Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿

주니퍼 네트웍스는 자체 정책을 생성하기 위한 시작점으로 사용할 수 있는 사전 정의된 정책 템플릿을 제공합니다. 각 템플릿은 요구 사항에 따라 복사한 다음 업데이트할 수 있는 특정 규칙 기반 유형의 규칙 집합입니다.

사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿 이해

사전 정의된 정책 템플릿은 안전한 주니퍼 네트웍스 웹 사이트의 파일에서 사용할 수 있습니다 templates.xls . 템플릿 사용을 시작하려면 CLI에서 명령을 실행하여 이 파일을 /var/db/scripts/commit 디렉터리에 다운로드하고 복사합니다.

각 정책 템플릿에는 공격 객체와 연결된 기본 작업을 사용하는 규칙이 포함되어 있습니다. 자체 소스 및 대상 주소를 선택하고 보안 요구 사항을 반영하는 IDP 작업을 선택하여 네트워크에서 작동하도록 이러한 템플릿을 사용자 정의해야 합니다.

클라이언트/서버 템플릿은 사용하기 쉽고 균형 잡힌 성능과 적용 범위를 제공하도록 설계되었습니다. 클라이언트/서버 템플릿에는 클라이언트 보호, 서버 보호 및 클라이언트/서버 보호가 포함됩니다.

각 클라이언트/서버 템플릿에는 디바이스별 버전(1GB) 버전과 2GB 버전의 두 가지 버전이 있습니다.

메모:

1G로 표시된 1GB 버전은 메모리가 1GB로 제한된 장치에만 사용해야 합니다. 1GB 디바이스가 1GB 정책 이외의 항목을 로드하는 경우 제한된 메모리 또는 제한된 적용 범위로 인해 디바이스에서 정책 컴파일 오류가 발생할 수 있습니다. 2GB 디바이스에서 2GB 정책 이외의 항목을 로드하는 경우 디바이스 적용 범위가 제한될 수 있습니다.

이러한 템플릿을 정책 만들기에 대한 지침으로 사용합니다. 이러한 템플릿의 복사본을 만들고 정책에 대한 복사본(원본이 아님)을 사용하는 것이 좋습니다. 이 방법을 사용하면 정책을 변경하고 정책 템플릿의 변경으로 인한 향후 문제를 방지할 수 있습니다.

표 1 에는 주니퍼 네트웍스에서 제공하는 사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿이 요약되어 있습니다.

표 1: 사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿

템플릿 이름

묘사

Client-And-Server-Protection

클라이언트와 서버를 모두 보호하도록 설계되었습니다. 메모리가 2GB 이상인 대용량 메모리 장치에서 사용해야 합니다.

Client-And-Server-Protection-1G

클라이언트와 서버를 모두 보호하도록 설계되었습니다. 메모리 부족 분기 장치를 포함한 모든 장치에서 사용됩니다.

Client-Protection

클라이언트 보호를 위한 설계. 메모리가 2GB 이상인 대용량 메모리 장치에서 사용해야 합니다.

Client-Protection-1G

클라이언트 보호를 위한 설계. 메모리 부족 분기 장치를 포함한 모든 장치에서 사용됩니다.

DMZ Services

일반적인 DMZ(비무장지대) 환경을 보호합니다.

DNS Server

DNS(Domain Name System) 서비스를 보호합니다.

File Server

NFS(Network File System), FTP 등과 같은 파일 공유 서비스를 보호합니다.

Getting Started

매우 개방적인 규칙이 포함되어 있습니다. 통제된 랩 환경에서는 유용하지만 트래픽이 많은 라이브 네트워크에는 배포해서는 안 됩니다.

IDP Default

보안과 성능이 잘 조화를 이루고 있습니다.

Recommended

주니퍼 네트웍스가 태그 recommended 한 공격 객체만 포함합니다. 모든 규칙의 Actions(작업) 열은 각 공격 객체에 대해 권장 작업을 수행하도록 설정됩니다.

Server-Protection

서버를 보호하도록 설계되었습니다. 메모리가 2GB 이상인 대용량 메모리 장치에서 사용해야 합니다.

Server-Protection-1G

서버를 보호하도록 설계되었습니다. 메모리 부족 분기 장치를 포함한 모든 장치에서 사용됩니다.

Web Server

원격 공격으로부터 HTTP 서버를 보호합니다.

미리 정의된 정책 템플릿을 사용하려면:

  1. 주니퍼 네트웍스 웹 사이트에서 정책 템플릿을 다운로드합니다.

  2. 정책 템플릿을 설치합니다.

  3. templates.xls 스크립트 파일을 사용하도록 설정합니다. 디렉터리의 /var/db/scripts/commit 커밋 스크립트는 활성화되지 않은 경우 무시됩니다.

  4. 적합한 정책 템플릿을 선택하고 필요한 경우 사용자 지정합니다.

  5. 시스템에서 실행할 정책을 활성화합니다. 정책을 활성화하는 데 몇 분 정도 걸릴 수 있습니다. 커밋 완료 메시지가 CLI에 표시된 후에도 시스템은 계속해서 정책을 컴파일하고 데이터 플레인으로 푸시할 수 있습니다.

    메모:

    경우에 따라 정책에 대한 컴파일 프로세스가 실패할 수 있습니다. 이 경우 구성에 표시되는 활성 정책이 디바이스에서 실행 중인 실제 정책과 일치하지 않을 수 있습니다. show security idp status 명령을 실행하여 실행 중인 정책을 확인합니다. 또한 침입 탐지 및 방지(IDP) 로그 파일을 보고 정책 로드 및 컴파일 상태를 확인할 수 있습니다.

  6. 커밋 스크립트 파일을 삭제하거나 비활성화합니다. 커밋 스크립트 파일을 삭제하면 구성을 커밋할 때 템플릿에 대한 수정 사항을 덮어쓰는 위험을 방지할 수 있습니다. 문을 비활성화하면 문에 비활성 태그가 추가되어 구성에서 문을 효과적으로 주석 처리합니다. 비활성으로 표시된 명령문은 명령을 실행할 commit 때 적용되지 않습니다.

자세한 내용은 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490 를 참조하십시오.

사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿 다운로드 및 사용(CLI 절차)

시작하기 전에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 Junos OS 인터페이스 구성 가이드를 참조하십시오.

사전 정의된 정책 템플릿을 다운로드하여 사용하려면:

  1. 스크립트 파일 templates.xsl/var/db/idpd/sec-download/sub-download 디렉터리에 다운로드합니다. 이 스크립트 파일에는 사전 정의된 침입 탐지 및 방지(IDP) 정책 템플릿이 포함되어 있습니다.
  2. templates.xls 파일을 /var/db/scripts/commit 디렉터리에 복사하고 이름을 templates.xsl로 바꿉니다.
  3. templates.xsl 스크립트 파일을 사용하도록 설정합니다. 커밋 시 Junos OS 관리 프로세스(mgd)는 /var/db/scripts/commit 디렉터리에서 스크립트를 찾고 후보 구성 데이터베이스에 대해 스크립트를 실행하여 구성이 스크립트에 지정된 규칙을 준수하는지 확인합니다.
  4. 구성을 커밋합니다. 구성을 커밋하면 다운로드한 템플릿이 Junos OS 구성 데이터베이스에 저장되고 계층 수준의 CLI [edit security idp idp-policy] 에서 사용할 수 있습니다.
  5. 다운로드한 템플릿 목록을 표시합니다.
  6. 사전 정의된 정책을 활성화합니다. 다음 문은 사전 정의된 침입 탐지 및 방지(IDP) Recommended 정책을 활성 정책으로 지정합니다.
  7. 커밋 스크립트 파일을 삭제하거나 비활성화합니다. 커밋 스크립트 파일을 삭제하면 구성을 커밋할 때 템플릿에 대한 수정 사항을 덮어쓰는 위험을 방지할 수 있습니다. 다음 명령 중 하나를 실행합니다.
  8. 디바이스 구성을 마치면 구성을 커밋합니다.
  9. 명령을 사용하여 구성을 확인할 수 있습니다 show security idp status . 자세한 정보는 Junos OS CLI Reference를 참조하십시오.

관련 문서