为 MX 系列路由器配置 SecIntel 源
概述
SecIntel 提供从瞻博网络 ATP 云到 MX 系列路由平台的精心策划、经过验证的威胁情报,以无与伦比的线速阻止恶意 IP 之间的命令和控制通信。
通过 SecIntel 和 MX 系列路由器集成,您可以:
- 检测并阻止已知的恶意IP、受感染的C&C主机和DDoS攻击。
- Sinkhole 恶意 DNS 请求。
- 启用客户 IP 威胁源。
从 Junos OS 19.3R1 及更高版本开始,MX240、MX480 和 MX960 路由器使用策略实施器支持 SecIntel 源。
从 Junos OS 22.1R1 及更高版本开始,MX 设备上的 SecIntel 源包括 GeoIP 过滤以及瞻博网络 ATP 云的直接注册选项。
MX240、MX480 和 MX960 路由器支持直接注册瞻博网络 ATP 云。
有关更多信息,请参阅 MX 上的瞻博网络 SecIntel。
好处
通过 SecIntel 和 MX 系列路由器集成,您可以:
-
在攻击开始之前将其关闭。
-
保护用户、应用程序和基础架构(包括订阅者)免受损害。
-
将连接层转变为安全层,无需额外的基础架构。
用例 1:直接注册瞻博网络 ATP 云
在早期版本中,MX 系列路由器通过 Junos Space Security Director/策略实施器下载 SecIntel 源。从 Junos OS 22.1R1 版开始,MX 系列路由器可以直接从云源下载全局 SecIntel 源,而无需注册瞻博网络 ATP 云。
在此用例中,我们将了解如何在不连接到 Junos Space Security Director 或策略实施器的情况下将 MX 系列路由器注册到瞻博网络 ATP 云。
拓扑
先决条件
- 适用于 MX 系列的瞻博网络 SecIntel 许可证 (-S-MXxxx-CSECINTELx)。
流程
-
从瞻博网络获取适用于您的 MX 系列路由器的 SecIntel 许可证。您将需要软件序列号 (SSRN)。
-
将 MX 系列路由器注册到瞻博网络 ATP 云。
-
验证来自瞻博网络 ATP 云的源。
-
实施过滤配置以强制执行下载的源。
MX 系列路由器上所需的配置
- 注册脚本
- 过滤器配置
您只能配置美国区域云馈送终端节点。所有 MX 云馈送请求仅从美国区域 CF 提供服务。
软件支持参考号 (SSRN) 是在购买瞻博网络软件许可证后以电子方式发货的履行文档中提供的软件序列号。
如果已安装软件的许可证,则可以通过运行 show system license
命令获取软件支持参考号 (SSRN)。SSRN 作为 JUNOS 中列出的“软件序列号”的前 12 位数字包含在内。
某些产品将采用以下格式报告其 SSRN,这会为购买的每个软件实例创建一个唯一标识符。在这种情况下,请删除后缀字母,这将保留实际的数字 SSRN 以用于支持授权目的。
> show system license Software Serial Number: XXXXXXXXXXXX-abcdef Support Reference Number: XXXXXXXXXXXX
要从云源接收源,请先向瞻博网络 ATP 云注册 MX 系列路由器。要注册的示例命令是:
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/enroll/secintel/mx/mx-secintel.slax version 21.3XYZ is valid for bootstrapping. Please provide the Juniper SecIntel license SSRN or press 0 to cancel Secintel license SSRN: XXXXXXXXXXXXXXXX
要从 MX 系列路由器中删除 SecIntel 配置,必须取消注册设备。要取消注册的示例命令是:
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/disenroll/secintel/mx/mx-secintel.slaxversion 21.3XYZ is valid for bootstrapping. Please provide the activation code or press 0 to cancel SSRN: XXXXXXXXXXXXXXXX
以下全局 SecIntel 源可用于 MX 系列路由器:
- cc_ip_data
- cc_ipv6_data
- cc_ip_blocklist
- geoip_country
- geoip_country_ipv6
好处
- 无需使用 Junos Space SD 或 PE 进行复杂设置。
- 简单的配置以强制执行下载的源。
用例 2:使用 Junos Space Security Director 和策略实施器注册瞻博网络 ATP 云。
在此用例中,我们将了解如何使用 Junos Space Security Director 和策略实施器将 MX 系列路由器注册到瞻博网络 ATP 云。
拓扑
流程
- Junos Space Security Director 和策略实施器的配置。
- 在 Junos Space 中发现 MX 系列路由器,作为设备添加到威胁防护结构中(这是 MX 系列路由器到策略实施器的注册过程)。
- 许可证要求(请联系瞻博网络销售/客户团队)。
MX 系列路由器和 SD/PE 上所需的配置
- SD 中的自定义源配置。
- 了解如何在 MX 系列路由器上应用源。
- MX 系列路由器上的过滤器配置。
好处
- 可通过服务提供商路由器上的 VRF 为每个客户提供服务定制源。
- 所有威胁缓解措施均以线速处理,从而提高了性能。
用例 3:识别和阻止 MX 系列路由器上的命令和控制流量
在此用例中,我们将了解如何在连接的安全设置中阻止网络边缘的C&C流量。在这里,客户端试图到达C&C服务器,MX路由器用于阻止流量。
拓扑
MX 系列路由器和 SD/PE 上所需的配置
-
Juniper ATP Cloud C&C feed和Security Director with Policy Enforcer。
-
瞻博网络 MX 系列路由器。
流程
-
策略实施器从瞻博网络 ATP 云下载 C&C 源。
-
Juniper MX 系列路由器从策略实施器下载 C&C 源。
-
瞻博网络 MX 系列路由器将 IP 数据添加到临时数据库过滤器。
-
Juniper MX 系列路由器丢弃进出 C&C 源中列出的 C&C 服务器的流量,从而防范僵尸网络和恶意软件。
-
Juniper MX 系列路由器将 C&C 保护从负载不足或不支持 C&C 源的防火墙中卸载。
有关配置详细信息,请参阅 MX 上的 SecIntel 演示。