Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

사전 정의된 IDP 정책 템플릿

주니퍼 네트웍스 정책을 생성하기 위한 시작 지점으로 사용할 수 있는 사전 정의된 정책 템플릿을 제공합니다. 각 템플릿은 요구 사항에 따라 복사하여 업데이트할 수 있는 특정 규칙 베이스 유형의 규칙 집합입니다.

사전 정의된 IDP 정책 템플릿 이해하기

사전 정의된 정책 템플릿은 보안 주니퍼 네트웍스 웹 사이트의 파일에서 templates.xls 사용할 수 있습니다. 템플릿 사용을 시작하려면 CLI의 명령을 실행하여 이 파일을 다운로드하여 디렉터리로 /var/db/scripts/commit 복사합니다.

각 정책 템플릿에는 공격 객체와 관련된 기본 작업을 사용하는 규칙이 포함되어 있습니다. 자체 소스 및 대상 주소를 선택하고 보안 요구를 반영하는 IDP 작업을 선택하여 네트워크에서 작동하도록 이러한 템플릿을 사용자 정의해야 합니다.

클라이언트/서버 템플릿은 사용 편의성을 위해 설계되었으며 균형 잡힌 성능과 커버리지를 제공합니다. 클라이언트/서버 템플릿에는 클라이언트 보호, 서버 보호 및 클라이언트/서버 보호가 포함됩니다.

각 클라이언트/서버 템플릿에는 디바이스별 버전 2개, 1기가바이트(GB) 버전 및 2GB 버전이 있습니다.

참고:

1G로 레이블이 지정된 1 기가바이트 버전은 1GB 메모리로 제한되는 디바이스에만 사용해야 합니다. 1GB 디바이스가 1GB 정책 이외의 것을 로드하는 경우, 디바이스는 제한된 메모리 또는 제한된 범위로 인해 정책 컴파일 오류가 발생할 수 있습니다. 2GB 디바이스가 2GB 정책 이외의 것을 로드하면 디바이스가 제한된 커버리지를 경험할 수 있습니다.

이러한 템플릿을 정책 작성 지침으로 사용합니다. 이러한 템플릿의 복사본을 만들고 정책에 카피(원본이 아님)를 사용하는 것이 좋습니다. 이 접근 방식을 사용하면 정책을 변경할 수 있으며 정책 템플릿의 변경으로 인해 향후 문제를 방지할 수 있습니다.

표 1 에는 주니퍼 네트웍스 제공하는 사전 정의된 IDP 정책 템플릿이 요약되어 있습니다.

표 1: 사전 정의된 IDP 정책 템플릿

템플릿 이름

설명

Client-And-Server-Protection

클라이언트와 서버 모두를 보호하도록 설계되었습니다. 2GB 이상의 메모리를 갖춘 대용량 메모리 디바이스에서 사용

Client-And-Server-Protection-1G

클라이언트와 서버 모두를 보호하도록 설계되었습니다. 저용량 메모리 브랜치 디바이스를 비롯한 모든 디바이스에서 사용할 수 있습니다.

Client-Protection

클라이언트를 보호하도록 설계되었습니다. 2GB 이상의 메모리를 갖춘 대용량 메모리 디바이스에서 사용

Client-Protection-1G

클라이언트를 보호하도록 설계되었습니다. 저용량 메모리 브랜치 디바이스를 비롯한 모든 디바이스에서 사용할 수 있습니다.

DMZ Services

일반적인 DMZ(비무장지대) 환경을 보호합니다.

DNS Server

DNS(Domain Name System) 서비스를 보호합니다.

File Server

NFS(Network File System), FTP 등과 같은 파일 공유 서비스를 보호합니다.

Getting Started

매우 개방형 규칙이 포함되어 있습니다. 제어된 랩 환경에서 유용하지만, 트래픽이 많은 라이브 네트워크에 구축해서는 안 됩니다.

IDP Default

보안과 성능이 잘 혼합되어 있습니다.

Recommended

주니퍼 네트웍스 의해 태그 처리된 recommended 공격 객체만 포함합니다. 모든 규칙에는 각 공격 개체에 대해 권장 조치를 취하도록 동작 열이 설정되어 있습니다.

Server-Protection

서버를 보호하도록 설계되었습니다. 2GB 이상의 메모리를 갖춘 대용량 메모리 디바이스에서 사용

Server-Protection-1G

서버를 보호하도록 설계되었습니다. 저용량 메모리 브랜치 디바이스를 비롯한 모든 디바이스에서 사용할 수 있습니다.

Web Server

원격 공격으로부터 HTTP 서버를 보호합니다.

사전 정의된 정책 템플릿 사용:

  1. 주니퍼 네트웍스 웹 사이트에서 정책 템플릿을 다운로드합니다.

  2. 정책 템플릿을 설치합니다.

  3. 스크립트 파일을 활성화합니다 templates.xls . 디렉토리의 /var/db/scripts/commit 커밋 스크립트는 활성화되지 않은 경우 무시됩니다.

  4. 귀하에게 적합한 정책 템플릿을 선택하고 필요한 경우 사용자 지정할 수 있습니다.

  5. 시스템에서 실행할 정책을 활성화합니다. 정책을 활성화하는 데 몇 분 정도 걸릴 수 있습니다. 커밋 전체 메시지가 CLI에 표시되는 경우에도 시스템은 계속해서 컴파일하여 정책을 데이터 플레인에 푸시할 수 있습니다.

    참고:

    때때로 컴파일 프로세스가 정책에 실패할 수 있습니다. 이 경우 구성에 표시되는 활성 정책이 디바이스에서 실행되는 실제 정책과 일치하지 않을 수 있습니다. show security idp status 명령을 실행하여 실행 정책을 확인합니다. 또한 IDP 로그 파일을 보고 정책 로드 및 컴파일 상태를 확인할 수 있습니다.

  6. 커밋 스크립트 파일을 삭제하거나 비활성화합니다. 커밋 스크립트 파일을 삭제하면 구성을 커밋할 때 템플릿에 대한 수정을 덮어쓰지 않아도 됩니다. 문을 비활성화하면 문에 비활성 태그가 추가되어 구성에서 명령문을 효과적으로 주석화합니다. 비활성으로 표시된 문은 명령을 실행할 commit 때 적용되지 않습니다.

자세한 내용은 https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490.

사전 정의된 IDP 정책 템플릿 다운로드 및 사용(CLI 절차)

시작하기 전에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 Junos OS 인터페이스 구성 가이드를 참조하십시오.

사전 정의된 정책 템플릿을 다운로드하고 사용하려면,

  1. 스크립트 파일 Templates.xls 를 the/var/db/idpd/sec-download/sub-download directory로 다운로드 합니다. 이 스크립트 파일에는 사전 정의된 IDP 정책 템플릿이 포함되어 있습니다.
  2. Templates.xls 파일을 /var/db/scripts/commit directory로 복사하여 templates.xsl로 바꿉니다.
  3. Templates.xsl 스크립트 파일을 활성화합니다. 커밋 시간에 Junos OS 관리 프로세스(mgd)는 스크립트의 /var/db/스크립트/커밋 디렉토리를 살펴보고 후보 구성 데이터베이스에 대해 스크립트를 실행하여 구성이 스크립트가 지정한 규칙과 일치하도록 합니다.
  4. 구성을 커밋합니다. 구성을 커밋하면 다운로드한 템플릿을 Junos OS 구성 데이터베이스에 저장하고 계층 수준의 CLI에서 [edit security idp idp-policy] 사용할 수 있습니다.
  5. 다운로드한 템플릿 목록을 표시합니다.
  6. 사전 정의된 정책을 활성화합니다. 다음 문은 사전 정의된 IDP 정책을 활성 정책으로 지정합니다Recommended.
  7. 커밋 스크립트 파일을 삭제하거나 비활성화합니다. 커밋 스크립트 파일을 삭제하면 구성을 커밋할 때 템플릿에 대한 수정을 덮어쓰지 않아도 됩니다. 다음 명령 중 하나를 실행합니다.
  8. 디바이스 구성이 완료되면 구성을 커밋합니다.
  9. 명령을 사용하여 구성을 show security idp status 확인할 수 있습니다. 자세한 내용은 Junos OS CLI 참조를 참조하십시오.