Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

감염된 호스트를 차단하도록 SRX 시리즈 디바이스 구성

감염된 호스트 피드는 감염된 호스트와 다른 디바이스와의 통신에서 격리해야 하는 호스트를 나열합니다. 피드는 위협 수준이 10인 IP 주소 형식입니다(예: 위협 수준이 10인 xxx.xxx.xxx.133). IP 주소가 피드에 나열된 호스트로의 인바운드 및 아웃바운드 트래픽에서 실행 조치를 취할 수 있도록 보안 정책을 구성할 수 있습니다. 감염된 호스트 피드는 감염된 호스트 프로필이 방화벽 정책에서 구성되고 활성화된 경우에만 SRX 시리즈 디바이스로 다운로드됩니다.

참고:

감염된 호스트에 대한 Juniper ATP 클라우드 글로벌 임계값을 충족하면( 감염된 호스트 구성 참조), 해당 호스트는 감염된 호스트 피드에 추가되고 클라우드에 의해 위협 수준이 10으로 할당됩니다. 따라서 감염된 호스트 피드의 모든 IP 주소는 위협 수준 10입니다.

감염된 호스트 프로필, 정책 및 방화벽 정책을 생성하려면 다음을 수행합니다.

  1. 감염된 호스트와 CC 모두에 대한 프로필을 정의합니다. 이 예에서 감염된 호스트 프로필의 이름이 지정 ih-profile 되고 위협 수준이 10인 모든 것을 차단합니다. CC 호스트 프로필의 이름이 지정 cc-profile 되며 C&C 호스트에 대한 아웃바운드 요청을 기반으로 하므로 프로필에 C&C 규칙을 추가합니다(위협 수준 8 이상은 차단됩니다).

    Junos 18.1R1 현재. 감염된 호스트에 대한 HTTP URL 리디렉션을 통해 차단 작업을 지원합니다. 세션 IP 주소를 처리하는 동안 감염된 호스트 목록의 IP 주소와 HTTP 트래픽이 포트 80 또는 8080을 사용하는 경우 감염된 호스트 HTTP 리디렉션이 수행될 수 있습니다. HTTP 트래픽이 동적 포트를 사용하는 경우 HTTP 트래픽 리디렉션을 수행할 수 없습니다. 아래 명령을 참조하십시오.

  2. 다음을 사용하여 show services security-intelligence 명령을 확인합니다. CLI 명령. 이와 유사하게 보입니다.
  3. 1단계에서 생성된 두 프로필을 모두 포함하도록 보안 인텔리전스 정책을 구성합니다. 이 예에서는 정책 이름이 infected-host-cc-policy입니다.
  4. 보안 인텔리전스 정책을 포함하도록 방화벽 정책을 구성합니다. 이 예는 신뢰와 신뢰할 수 없는 영역을 설정합니다.
  5. 다음을 사용하여 show security policies 명령을 확인합니다. CLI 명령. 이와 유사하게 보입니다.
  6. 변경 사항을 커밋합니다.