在此页面上
了解 IDP 迁移
本主题提供有关安装和配置 IDP 的详细信息。
有关详细信息,请参阅以下主题:
初始配置概述
在 SRX 系列防火墙上启用功能齐全的 IPS 服务包括以下基本配置步骤:
基本配置
配置基本网络、安全和接入组件(在大多数情况下,已经配置好了)。
配置并激活 IPS 策略。
配置防火墙策略以将特定规则与 IPS 关联。
下载攻击对象,包括传感器更新。
配置日志记录。
更新安全包。
验证配置和测试功能。
初始配置假设
在开始 IPS 策略配置之前,本文档假定存在初始网络配置,并且管理员用户对 SRX 系列具有完全访问权限。示例系统上的初始设备配置如下:
user@ost > show configuration | display set set system root-authentication encrypted-password “$ABC123” set system name-server 1.2.3.4 set system login user mxb uid 2000 set system login user mxb class super-user set system login user mxb authentication encrypted-password “$123ABC” set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system syslog file interactive-commands interactive-commands any set system license autoupdate url https://ae1.juniper.net/junos/key_retrieval set interfaces fxp0 unit 0 family inet address 192.168.1.221/24 set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1 set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
在本文档中,我们提供了配置特定功能所需的命令;但是,为了激活关联的功能,需要成功提交配置更改(使用 commit 命令)。
此功能需要许可证。要了解有关 IPS 许可证的更多信息,请参阅 安装 IPS 许可证 (CLI)。有关许可证管理的一般信息,请参阅 瞻博网络许可指南 。有关详细信息,请参阅 SRX 系列服务网关 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
参见
IPS 配置 (CLI)
配置接口
配置安全区域
配置 IPS 安全策略
要在 SRX 系列防火墙上部署 IPS 策略,还需要执行一个步骤 — 配置防火墙安全策略以确定 IPS 服务要处理哪些流量。下一节将对此进行介绍。
配置防火墙安全策略
要使进入 SRX 系列防火墙的流量由 IPS 安全策略防火墙处理,需要相应地配置安全策略。
以下是在 SRX 系列网关上配置防火墙安全策略和完成入侵防御系统配置所需的步骤。这将导致 IPS 安全策略 abc-idp-policy 检查安全区域 abc-untrust 和 abc-trust 之间的流量。
IPS 日志记录
当事件与启用了日志记录的 IPS 策略规则匹配时,IPS 会生成事件日志。配置日志记录规则时,设备会为与该规则匹配的每个事件创建一个日志条目。
配置为执行此操作后,IPS 服务将通过封装在 514/udp 中的模拟 IP 地址直接从数据平面将与策略条目匹配的事件发送到日志记录服务器。
配置日志记录: