Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Plantillas de política de IDP predefinidas

Juniper Networks proporciona plantillas de políticas predefinidas que puede usar como punto de partida para crear sus propias políticas. Cada plantilla es un conjunto de reglas de un tipo de base de reglas específico que puede copiar y, luego, actualizar de acuerdo con sus requisitos.

Descripción de las plantillas de política de IDP predefinidas

Las plantillas de políticas predefinidas están disponibles en el templates.xls archivo en un sitio web seguro de Juniper Networks. Para empezar a usar una plantilla, ejecute un comando desde la CLI para descargar y copiar este archivo en un /var/db/scripts/commit directorio.

Cada plantilla de política contiene reglas que usan las acciones predeterminadas asociadas con los objetos de ataque. Debe personalizar estas plantillas para que funcionen en su red seleccionando sus propias direcciones de origen y destino, y eligiendo acciones de IDP que reflejen sus necesidades de seguridad.

Las plantillas de cliente/servidor están diseñadas para facilitar su uso y proporcionan un rendimiento y una cobertura equilibrados. Las plantillas de cliente/servidor incluyen protección de cliente, protección de servidor y protección de cliente/servidor.

Cada una de las plantillas de cliente/servidor tiene dos versiones específicas del dispositivo, una versión de 1 gigabyte (GB) y una versión de 2 GB.

Nota:

Las versiones de 1 gigabyte etiquetadas como 1G solo se deben usar para dispositivos que estén limitados a 1 GB de memoria. Si un dispositivo de 1 GB carga algo que no sea una política de 1 GB, es posible que el dispositivo experimente errores de compilación de políticas debido a una memoria limitada o a una cobertura limitada. Si un dispositivo de 2 GB carga algo que no sea una política de 2 GB, es posible que el dispositivo tenga una cobertura limitada.

Utilice estas plantillas como guía para crear políticas. Recomendamos que haga una copia de estas plantillas y use la copia (no la original) para la política. Este enfoque le permite realizar cambios en la política y evitar problemas futuros debidos a cambios en las plantillas de política.

En la tabla 1 se resumen las plantillas predefinidas de política de IDP proporcionadas por Juniper Networks.

Tabla 1: Plantillas de política de IDP predefinidas

Nombre de la plantilla

Descripción

Client-And-Server-Protection

Diseñado para proteger tanto a clientes como a servidores. Para usar en dispositivos de alta memoria con 2 GB o más de memoria.

Client-And-Server-Protection-1G

Diseñado para proteger tanto a clientes como a servidores. Para usar en todos los dispositivos, incluidos los dispositivos de sucursal de baja memoria.

Client-Protection

Diseñado para proteger a los clientes. Para usar en dispositivos de alta memoria con 2 GB o más de memoria.

Client-Protection-1G

Diseñado para proteger a los clientes. Para usar en todos los dispositivos, incluidos los dispositivos de sucursal de baja memoria.

DMZ Services

Protege un entorno típico de zona desmilitarizada (ZDM).

DNS Server

Protege los servicios del sistema de nombres de dominio (DNS).

File Server

Protege los servicios de uso compartido de archivos, como el sistema de archivos de red (NFS), FTP y otros.

Getting Started

Contiene reglas muy abiertas. Útil en entornos de laboratorio controlados, pero no se debe implementar en redes en vivo de tráfico pesado.

IDP Default

Contiene una buena combinación de seguridad y rendimiento.

Recommended

Contiene solo los objetos de ataque etiquetados como recommended por Juniper Networks. Todas las reglas tienen su columna Acciones establecida para realizar la acción recomendada para cada objeto de ataque.

Server-Protection

Diseñado para proteger los servidores. Para usar en dispositivos de alta memoria con 2 GB o más de memoria.

Server-Protection-1G

Diseñado para proteger los servidores. Para usar en todos los dispositivos, incluidos los dispositivos de sucursal de baja memoria.

Web Server

Protege los servidores HTTP de ataques remotos.

Para usar plantillas de políticas predefinidas:

  1. Descargue las plantillas de políticas desde el sitio web de Juniper Networks.

  2. Instale las plantillas de políticas.

  3. Habilite el archivo de templates.xls script. Los scripts de confirmación del /var/db/scripts/commit directorio se omiten si no están habilitados.

  4. Elija una plantilla de política adecuada para usted y personalízala si es necesario.

  5. Active la política que desea ejecutar en el sistema. Activar la política puede tardar unos minutos. Incluso después de mostrar un mensaje de confirmación completa en la CLI, es posible que el sistema continúe compilando e insertando la política en el plano de datos.

    Nota:

    Ocasionalmente, es posible que el proceso de compilación falle en una política. En este caso, es posible que la política activa que se muestra en la configuración no coincida con la política real que se ejecuta en el dispositivo. Ejecute el show security idp status comando para comprobar la política en ejecución. Además, puede ver los archivos de registro de IDP para comprobar el estado de la carga y la compilación de la política.

  6. Elimine o desactive el archivo de script de confirmación. Al eliminar el archivo de secuencia de comandos de confirmación, evita el riesgo de sobrescribir modificaciones en la plantilla al confirmar la configuración. La desactivación de la instrucción agrega una etiqueta inactiva a la instrucción, lo que efectivamente comenta la instrucción desde la configuración. Las instrucciones marcadas como inactivas no tienen efecto cuando se emite el commit comando.

Para obtener más información, consulte https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490.

Descarga y uso de plantillas de política de IDP predefinidas (procedimiento de CLI)

Antes de comenzar, configure las interfaces de red. Consulte la Guía de configuración de interfaces de Junos OS para dispositivos de seguridad.

Para descargar y usar una plantilla de política predefinida:

  1. Descargue el archivo de script templates.xls al directorio/var/db/idpd/sec-download/sub-download . Este archivo de script contiene plantillas de política de IDP predefinidas.
  2. Copie el archivo templates.xls al directorio /var/db/scripts/commit y cambie el nombre a templates.xsl.
  3. Habilite el archivo de scripts templates.xsl . En el momento de confirmar, el proceso de administración (mgd) de Junos OS busca scripts en el directorio /var/db/scripts/commit y ejecuta el script en la base de datos de configuración del candidato para garantizar que la configuración se ajuste a las reglas dictadas por los scripts.
  4. Confirme la configuración. Confirmar la configuración guarda las plantillas descargadas en la base de datos de configuración de Junos OS y las hace disponibles en la CLI en el [edit security idp idp-policy] nivel de jerarquía.
  5. Muestra la lista de plantillas descargadas.
  6. Active la política predefinida. La siguiente instrucción especifica la Recommended política de IDP predefinida como la política activa:
  7. Elimine o desactive el archivo de script de confirmación. Al eliminar el archivo de secuencia de comandos de confirmación, evita el riesgo de sobrescribir modificaciones en la plantilla al confirmar la configuración. Ejecute uno de los comandos siguientes:
  8. Si termina de configurar el dispositivo, confirme la configuración.
  9. Puede comprobar la configuración mediante el show security idp status comando. Para obtener más información, consulte la referencia de CLI de Junos OS.