Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar los dispositivos de la serie SRX para bloquear hosts infectados

Una fuente de host infectado enumera los hosts que se han visto comprometidos y que deben estar en cuarentena para no comunicarse con otros dispositivos. La fuente tiene el formato de direcciones IP, todas con un nivel de amenaza de 10, por ejemplo, xxx.xxx.xxx.133 con nivel de amenaza 10. Puede configurar políticas de seguridad para llevar a cabo acciones de cumplimiento en el tráfico de entrada y salida hacia y desde un host cuya dirección IP se muestra en la fuente. La fuente de host infectado se descarga al dispositivo de la serie SRX solo cuando el perfil de host infectado está configurado y habilitado en una política de firewall.

Nota:

Una vez que se cumple el umbral global de ATP Cloud de Juniper para un host infectado (consulte Configuración para hosts infectados), ese host se agrega a la fuente de hosts infectados y la nube le asigna un nivel de amenaza de 10. Por lo tanto, todas las direcciones IP de la fuente de hosts infectados son de nivel de amenaza 10.

Para crear el perfil de host infectado y la política de firewall:

  1. Defina un perfil tanto para el host infectado como para el CC. En este ejemplo, se nombra ih-profile el perfil de host infectado y la acción es bloquear cualquier cosa con un nivel de amenaza de 10. El perfil de host CC se denomina cc-profile y se basa en solicitudes salientes a un host C&C, por lo que agregar reglas de C&C al perfil (los niveles de amenaza 8 y superiores están bloqueados.

    A partir de Junos 18.1R1. es compatible con la acción de bloque con redirección de URL HTTP para hosts infectados. Durante el procesamiento de una dirección IP de sesión, si la dirección IP en la lista de hosts infectados y el tráfico HTTP está usando los puertos 80 o 8080, se puede hacer la redirección HTTP de hosts infectados. Si el tráfico HTTP usa puertos dinámicos, no se puede realizar la redirección del tráfico HTTP. Consulte el comando a continuación.

  2. Verifique su comando con el show services security-intelligence Comando cli. Debería ser similar a esto:
  3. Configure la política de inteligencia de seguridad para incluir ambos perfiles creados en el paso 1. En este ejemplo, la política se denomina infected-host-cc-policy.
  4. Configure la política de firewall para incluir la política de inteligencia de seguridad. En este ejemplo, se establece la zona de confianza a no confianza.
  5. Verifique su comando con el show security policies Comando cli. Debería ser similar a esto:
  6. Confirme los cambios.