSYS1# set from-zone l1z1 to-zone l1z2 policy 2 then permit application-services idp-policy idpengine
デフォルト IDP ポリシーを設定します。
メモ:複数の IDP ポリシーを設定する場合、デフォルト IDP ポリシーの設定が必須です。
[edit security idp] user@host:TSYS1# set default-policy idpengine1
結果
設定モードから、 、show security policies
show security idp idp-policy idpengine1
および のコマンドをshow security idp idp-policy idpengine
入力して設定をshow security policies
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host:TSYS1# show security idp idp-policy idpengine rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; application default; attacks { predefined-attacks HTTP:AUDIT:URL; } } then { action { no-action; } notification { log-attacks; } } } }
[edit] user@host:TSYS1# show security idp idp-policy idpengine1 rulebase-ips { rule 1 { match { from-zone any; source-address any; to-zone any; destination-address any; attacks { predefined-attacks FTP:USER:ROOT; } } then { action { no-action; } notification { log-attacks; } } } }
[edit] user@host:TSYS1# show security policies from-zone l1z1 to-zone l1z2 { policy l1z1-l1z2 { match { source-address any; destination-address any; application any; dynamic-application junos:FTP; } then { permit { application-services { idp-policy idpengine1; } } } } policy 2 { match { source-address any; destination-address any; application any; dynamic-application junos:HTTP; } then { permit { application-services { idp-policy idpengine; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
IDP カスタム攻撃グループの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks set security idp custom-attack customftp severity warning set security idp custom-attack customftp attack-type signature context ftp-username set security idp custom-attack customftp attack-type signature pattern .*guest.* set security idp custom-attack customftp attack-type signature direction client-to-server set security idp custom-attack-group cust-group group-members customftp set security idp custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP set security idp custom-attack-group cust-group group-members "FTP - Minor" set security idp custom-attack-group cust-group group-members dyn1 set security idp dynamic-attack-group dyn1 filters category values HTTP
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
IDP カスタム攻撃グループを設定するには:
IDP ポリシーを作成します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks custom-attack-groups cust-group
IDPポリシーの一致条件を設定します。
[edit security idp] user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then action no-action user@host:TSYS1# set security idp idp-policy idpengine rulebase-ips rule 1 then notification log-attacks
ステートフル シグネチャ パラメータを設定します。
[edit security idp] user@host:TSYS1# set security idp custom-attack customftp severity warning user@host:TSYS1# set custom-attack customftp attack-type signature context ftp-username user@host:TSYS1# set custom-attack customftp attack-type signature pattern .*guest.* user@host:TSYS1# set custom-attack customftp attack-type signature direction client-to-server user@host:TSYS1# set custom-attack-group cust-group group-members customftp user@host:TSYS1# set custom-attack-group cust-group group-members ICMP:INFO:TIMESTAMP user@host:TSYS1# set custom-attack-group cust-group group-members "FTP - Minor" user@host:TSYS1# set custom-attack-group cust-group group-members dyn1 user@host:TSYS1# set dynamic-attack-group dyn1 filters category values HTTP
結果
設定モードから、 コマンドを入力して設定を show security idp
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host:TSYS1# show security idp idp-policy idpengine { rulebase-ips { rule 1 { match { attacks { custom-attack-groups cust-group; } } then { action { no-action; } notification { log-attacks; } } } } } custom-attack customftp { severity warning; attack-type { signature { context ftp-username; pattern .*guest.*; direction client-to-server; } } } custom-attack-group cust-group { group-members [ customftp ICMP:INFO:TIMESTAMP "FTP - Minor" dyn1 ]; } dynamic-attack-group dyn1 { filters { category { values HTTP; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
事前定義された攻撃および攻撃グループの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT set security idp idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
事前定義された攻撃および攻撃グループを設定するには、次の手順に従います。
事前定義された攻撃を設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attacks FTP:USER:ROOT
事前定義された攻撃グループを設定します。
[edit security idp] user@host:TSYS1# set idp-policy idpengine rulebase-ips rule 1 match attacks predefined-attack-groups "HTTP - All"
結果
設定モードから、 コマンドを入力して設定を show security idp idp-policy idpengine
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host:TSYS1# show security idp idp-policy idpengine rulebase-ips { rule 1 { match { attacks { predefined-attacks FTP:USER:ROOT; predefined-attack-groups "HTTP - All"; } } then { action { no-action; } notification { log-attacks; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
IDP 動的攻撃グループの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security idp dynamic-attack-group dyn1 filters direction values server-to-client
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
IDP動的攻撃グループを設定するには:
動的攻撃グループパラメータを設定します。
[edit security idp] user@host:TSYS1# set dynamic-attack-group dyn1 filters direction values server-to-client
結果
設定モードから、 コマンドを入力して設定を show security idp
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] user@host:TSYS1# show security idp dynamic-attack-group dyn1 { filters { direction { values server-to-client; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
IDPポリシーとコミットステータスの確認
目的
テナント システム TSYS1
のポリシーのコンパイル後に、IDP ポリシーとコミット ステータスが表示されていることを確認します。
アクション
動作モードから、 コマンドを show security idp policies
入力します。
user@host:TSYS1> show security idp policies ID Name Sessions Memory Detector 1 idpengine 0 186024 12.6.130180122
動作モードから、 コマンドを show security idp policy-commit-status
入力します。
user@host:TSYS1> show security idp policy-commit-statusIDP policy[/var/db/idpd/bins//idp-policy-unified.bin.gz.v] and detector[/var/db/idpd/sec-repository/installed-detector/libidp-detector.so.tgz.v] loaded successfully. The loaded policy size is:2912 Bytes
意味
出力には、テナントシステム TSYS1
で設定されたIDPポリシーとコミットステータス情報が表示されます。
IDP 攻撃検知の検証
目的
テナント システム TSYS1
で IDP 攻撃検知が成功し、攻撃テーブルに表示されていることを確認します。
アクション
動作モードから、 コマンドを show security idp attack table
入力します。
user@host:TSYS1> show security idp attack table IDP attack statistics: Attack name #Hits my-http 1
意味
出力には、テナント システム TSYS1
で設定されたカスタム攻撃で検出された攻撃が表示されます。
IDPカウンターの確認
目的
テナントシステム TSYS1
のIDPカウンターステータスが表示されていることを確認します。
アクション
動作モードから、 コマンドを show security idp counters flow
入力します。
user@host:TSYS1> show security idp counters flow IDP counters: IDP counter type Value Fast-path packets 38 Slow-path packets 1 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 1 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 1 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 1 Policy init failed 0 Policy reinit failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 1 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 2 SM Sessions not interested 0 SM Sessions interest error 0 Sessions destructed 1 SM Session Create 1 SM Packet Process 38 SM ftp data session ignored by idp 1 SM Session close 1 SM Client-to-server packets 15 SM Server-to-client packets 23 SM Client-to-server L7 bytes 99 SM Server-to-client L7 bytes 367 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Server-to-client flows tcp optimized 0 Client-to-server flows tcp optimized 0 Both directions flows ignored 1 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 NGAppID Events with no L7 App 0 NGAppID Events with no active-policy 0 NGAppID Detector failed from event handler 0 NGAppID Detector failed from API 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 37 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0 IDP sessions ignored for content decompression in intel inspect mode 0 IDP sessions ignored for bytes depth limit in intel inspect mode 0 IDP sessions ignored for protocol decoding in intel inspect mode 0 IDP sessions detected CPU usage crossed intel inspect CPU threshold 0 IDP sessions detected mem drop below intel inspect low mem threshold 0
意味
出力には、テナント システム TSYS1
に対して IDP カウンター フローステータスが正しく表示されます。