JuniperIDP防御配置手册解析.docx

SRX IDP防御配置手册2013Nicolash Qi一．IDP策略1.1 简介IDP策略定义了设备处理网络信息流的方式，对经过设备的流量实施各种攻击检查和防御技术。IDP策略可以包含多个规则库，规则库可以包含多个规则，每一个规则定义了一组特定的攻击和防御的参数,网络流量匹配这些规则参数，则被认定为一个攻击。可以定义多个IDP策略，但只有一个生效。默认情况下IDP功能是启用的，不需要许可证，只是无法更新特征数据库和IDP策略模板，可以自己定义IDP的攻击。注意：Branch 系列只支持 L3模式部署，Data center 支持L2/L3模式部署1.2 规则规则由如下几个部分组成：规则匹配条件规则对象规则操作规则通知规则匹配条件源/目区段——所有信息流从源区段传输到目标区段。可选择任意区段充当源或目标。源/目IP地址——指定网络信息流发起的源IP 地址。可指定source-except 来指定除指定地址之外的所有源。应用——指定目标IP 地址支持的应用层协议。规则对象对象是可应用于规则的可重用逻辑实体。您所创建的每个对象将添加到相应对象类型的数据库中。这里主要介绍攻击对象。攻击对象IDP攻击对象代表已知和未知的攻击。IDP包括一个预定义的攻击对象数据库，JuniperNetworks会定期更新该数据库。攻击对象在规则中指定，用于识别恶意活动。每个攻击被定义为一个攻击对象，它代表一种已知的攻击模式。只要在被监控网络信息流中遇到该已知的攻击模式，即表示与该攻击对象相匹配。以下是三种主要的攻击对象：特征攻击对象特征攻击对象使用状态式攻击特征检测已知攻击。攻击特征是始终存在于攻击中的一种模式；只要存在攻击，就会有攻击特征。使用状态式特征，IDP可查找用于实施攻击的特定协议或服务、攻击的方向和信息流以及攻击发生的环境。由于定义了攻击的环境，状态式特征几乎不产生主动错误信息，这样就排除了大量其中不会有攻击的网络信息流。协议异常攻击对象协议异常攻击对象用于识别网络中的异常活动。这种对象根据所用的特定协议的规则集检测连接内的异常消息或不明确消息。协议异常检测通过发现偏离协议标准来实现，协议标准绝大部分是由RFC 和通用RFC 扩展定义的。大多数合法信息流都符合现行的协议。不产生异常的信息流可能是攻击者为了特定目的而创建的，例如为了避开入侵防范系统(IPS)复合攻击对象复合攻击对象将多个特征和/或协议异常组合到一个单独的对象中。信息流必须与所组合的所有特征和/或协议异常匹配才能与复合攻击对象匹配；可指定特征或异常必须匹配的顺序。使用复合攻击对象可改善IDP 策略规则、减少误报以及增加检测的精确性。复合攻击对象使您十分清楚在IDP将信息流识别为攻击之前需要发生的事件。可使用And、Or和Orderedand 运算来定义复合攻击中不同攻击对象之间的关系，以及事件的发生顺序。攻击对象组：预定义攻击对象组—包含特征数据库中的对象。预定义攻击对象组具有动态特性。动态攻击对象组—包含基于特定匹配条件的攻击对象定制攻击对象组—包含客户定义的攻击组，可通过CLI 配置。其中可包含特定预定义攻击、定制攻击、预定义攻击组或动态攻击组。它们具有静态特性，因为攻击是在组内指定的。因此更新安全数据库时，这种攻击组不会改变。规则操作 是指被监控信息流与规则中指定的攻击对象相匹配时，希望IDP 执行的操作。分为两个部分：ActionIP-Action ActionIgnore Connection如果找到了攻击匹配，则停止扫描连接剩余的信息流。IDP 禁用特定连接。DiffservMarking将注明的差异服务代码点(DSCP)值指定给某个攻击中的数据包，然后继续正常传递该数据包。DropPacketIDP 在匹配数据包到达其目的地前将其丢弃，但并不关闭连接。使用该操作可丢弃易于实行欺骗的信息流（如UDP信息流）中的攻击数据包。对此类信息流丢弃连接可能导致拒绝服务，这会妨碍您接收来自合法源IP地址的信息流。DropConnection丢弃与连接关联的所有数据包，以防连接的信息流到达其目的地。使用该操作丢弃不易实行欺骗的信息流的连接。Close Client关闭连接并将RST 数据包发送到客户端，但不向服务器发送。Close Server关闭连接并向服务器发送RST 数据包，但不向客户端发送。Close Client and servier关闭连接并将RST 数据包同时发送到客户端和服务器。Recommended所有预定义攻击对象都有一个关联的缺省操作。该操作是检测到相应攻击时Juniper Networks建议执行的操作。IP-Action在发现了一个攻击者的IP的情况，可以使用IP操作，在未来的一段时间内阻止这个IP的连接。如果信息流匹配多个规则，将应用所有匹配