为 MX 系列路由器配置 SecIntel 源
概述
SecIntel 提供精心策划、经过验证的威胁情报,从瞻博网络 ATP 云到 MX 系列路由平台,以无与伦比的线速阻止恶意 IP 之间的命令和控制通信。
通过 SecIntel 和 MX 系列路由器集成,您可以:
- 检测并阻止已知的恶意 IP、受感染的 C&C 主机和 DDoS 攻击。
- Sinkhole 恶意 DNS 请求。
- 启用客户 IP 威胁源。
从 Junos OS 19.3R1 及更高版本开始,通过使用策略实施器,MX240、MX480 和 MX960 路由器支持 SecIntel 源。
从 Junos OS 22.1R1 及更高版本开始,MX 设备上的 SecIntel 源包括 GeoIP 过滤以及瞻博网络 ATP 云的直接注册选项。
MX240、MX480 和 MX960 路由器支持直接注册到瞻博网络 ATP 云。
有关详细信息,请参阅 MX 上的瞻博网络 SecIntel。
好处
通过 SecIntel 和 MX 系列路由器集成,您可以:
-
在攻击开始之前就将其阻止。
-
保护用户、应用和基础架构(包括订阅者)免受损害。
-
将连接层转化为安全层,无需额外基础架构。
用例 1:直接注册到瞻博网络 ATP 云
在早期版本中,MX 系列路由器通过 Junos Space Security Director/策略实施器下载 SecIntel 源。从 Junos OS 22.1R1 版开始,MX 系列路由器可以直接从云源下载全局 SecIntel 源,而无需注册瞻博网络 ATP 云。
在此用例中,我们将了解如何在不连接到 Junos Space Security Director 或策略实施器的情况下,将 MX 系列路由器注册到瞻博网络 ATP 云。
拓扑学
先决条件
- 适用于 MX 系列通用路由器的瞻博网络 SecIntel 许可证 (-S-MXxxx-CSECINTELx)。
工作流程
-
从瞻博网络获取 MX 系列通用路由器的 SecIntel 许可证。有关 MX 系列通用路由器许可证,请参阅 MX 系列路由器和 MPC 服务卡的软件许可证。您将需要软件序列号 (SSRN)。
-
将 MX 系列路由器注册到瞻博网络 ATP 云。
-
验证来自瞻博网络 ATP 云的源。
-
实施过滤配置以强制执行下载的源。
MX 系列路由器上所需的配置
- 注册脚本
- 过滤器配置
您只能配置美国地域 cloudfeed 终端节点。所有 MX 云馈送请求仅从美国区域 CF 提供。
软件支持参考编号 (SSRN) 是购买瞻博网络软件许可证后以电子方式交付的履行单据上提供的软件序列号。
如果已为您的软件安装许可证,则可以通过运行 show system license
命令来获取软件支持参考编号 (SSRN)。SSRN 作为 JUNOS 中所列“软件序列号”的前 12 位数字包含在内。
某些产品将按以下格式报告其 SSRN,该格式为购买的每个软件实例创建唯一标识符。在此方案中,请删除后缀字母,这将使实际的数字 SSRN 用于支持权利目的。
> show system license Software Serial Number: XXXXXXXXXXXX-abcdef Support Reference Number: XXXXXXXXXXXX
要从云源接收源,请先使用瞻博网络 ATP 云注册 MX 系列路由器。要注册的示例命令为:
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/enroll/secintel/mx/mx-secintel.slax version 21.3XYZ is valid for bootstrapping. Please provide the Juniper SecIntel license SSRN or press 0 to cancel Secintel license SSRN: XXXXXXXXXXXXXXXX
要从 MX 系列路由器中移除 SecIntel 配置,必须取消注册设备。取消注册的示例命令为:
rootuser> op url https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/disenroll/secintel/mx/mx-secintel.slaxversion 21.3XYZ is valid for bootstrapping. Please provide the activation code or press 0 to cancel SSRN: XXXXXXXXXXXXXXXX
以下全局 SecIntel 源可用于 MX 系列路由器:
- cc_ip_data
- cc_ipv6_data
- cc_ip_blocklist
- geoip_country
- geoip_country_ipv6
好处
- 无需使用 Junos Space SD 或 PE 进行复杂设置。
- 配置简单,即可强制执行下载的源。
用例 2:使用 Junos Space Security Director 和策略实施器注册到瞻博网络 ATP 云。
在此用例中,我们将了解如何使用 Junos Space Security Director 和策略实施器将 MX 系列路由器注册到瞻博网络 ATP 云。
拓扑学
工作流程
- 配置 Junos Space Security Director 和策略实施器。
- 在 Junos Space 中发现 MX 系列路由器,并将其作为设备添加到威胁防御交换矩阵中(这是 MX 系列路由器向策略实施器的注册过程)。
- 许可证要求(联系瞻博网络销售/客户团队)。
需要在 MX 系列路由器和 SD/PE 上进行配置
- SD 中的自定义源配置。
- 了解如何在 MX 系列路由器上应用源。
- MX 系列路由器上的过滤器配置。
好处
- 服务提供商路由器上的 VRF 可为每个客户提供服务后定制源。
- 所有威胁缓解均以线速处理,从而提高了性能。
用例 3:识别并阻止 MX 系列路由器上的命令和控制流量
在此用例中,我们将了解如何在互连安全设置中阻止网络边缘的 C&C 流量。在这里,客户端正在尝试访问 C&C 服务器,而 MX 路由器用于阻止流量。
拓扑学
MX 系列路由器和 SD/PE 上所需的配置
-
瞻博网络 ATP 云 C&C 信息源和带策略实施器的 Security Director。
-
瞻博网络 MX 系列路由器。
工作流程
-
策略实施器从瞻博网络 ATP 云下载 C&C 信息源。
-
瞻博网络 MX 系列路由器从策略实施器下载 C&C 信息源。
-
瞻博网络 MX 系列路由器将 IP 数据添加到临时数据库过滤器。
-
瞻博网络 MX 系列路由器将流量丢弃到 C&C 源中列出的 C&C 服务器,从而防止僵尸网络和恶意软件。
-
瞻博网络 MX 系列路由器从负载不足或不支持 C&C 源的防火墙中减轻 C&C 保护的负担。
有关配置详细信息,请参阅 MX 上的 SecIntel 演示。