IDP 签名数据库
基于签名的 IDP 可监控网络中的数据包,并与预先配置和预先确定的攻击模式(称为签名)进行比较。
入侵检测和防御 (IDP) 系统的签名数据库管理对于维护强大的网络安全至关重要。通过启用定期更新的下载和安装,您可以确保您的网络免受最新威胁的侵害。您可以配置自定义攻击对象和组,根据您的特定需求定制安全措施,增强系统的灵活性和有效性。基本 IDP 功能默认启用,无需许可证,但要接收每日更新,需要安装 IDP 签名数据库更新许可证密钥。这样可以使攻击数据库及时更新新出现的漏洞,从而确保持续提供保护。有关许可证详细信息,请参阅 Junos OS 功能许可证密钥。
您可以执行以下任务来管理 IDP 签名数据库:
从瞻博网络网站下载攻击数据库更新,更新签名数据库。每天都有新的攻击出现,因此请保持数据库处于最新状态。
使用 CLI 验证签名数据库版本,因为每个版本都有一个唯一的编号,最新的编号最高。
将协议检测器引擎与签名数据库一起更新。IDP 协议检测器包括应用层协议解码器和 IDP 策略更新。即使保持不变,也是策略更新所必需的。
按设定的时间间隔计划启用 IDP 的设备上的签名数据库自动更新。
IDP 签名数据库管理的好处
-
允许定期下载最新的签名更新,确保对新出现的威胁提供最新保护。
-
允许您创建针对各个网络环境量身定制的自定义攻击对象和组,从而可以灵活地定义特定的安全参数。
通过显式代理服务器的 Junos OS IDP 签名包
瞻博网络 会定期更新预定义的攻击数据库,并将其作为安全包发布在瞻博网络网站 https://signatures.juniper.net/cgi-bin/index.cgi 上。此数据库包括攻击对象和攻击对象组,可在 IDP 策略中使用它们来将流量与已知攻击进行匹配。
您需要创建一个代理配置文件,并使用它通过显式代理服务器下载 IDP 签名包:
在您的设备上设置 Web 代理服务器以处理出站 HTTP(S) 会话和身份验证。使用代理服务器的主机和端口详细信息配置代理配置文件。
user@host# set services proxy profile profile-name protocol http host x.x.x.x port xxxx
(可选)在代理配置文件中配置代理身份验证。通过设置用户名和密码,您可以确保安全访问外部源和服务。
[edit] user@host# set services proxy profile profile-name protocol http username <username> user@host# set services proxy profile profile-name protocol http password <password>
-
应用代理配置文件。IDP Web 代理服务器支持取决于系统级代理配置文件配置。
[edit] user@host# set security idp security-package proxy-profile proxy1
在层次结构下 [security idp security-package] 应用代理配置文件时,idpd 进程将连接到代理主机,而不是签名包下载服务器。然后,代理主机会与下载服务器通信,并将响应提供回 idpd 进程。每当层次结构中 [edit services proxy] 发生更改时,idpd 进程都会收到通知。
安全包安装完成后,所有下载和安装的 IDP 攻击对象和攻击组均可在一个或多个 IDP 策略中进行配置。然后,这些攻击对象和攻击对象将在层次结构下 set security policies from-zone zone-name to-zone zone-name policy policy-name then permit application-services idp-policy idp-policy-name 的安全规则中使用。
您可以创建策略并将新策略指定为活动策略。您只能下载瞻博网络最近上传的更新,然后使用这些更新更新攻击数据库、正在运行的策略和检测器。
您可以使用 禁用代理服务器以下载 IDP 签名 delete security idp security-package proxy-profile proxy-profile
示例:通过显式代理服务器下载 Junos OS IDP 签名包
在此示例中,SRX 系列防火墙利用配置的代理配置文件下载并安装 IDP 安全包,其中包含外部服务器上可用的攻击对象和攻击对象组的完整表。
概述
要使用代理服务器下载 IDP 签名包,您需要为 HTTP 连接配置代理配置文件。
表 1 提供了此示例中使用的参数的详细信息。
| 参数 |
姓名 |
|---|---|
| 配置文件名称 |
test_idp_proxy1 |
| 代理服务器的 IP 地址 |
10.255.255.254 |
| 代理服务器的端口号 |
3128 |
要求
此示例使用以下硬件和软件组件:
-
此配置示例在采用 Junos OS 18.3R1 或更高版本的 SRX 系列防火墙上进行了测试。
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构的 edit CLI 中,然后从配置模式进入。commit
set services proxy profile test_idp_proxy1 protocol http set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 set services proxy profile test_idp_proxy1 protocol http port 3128 set security idp security-package proxy-profile test_idp_proxy1 request security idp security-package download full-update
分步程序
要创建代理配置文件并通过代理服务器下载 IDP 签名包,请执行以下作:
-
指定代理主机 IP 地址。
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http host 10.255.255.254 指定代理服务器使用的端口号。
[edit]
user@host#set services proxy profile test_idp_proxy1 protocol http port 3128指定安全包下载时必须引用的代理配置文件。
[edit] user@host# set security idp security-package proxy-profile test_idp_proxy1
提交配置。
[edit] user@host# commit
切换到作模式。
[edit] user@host# exit
下载 IDP 安全包。
user@host> request security idp security-package download full-update
从瞻博网络网站下载并安装离线 IDP 签名包的选项仍然可用。要脱机下载并安装 IDP 签名包,请运行
request security idp security-package offline-downloadCLI 命令。对于两个下载命令,安装过程保持不变。
验证
通过代理服务器下载验证 IDP 签名
目的
显示通过代理服务器下载的 IDP 签名包的详细信息。
行动
在作模式下,输入命令 show security idp security-package proxy-profile 以查看特定于 IDP 的代理详细信息。
Proxy details : Security package proxy profile name :test_idp_proxy1 Protocol used :HTTP Ip address of proxy server :10.255.255.254 Port of proxy server :3128
意义
在输出中,您可以在 和 Proxy Address 字段中找到Proxy Profile特定于 IDP 的代理配置文件详细信息。
验证 IDP 签名下载状态
目的
检查 IDP 签名包下载状态。
行动
检查安全包下载状态。
在作模式下,输入命令 request security idp security-package download status 。
user@host> request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:3083(Tue Jul 17 13:23:36 2018 UTC, Detector=12.6.130180509)
意义
输出显示 IDP 签名包下载状态。
示例:在机箱群集模式下下载并安装 IDP 安全性包
此示例说明如何将 IDP 签名数据库下载并安装到在机箱群集模式下运行的设备。
要求
开始之前,请设置机箱群集节点 ID 和群集 ID。请参阅 示例:为机箱群集中的安全性设备设置节点 ID 和群集 ID 。
概述
在机箱群集模式下运行的设备上下载 IDP 安全包时,系统会将安全包下载到主节点,然后同步到辅助节点。这种同步有助于在主节点和辅助节点上维护相同版本的安全包。请参阅 IDP 签名数据库。
在 SRX 系列防火墙上,如果控制平面上的设备内存利用率较高,加载较大的 IDP 策略可能会导致设备内存不足。这可能会在 IDP 安全包更新期间触发系统重新启动。
过程
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
指定安全包的 URL。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
切换到作模式。
[edit] user@host# exit
将 IDP 安全包下载到主节点(在文件夹中 var/db/idpd/sec-download 下载。
{primary:node0}[edit] user@host> request security idp security-package download将显示以下消息。
node0: -------------------------------------------------------------------------- Will be processed in async mode. Check the status using the status checking CLI
检查安全包下载状态。
{primary:node0}[edit] user@host> request security idp security-package download status下载成功后,将显示以下消息。
node0: -------------------------------------------------------------------------- Done;Successfully downloaded from (https://signatures.juniper.net/cgi-bin/index.cgi) and synchronized to backup. Version info:1871(Mon Mar 7 09:05:30 2011, Detector=11.4.140110223)
使用
install命令更新攻击数据库。user@host> request security idp security-package install
检查攻击数据库更新状态。命令输出显示有关下载和安装的攻击数据库版本的信息。
{primary:node0}[edit] user@host> request security idp security-package install statusnode0: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. node1: -------------------------------------------------------------------------- Done;Attack DB update : successful - [UpdateNumber=2011,ExportDate=Mon Oct 17 15:13:06 2011,Detector=11.6.140110920] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found.您必须将 IDP 签名包下载到主节点中。这样,安全包将在辅助节点上同步。
IDP 签名数据库版本
签名数据库服务器经常有新的攻击对象被添加;定期下载这些更新并将其安装到您的托管设备上可确保您的网络有效抵御最新威胁。当新的攻击对象添加到签名数据库服务器时,数据库的版本号将更新为最新的数据库版本号。每个签名数据库都有不同的版本号,最新的数据库具有最高的版本号。
更新签名数据库时,签名数据库更新客户端连接到瞻博网络网站,并使用 HTTPS 连接获取更新。此更新使用现有签名数据库和最新签名数据库的版本号计算其差异。下载更新后,更新的信息将与现有签名数据库合并,并将版本号设置为最新签名数据库的版本号。
也可以看看
验证 IDP 签名数据库版本
目的
显示签名数据库版本。
行动
从 CLI 的作模式下,输入 show security idp security-package-version。
user@host> show security idp security-package-version Attack database version:31(Wed Apr 16 15:53:46 2008) Detector version :9.1.140080400 Policy template version :N/A
意义
命令输出显示支持 IDP 的设备上的签名数据库、协议检测器和策略模板的版本号。验证以下信息:
Attack database version— 2008 年 4 月 16 日,设备上活动的签名数据库版本为31。Detector version— 显示设备上当前运行的 IDP 协议检测器的版本号。Policy template version— 显示在 CLI 中运行request security idp security-package install policy-templates配置语句时安装在目录中的/var/db/scripts/commit策略模板的版本。
有关输出的完整说明,请参阅 show security idp security-package-version 说明。
也可以看看
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。