Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Modelos de política de IDP predefinidos

A Juniper Networks fornece modelos de política predefinidos que você pode usar como ponto de partida para criar suas próprias políticas. Cada modelo é um conjunto de regras de um tipo de base de regras específico que você pode copiar e depois atualizar de acordo com seus requisitos.

Entendendo modelos de políticas de IDP predefinidos

Os modelos de política predefinidos estão disponíveis no arquivo em um site seguro da templates.xls Juniper Networks. Para começar a usar um modelo, você executa um comando da CLI para baixar e copiar este arquivo para um /var/db/scripts/commit diretório.

Cada modelo de política contém regras que usam as ações padrão associadas aos objetos de ataque. Você deve personalizar esses modelos para trabalhar em sua rede selecionando seus próprios endereços de origem e destino e escolhendo ações de IDP que reflitam suas necessidades de segurança.

Os modelos de cliente/servidor foram projetados para facilitar o uso e fornecer desempenho e cobertura equilibrados. Os modelos de cliente/servidor incluem proteção do cliente, proteção de servidor e proteção de cliente/servidor.

Cada um dos modelos de cliente/servidor tem duas versões específicas do dispositivo, uma versão de 1 gigabyte (GB) e uma versão de 2 GB.

Nota:

As versões de 1 gigabyte rotuladas de 1G só devem ser usadas para dispositivos limitados a 1 GB de memória. Se um dispositivo de 1 GB carregar algo além de uma política de 1 GB, o dispositivo pode experimentar erros de compilação de políticas devido à memória limitada ou cobertura limitada. Se um dispositivo de 2 GB carregar algo além de uma política de 2 GB, o dispositivo pode experimentar cobertura limitada.

Use esses modelos como diretriz para a criação de políticas. Recomendamos que você faça uma cópia desses modelos e use a cópia (não a original) para a política. Essa abordagem permite que você faça alterações na política e evite problemas futuros devido a mudanças nos modelos de política.

A Tabela 1 resume os modelos de política de IDP predefinidos fornecidos pela Juniper Networks.

Tabela 1: Modelos de políticas de IDP predefinidos

Nome do modelo

Descrição

Client-And-Server-Protection

Projetado para proteger clientes e servidores. Para ser usado em dispositivos de alta memória com 2 GB ou mais de memória.

Client-And-Server-Protection-1G

Projetado para proteger clientes e servidores. Para ser usado em todos os dispositivos, incluindo dispositivos de filial de baixa memória.

Client-Protection

Projetado para proteger os clientes. Para ser usado em dispositivos de alta memória com 2 GB ou mais de memória.

Client-Protection-1G

Projetado para proteger os clientes. Para ser usado em todos os dispositivos, incluindo dispositivos de filial de baixa memória.

DMZ Services

Protege um ambiente típico de zona desmilitarizada (DMZ).

DNS Server

Protege serviços de DNS (Domain Name System, Sistema de nomes de domínio).

File Server

Protege serviços de compartilhamento de arquivos, como o Network File System (NFS), FTP e outros.

Getting Started

Contém regras muito abertas. Útil em ambientes de laboratório controlados, mas não deve ser implantado em redes ao vivo de tráfego pesado.

IDP Default

Contém uma boa combinação de segurança e desempenho.

Recommended

Contém apenas os objetos de ataque marcados como recommended pela Juniper Networks. Todas as regras têm sua coluna de ações definida para tomar a ação recomendada para cada objeto de ataque.

Server-Protection

Projetado para proteger servidores. Para ser usado em dispositivos de alta memória com 2 GB ou mais de memória.

Server-Protection-1G

Projetado para proteger servidores. Para ser usado em todos os dispositivos, incluindo dispositivos de filial de baixa memória.

Web Server

Protege servidores HTTP contra ataques remotos.

Para usar modelos de política predefinidos:

  1. Baixe os modelos de políticas no site da Juniper Networks.

  2. Instale os modelos de políticas.

  3. Habilite o arquivo de templates.xls script. Os scripts de confirmação no /var/db/scripts/commit diretório são ignorados se não estiverem habilitados.

  4. Escolha um modelo de política apropriado para você e personalize-o se necessário.

  5. Ative a política que você deseja executar no sistema. Ativar a política pode levar alguns minutos. Mesmo após a exibição de uma mensagem completa de confirmação na CLI, o sistema pode continuar compilando e empurrando a política para o plano de dados.

    Nota:

    Ocasionalmente, o processo de compilação pode falhar em uma política. Neste caso, a política ativa exibida em sua configuração pode não corresponder à política real em execução em seu dispositivo. Execute o show security idp status comando para verificar a política em execução. Além disso, você pode visualizar os arquivos de log IDP para verificar a carga da política e o status da compilação.

  6. Exclua ou desative o arquivo de script de confirmação. Ao excluir o arquivo de script de confirmação, você evita o risco de substituir modificações no modelo quando você confirma a configuração. Desativar a declaração adiciona uma tag inativa à declaração, comentando efetivamente a declaração da configuração. Declarações marcadas como inativas não surtiram efeito quando você emite o commit comando.

Para obter mais informações, veja https://kb.juniper.net/InfoCenter/index?page=content&id=KB16490.

Download e uso de modelos de política de IDP predefinidos (procedimento CLI)

Antes de começar, configure interfaces de rede. Consulte o guia de configuração de interfaces do Junos OS para dispositivos de segurança.

Baixar e usar um modelo de política predefinido:

  1. Baixe os templates de arquivo de script.xsl para o diretório /var/db/idpd/sec-download/sub-download. Este arquivo de script contém modelos de política de IDP predefinidos.
  2. Copie o arquivo de templates.xls para /var/db/scripts/commit directory e renomeie-o para templates.xsl.
  3. Habilite o arquivo de scripts templates.xsl . No momento do compromisso, o processo de gerenciamento do Junos OS (mgd) analisa o /var/db/scripts/commit directory para scripts e executa o script contra o banco de dados de configuração do candidato para garantir que a configuração esteja em conformidade com as regras ditadas pelos scripts.
  4. Confirmar a configuração. O comprometimento da configuração economiza os modelos baixados no banco de dados de configuração do Junos OS e os torna disponíveis na CLI no nível hierárquicos [edit security idp idp-policy] .
  5. Exibir a lista de modelos baixados.
  6. Ativar a política predefinida. A declaração a seguir especifica a Recommended política de IDP predefinida como a política ativa:
  7. Exclua ou desative o arquivo de script de confirmação. Ao excluir o arquivo de script de confirmação, você evita o risco de substituir modificações no modelo quando você confirma a configuração. Execute um dos seguintes comandos:
  8. Se você terminar de configurar o dispositivo, confirme a configuração.
  9. Você pode verificar a configuração usando o show security idp status comando. Para obter mais informações, veja a referência do Junos OS CLI.

Documentação relacionada