Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

침입 탐지 및 방지(IDP) 마이그레이션 이해

이 항목에서는 침입 탐지 및 방지(IDP) 설치 및 구성에 대한 세부 정보를 제공합니다.

자세한 내용은 다음 항목을 참조하세요.

초기 구성 개요

SRX 시리즈 방화벽에서 완전한 기능의 IPS 서비스를 활성화하려면 다음과 같은 기본 구성 단계를 거쳐야 합니다.

기본 구성

  1. 기본 네트워킹, 보안 및 액세스 구성 요소를 구성합니다(대부분의 경우 이미 구성되어 있음).

  2. IPS 정책을 구성하고 활성화합니다.

  3. 특정 규칙을 IPS와 연결하도록 방화벽 정책을 구성합니다.

  4. 센서 업데이트를 포함한 공격 객체를 다운로드합니다.

  5. 로깅을 구성합니다.

  6. 보안 패키지를 업데이트합니다.

  7. 구성 및 테스트 기능을 확인합니다.

초기 구성 가정

IPS 정책 컨피그레이션을 시작하기 전에 이 문서에서는 초기 네트워킹 컨피그레이션이 존재하며 관리 사용자가 SRX 시리즈에 대한 전체 액세스 권한을 가지고 있다고 가정합니다. 샘플 시스템의 초기 장치 구성은 다음과 같습니다.

메모:

이 문서에서는 특정 기능을 구성하는 데 필요한 명령을 제공합니다. 그러나 관련 기능을 활성화하려면 구성 변경 사항을 성공적으로 커밋해야 합니다(commit 명령 사용).

이 기능을 사용하려면 라이선스가 필요합니다. IPS 라이센스에 대한 자세한 내용은 IPS 라이센스 설치(CLI)를 참조하십시오. 라이선스 관리에 대한 일반 정보는 주니퍼 라이선싱 가이드를 참조하십시오. 자세한 내용은 SRX 시리즈 서비스 게이트웨이 의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

IPS 구성(CLI)

인터페이스 구성

  1. 현재 인터페이스 표시(인터페이스가 올바르게 케이블로 연결되었다고 가정)
  2. 포워딩 인터페이스를 구성합니다.
  3. 구성을 확인합니다.

보안 영역 구성

  1. 보안 영역을 구성합니다.
    1. 기존 영역 표시:

    2. abc-trust 및 abc-untrust 영역을 구성하고 그에 따라 인터페이스를 할당합니다.

  2. 구성을 확인합니다.

IPS 보안 정책 구성

  1. IPS 정책 abc-idp-policy를 구성합니다.

    이 섹션의 간단한 구성에는 모든 치명적 공격을 찾는 하나의 규칙을 설정하고, 일치하는 공격이 발견될 경우 관련 연결을 삭제하고, 해당 이벤트를 위험으로 설정하고, 경고와 함께 기록하는 작업이 포함됩니다. 두 번째 규칙은 주요 공격을 찾고 심각한 공격을 탐지하고 이벤트를 기록할 때 권장 작업을 수행하도록 구성됩니다.

    메모:

    로깅이란 시스템 로그(syslog) 메시지를 사전 구성된 적절한 syslog 서버로 전송하는 것을 의미합니다. 로깅 구성 단계는 다음 섹션에서 제공됩니다.

  2. IPS 정책 abc-idp-policy를 확인합니다.
  3. 추적 옵션을 설정합니다.
    1. 추가 시스템 분석, 튜닝 및 보다 쉬운 문제 해결을 지원하는 자세한 IPS 프로세스 이벤트 정보(정책 컴파일 결과, 정책 로드 결과, dfa 일치 등)를 제공하려면 추적 옵션을 활성화하는 것이 좋습니다. 다음은 모든 디버그 수준(오류, 정보, 알림, 자세한 정보 및 경고)을 포함하는 모든 보안 이벤트를 기록하도록 추적을 구성하는 예제 설정입니다. 추적 파일 이름은 추적되는 프로세스의 이름을 따서 명명된 파일에 기록되지 않은 경우(IDP/var/log/idpd의 경우) trace로 지정되지 않습니다.
    2. 이 예에서는 파일 크기를 100MB로 제한합니다. 즉, 프로세스가 이 파일을 작성하고 100MB에 도달하면 이름을 idpd.0으로 바꾸고 새 idpd를 계속 사용합니다. 기본 파일 수는 3개이며 파일 번호가 소진되면 가장 오래된 파일(idpd.2)을 덮어씁니다.
  4. 추적 옵션 설정을 확인합니다.
  5. IPS 시리즈 정책을 활성화합니다.
  6. 활성 IPS 정책을 확인합니다.
메모:

SRX 시리즈 방화벽에 IPS 정책을 구축하려면 IPS 서비스에서 처리할 트래픽을 식별하도록 방화벽 보안 정책을 구성하는 한 가지 단계가 더 필요합니다. 이에 대해서는 다음 섹션에서 설명합니다.

방화벽 보안 정책 구성

SRX 시리즈 방화벽으로 들어오는 트래픽이 IPS 보안 정책 방화벽에서 처리되도록 하려면 그에 따라 보안 정책을 구성해야 합니다.

다음은 SRX 시리즈 게이트웨이에서 방화벽 보안 정책을 구성하고 침입 방지 시스템 구성을 완료하는 데 필요한 단계입니다. 이로 인해 IPS 보안 정책 abc-idp-policy에 의해 보안 영역 abc-untrust와 abc-trust 간의 트래픽이 검사됩니다.

  1. 시스템이 모든 트래픽을 거부하는 기본 정책으로 구성되었는지 확인합니다. 이것은 기본적으로 트래픽이 1. 방화벽 보안 정책에서 특별히 허용하지 않는 한 게이트웨이 전체에서 거부됩니다.
  2. 정책을 구성합니다.
  3. 구성을 확인합니다.

IPS 로깅

IPS는 이벤트가 로깅이 활성화된 IPS 정책 규칙과 일치할 때 이벤트 로그를 생성합니다. 로깅 규칙을 구성할 때 디바이스는 해당 규칙과 일치하는 각 이벤트에 대한 로그 항목을 생성합니다.

이렇게 구성되면 IPS 서비스는 514/udp로 캡슐화된 에뮬레이트된 IP 주소를 통해 데이터 플레인에서 직접 로깅 서버로 정책 항목과 일치하는 이벤트를 보냅니다.

로깅 구성:

  1. 다음에서 syslog 메시지를 전송하도록 인터페이스 데이터 플레인을 구성합니다.
  2. 형식(표준 또는 구조화된 형식)을 선택합니다.
  3. 에뮬레이트된 소스 IP 주소를 설정합니다(인터페이스는 fxp0일 수 없음).
  4. 심각도를 설정합니다.
  5. syslog 서버 IP 주소(514/udp를 통해 로그가 전송됨)를 나타냅니다.
  6. 로그 구성을 확인합니다.