Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

PCAP용 IDP 유틸리티

패킷 캡처 이해하기

SRX300, SRX320, SRX340, SRX345, SRX550 SRX550HM 디바이스에서는 침입 탐지 및 방지(IDP) 확인 프로세스를 개선하기 위해 패킷 캡처(PCAP) 트래픽에 대해서만 컨텍스트 및 관련 데이터를 표시하고 지우기 위해 CLI 명령이 도입되었습니다.

inet 모드 또는 투명 모드에서 패킷 캡처 유틸리티를 실행하여 프로토콜 컨텍스트를 생성할 수 있습니다. UNIX 셸 프롬프트(%)에서 명령줄 PCAP 피더 유틸리티 도구를 실행해야 합니다.

PCAP 피더 유틸리티는 트래픽에서 사용할 수 있는 소스 및 대상 IPv4 주소 쌍, 패킷이 공급될 인터페이스 및 이러한 PCAP가 삽입되는 인터페이스에 대해 구성된 IPV4 주소를 사용합니다. PCAP가 이러한 인터페이스에 공급되면 PCAP 및 데이터와 연결된 컨텍스트 목록이 컨텍스트와 일치합니다. 컨텍스트, 히트 및 관련 데이터는 PCAP 피더에서 생성된 트래픽에 대해서만 표시됩니다. 실시간 트래픽 통계는 캡처되지 않습니다. 패킷을 공급하는 동안 인터페이스의 서브넷 IP에 패킷을 공급해야 합니다. 인터페이스 IP에 패킷을 공급하는 경우, 침입 탐지 및 방지(IDP) 보안 처리가 컨텍스트를 감지하지 못할 수 있습니다. 인터페이스 IP를 제외하고 다른 모든 서브넷 IP를 사용할 수 있습니다.

PCAP 피더 유틸리티 도구를 통해 새 PCAP를 실행하기 전에 다음 clear contexts 명령을 사용하여 기존 컨텍스트 및 데이터를 지웁니다.

Inet 모드 PCAP 피더에 사용되는 샘플 명령:

또는

투명 모드 PCAP 피더에 사용되는 샘플 명령:

또는

표 1 은 위에 제공된 샘플 출력에서 PCAP 피더 도구 필드를 정의합니다.

표 1:

Fields

Description

pcap --조용한

로그에 로그가 표시되지 않도록 합니다

pcap --verbose

콘솔에 로그가 표시되도록 합니다.

인터페이스-ip1

PCAP 패킷을 공급하기 위한 첫 번째 인터페이스의 IP 주소

인터페이스-ip2

PCAP 패킷을 공급하기 위한 다른 인터페이스의 IP 주소

PCAP-IP1

PCAP에 표시되는 IP 주소

PCAP-IP2〈블랙〉

PCAP에 표시되는 다른 IP 주소

인터페이스1

SRX 디바이스의 인터페이스 1

인터페이스2

SRX 디바이스의 인터페이스 1

PCAP 피더는 다음을 지원하지 않습니다.

  • IPv6 (영어)

  • FTP와 같은 다중 채널 프로토콜

예: inet 모드에서 패킷 캡처 피더 구성

이 예에서는 inet 모드에서 패킷 캡처(PCAP) 피더를 실행하여 프로토콜 컨텍스트를 생성하는 방법을 설명합니다.

요구 사항

시작하기 전에:

  • 네트워크 인터페이스를 구성합니다.

개요

관련 침입 탐지 및 방지(IDP) 정책과 함께 PCAP 피더를 실행하여 관련 프로토콜 컨텍스트를 가져옵니다. 이 예에서 PCAP는 자동 모드에서 pcap-ip1 6.0.0.1 및 pcap-ip2 7.0.0.1을 사용하여 공급됩니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

애플리케이션을 생성하여 침입 탐지 및 방지(IDP) 정책과 연결하려면 다음을 수행합니다.

  1. 의미 있는 이름을 할당하여 정책을 만들고, 규칙 베이스를 정책과 연결하고, 규칙 베이스에 규칙을 추가하고, 규칙에 대한 일치 기준을 정의합니다.

  2. 정책을 구성합니다.

  3. 영역을 구성하고 인터페이스를 할당합니다.

  4. 포워딩 인터페이스를 구성합니다.

결과

구성 모드에서 및 show applications 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

구성 확인

목적

PCAP 피더 도구를 사용하여 PCAP를 실행한 후 침입 탐지 및 방지(IDP) 공격 컨텍스트를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp attack context .

샘플 출력
명령 이름

예: 투명 모드에서 패킷 캡처 피더 구성

이 예에서는 투명 모드에서 패킷 캡처(PCAP) 피더를 실행하여 프로토콜 컨텍스트를 생성하는 방법을 설명합니다.

요구 사항

시작하기 전에:

  • 네트워크 인터페이스를 구성합니다.

개요

관련 침입 탐지 및 방지(IDP) 정책으로 일부 PCAP 피더를 실행하여 패킷 캡처에서 실행 중인 패킷에서 관련 프로토콜 컨텍스트를 가져옵니다. 이 예에서 PCAP 피더 pcap-ip 2 7.0.0.1 는 패킷을 공급하기 위해 자동 모드에서 사용됩니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

애플리케이션을 생성하여 침입 탐지 및 방지(IDP) 정책과 연결하려면 다음을 수행합니다.

  1. 구성 그룹을 설정합니다.

  2. 의미 있는 이름을 할당하여 정책을 만들고, 규칙 베이스를 정책과 연결하고, 규칙 베이스에 규칙을 추가하고, 규칙에 대한 일치 기준을 정의합니다.

  3. 정책을 구성합니다.

  4. 영역을 구성하고 인터페이스를 할당합니다.

  5. 포워딩 인터페이스를 구성합니다.

  6. VLAN-ID를 구성합니다.

결과

구성 모드에서 및 show applications 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

구성 확인

목적

PCAP 피더 도구를 사용하여 PCAP를 실행한 후 침입 탐지 및 방지(IDP) 공격 컨텍스트를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp attack context .

샘플 출력
명령 이름