Juniper IDP模块配置手册及实例.docx

Juniper IDP模块配置手册及实例.docx

《Juniper IDP模块配置手册及实例.docx》由会员分享，可在线阅读，更多相关《Juniper IDP模块配置手册及实例.docx（24页珍藏版）》请在冰豆网上搜索。

JuniperIDP模块配置手册及实例

JUNIPERIDP配置手册

作者

版本

日期

科科

V1.1

2008-12-30

1、IDP的初始化设置3

IDPsensor的初始化设置3

IDP模块的安装方法13

2、IDP的策略配置14

在NSM中寻找IDP设备和模块14

配置IDP的策略17

IDP配置实例21

IDP特征库的升级24

查看IDPsensor的状态24

1、IDP的初始化设置

IDPsensor的初始化设置

加电以后，sensro开始启动，过了几分钟，设备就会启动完毕。

用网线连接电脑和sensor的MGT接口，默认的IP地址是192.168.1.1，通过https:

//192.168.1.1/登录sensor的ACM管理界面。

默认的用户名和密码分别是root和abc123。

采用ACM方式配置，并修改IDPsensor的工作模式等IDPsensor设置，登录进去以后会显示以下的界面，点击ACM可以开始配置IDPsensor；

1.1.1、修改root和admin的密码，在使用NSM寻找sensor的时候需要使用。

（NSM服务器查找IDPsensor的时候会查询admin用户名，admin密码和root密码）

1.1.2、修改设备的名字和域名，

1.1.3、修改IDP的部署模式，可以根据实际情况选择相应的工作模式，如sniffor，bridge，transparent等，若选择transparent模式，可以选择bypass功能（限电口，IDP800和IDP8200有光纤BYPASS模块）。

PS：

BYPASS功能是指在IDP掉电或出现问题后，IDP的两个接口是直通的状态，BYPASS切换一半需要5秒左右，设备不同时间会不一样

1.1.4、配置IDP的HA模式，若IDP都有自带的HA专用接口。

1.1.5、配置网络接口，若修改工作模式，则需要重启IDP才可以生效。

1.1.6、选择多个虚拟路由器（可选），若配置IDP的工作模式的时候选择了transparent模式，可能需要选择是否启动多个虚拟路由器，每两个接口属于一个虚拟路由器

1.1.7、修改管理口的IP地址和管理口的网关，供NSM服务器和客户端远程连接使用，

1.1.8、配置那些接口处于工作模式的状态下，以transparent为例，其他界面不同，但比较类似

1.1.9、配置IDPMGT接口的静态路由和缺省网关（透明模式）

输入缺省网关并选择对应的接口，若IDP为透明模式，则只需要做一个管理接口的网关即可；若为路由模式则需要在相应的接口做相应的网关

1.1.10、DNS设置，设置IDP是否自动查询相关的域名，IDP特征库的升级是通过NSM服务器完成因此在配置NSM服务器时必须设置对应的DNS服务器，而IDPsensor则可以不设置；

1.1.11、设置IDP的时间区域

建议在中国选择上海的时间，（PS:

这里没有北京时间）

1.1.12、设置时间服务器NTP

1.1.13、设置外置的Radius服务器，用户认证的时候使用

1.1.14、SNMP设置，设置对应的SNMP服务器IP地址和端口号

1.1.15、设置IDP的SSH访问，此功能必须开放，NSM服务器在查找IDPsensor的时候，首先是通过SSH获取IDP的SSHkey；

1.1.16、配置NSM服务器的IP地址和一次性密码，DeviceID可以不填写，Primarynetscreen-SecurityManagerIP必须设置，通讯端口默认是7803，一次性密码（OTP）可以不设置。

NSM服务器查找IDP时使用了SSHKEY代替了OTP，因此可以不设置。

1.1.17、ACM配置，此处提示是否每次启动IDP管理的时候是否使用ACM模式

以上配置完以后会出现汇总界面，并可以点击save&apply。

IDP会进行进程重启和修改自身的配置，需要几分钟的时间，如果修改了管理口的IP地址，还需要更改自身电脑的IP就可以重新连接

IDP模块的安装方法

Netscreen-ISG系列的防火墙的IDP模块安装，不需要进行上述的设置。

但该模块的设置都是通过NSM进行。

IP地址和路由都是依赖防火墙的路由和IP地址设置（注，IDP模块不支持sniffor模式）

安装步骤：

（以NS-ISG-2000为例）

1.拆开防火墙NS-ISG-2000的机箱，在插槽的最后一个模块可以找到管理模块。

FanCard

2.管理模块上有两条内存，每条512M。

将此内存拆下，然后将NS-ISG-1000-IKT所带的内存，每条1GB。

将内存装上，NS-ISG-2000的内存即为2G，（增加了内存的ISG系列防火墙并发会话数会增加一倍）

3.将NS-ISG-SEC模块插入到机箱的其中一个插槽（不需要占用接口模块的槽位）

4.将NS-ISG-2000的版本升级到带IDP功能的版本（如nsISG2000.5.4.0-IDP1.r9.0）

5.将NS-ISG-SEC的序列号和NS-ISG-2000-IKT的认证码进行绑定生成license，将此license导入防火墙中，重启防火墙。

此时防火墙会提示SCIO和SCTOP进行已经启动，设备的硬件安装已经完成。

2、IDP的策略配置

在NSM中寻找IDP设备和模块

NSM做为控制端，负责对IDP进行配置和收集IDP的日志等，有以下的几个功能（NSM安装步骤另外写）：

1、IDP的策略是通过NSM服务器上传到IDPsensor中；

2、IDP日志也是通过NSM服务器进行保存安装了NSM的postgresql数据库中

3、IDP的当前运行状态也会自动送到NSM服务器上

配置IDPsensor的第一步是去NSM的DeviceManager→SecurityDeivce中。

点击“＋”添加设备模板。

并选择“Device”。

（NSM服务器安装过程见《NSM安装手册（DC版）》）

在DeviceName中输入设备模板的名字，在Color选择模板图标的颜色（名字和图标颜色只用于表示设备，没有实际意义）。

如果IDP已经配置好，则选择“deviceisreachable（i.e.staticIPaddress）”。

并点击下一步

输入IDPsensor的IP地址，admin用户名，密码和root的密码。

若设备是ISG+IDP。

则输入的admin用户名和密码均使用防火墙的用户名和密码。

在ConnectToDeviceWith中选择使用什么协议和设备进行通讯，默认为SSHv2。

IDP和NSM通信的第二阶段则是通过DevSvr进程的7803端口通信

点击下一步以后NSM服务器的DevSvr进程会按照实际情况去寻找设备。

找到设备以后，模板还没有设备的配置，只有设备的序列号等信息，因此需要在“Device→Configuration→ImportDeviceConfig”中导入现有设备的配置，则可以看到当前被导入设备的状态，序列号，软件版本等信息；或在新增的设备上双击鼠标左键，NSM服务器会自动运行ImportDeviceConfig；

配置IDP的策略

IDP的策略配置是最为关键和要消耗较多的时间，IDP的策略包括以下几种

1、IDP：

入侵检测和保护的策略，主要针对来自应用层的攻击行为。

包括两种检查机制signature和anomaly

2、Synprotector：

syn泛滥保护策略，主要是针对通过IDP设备的SYN泛滥攻击

3、Trafficanomaly：

流量异常策略，主要是针对通过IDP的端口扫描

4、Exempt：

5、Backdoor：

6、Honeypot：

新建策略的时候是新建一整套的策略，具体的防护策略则在新建的策略里面添加

在“PolicyManager→SecurityPolicies”中点击右键，并选择NewPolicy

输入名字和描述，并点击下一步

选择CreatenewPolicyfor。

新建一套策略模板

如果设备是防火墙ISG+IDP，则选择firewall/vpnDevice。

如果设备是单独的IDP设备则选择StandAloneIDPDevcies。

再次点击next以后选择安装到那台设备，可以暂时不选择，再点击next。

完成策略的模板设置。

若新建的是防火墙策略，则只出现防火墙部分，要增加IDP策略的时候则需要在‘＋’那里选择addIDPRulebase。

点击增加以后会出现一套IDPRULEBASE。

（其余honeypot，backdoor也是一样的设置）

在source框中点击右键可以选择对应的地址，在attacks框中可以攻击特征库。

此时策略处于模板的形式，还没有安装到指定的设备上。

在“InstallOn”下面的“any”上点击右键，选择“SelectTarget”。

选择需要将此策略安装到指定的设备上。

策略新建完成以后需要进行保存。

保存好以后，选择“Device→Configuration→updateDeviceConfig”对该设备的配置进行升级。

IDP配置实例

1、IDP的入侵保护策略配置实例

本次配置的采用状态签名和协议异常的全部特征库，针对Metasploit发起的攻击进行检测，主要是针对IIS和SMB协议的攻击，配置图如下所示：

本次因为两边的特征库不重叠，也就是策略1和策略2所引用的特征库都不一样，所以不需要选择TerminateMatch。

如果是新手配置IDP，action可以配置recommand，可以对威胁等级较高的攻击进行dropconnect或droppacket。

通过MetaSploit进行攻击发现有以下的条目

经过检查发现被攻击的机器没有启动IIS，所以发送过去的80端口的请求，均被客户端发送RST数据包终结请求。

在客户端安装了IIS以后，再次进行攻击就由于有IIS的响应而产生了对应的LOG，如下所示：

攻击已经被发现，但本次由于是测试IDP对攻击的检查力度，所以action都是accept

2、IDP防网络扫描配置实例

本次测试IDP的防扫描功能用的是NMAP工具，命令如下所示：

nmap–sSX.X.X.X

IDP的配置如下：

Trafficanomalies选择detect，severity选择default，缺省是critical的等级

在进行端口扫描以后出现以下的LOG日志信息

3、IDP防SYN配置实例

本次测试IDP的防SYN攻击功能采用的是HPING产生的SYNFLOOD攻击，命令如下所示

hpingx.x.x.x-pport-iu1000-S

而IDP的配置如下所示：

MODE的模式采用了passive模式。

在syn泛滥的时候在达到一定程度的时候自动block其他的synflood流量。

采用hping以后产生了如下的告警信息：

IDP特征库的升级

选择“Tools→View/UpdateNSMAttackDatabase”可以对特征库进行升级

查看IDPsensor的状态

点击“RealtimeMonitor→DeviceMonitor”可以查看处于NSM管理下的设备的状态，包括，型号，软件版本，状态等信息

查看DevSvr和GuiSvr进程的状态，包括进程所使用的硬盘情况，内存情况和状态等信息

查看DevSvr和GuiSvr的配置和端口号等信息，其中包括服务进程的名字，NSM的IP地址，通讯端口好等