JuniperNetScreen-IDP学习指南
TheJuniperNetworksIntrusionDetectionandPrevention
StudyGuide
作者:狼性JNCIA-IDP#12376
http://bbs.junipers.cn/
JuniperNetScreen-IDP学习指南
目录
一、NetScreen-IDP横空出世.........................................................................................................3二、NetScreen-IDP的特性.............................................................................................................6三、NetScreen-IDP的架构及其联动过程...................................................................................10
3.1工作模式...........................................................................................................................10
3.1.1嗅探(sniffer)模式..........................................................................................113.1.2IDP系统线内模式.............................................................................................123.1.3路由模式.............................................................................................................133.1.4桥接模式.............................................................................................................143.1.5ARP代理模式....................................................................................................153.2联动步骤...........................................................................................................................16
3.2.1第一阶段,嗅探模式.........................................................................................163.2.2第二阶段,微调.................................................................................................173.2.3第三阶段,线内模式.........................................................................................17
四、NetScreen-IDP的安装与管理...............................................................................................19
4.1IDP的安装....................................................................................................................19
4.1.1IDPSensor的设置..............................................................................................204.1.2NSM的安装.......................................................................................................234.2IDP设备管理................................................................................................................244.3策略项目的建立............................................................................................................25
4.3.1基本策略的建立...................................................................................................254.3.2企业安全模型.......................................................................................................26
五、NetScreen-IDP系列产品介绍...............................................................................................30
5.1特性及作用......................................................................................................................31
5.1.1流量检测方法........................................................................................................315.1.2IDP性能...............................................................................................................325.1.3细化的流量控制....................................................................................................325.1.4集中式管理............................................................................................................325.1.5日志、报告和错误告警........................................................................................335.2产品说明书......................................................................................................................34
2
JuniperNetScreen-IDP学习指南
一、NetScreen-IDP横空出世
众所周知,Juniper最强势的产品为M/T系列路由器,其强大的转发能力令人叫绝。单单一个低端产品M7i所拥有的吞吐量都可以达到4.2Gbps,让我们可以联想到cisco的72路由器,但这仅仅是juniper在M系列这个大家族中的一个小兄弟,其实M系列路由器所表现的不是其转发能力,而是对于多业务的支持。真正要说在转发数据方面能够占据第一把交椅的,当然是T系列了,之所以成为T系列,就是因为其吞吐量是能够达到Tbps单位的扩充容量,所以才真正成为数据交换的老大。但是,这仍然不是最重要的,Juniper路由器其真正的意义在于Junos对于网络设备的管理,设备性能的增加并不能真正的解决网络中比较现实的问题,这就是线路带宽及造价,接口性能达到了,而线路就不会那么容易增长了,因此盲目的追求高端产品没有任何意义,只有运用合理的性能和灵活的管理才能体现技术存在的价值,才能对网络进行真正意义上的优化及完善。这个时候Junos的价值真正体现出来了,对于我们技术的运用可以灵活的操作,对于复杂的问题可以用简单的方式来实现,操作的简便以及对于硬件的配合我们不能不为它喝彩,所以经常有人评价Junos就是一种毒,只要你接触了就无法摆脱个人认为也是恰如其分的。而在本篇文章中我们却介绍Juniper的另外一项产品,IDP(IntrusionDetectionandPrevention),就算是对于一个金牌冠军转型的支持,当然也不乏一丝期望。
当今企业的IT环境正在不断转变,网络上与日剧增的新威胁更加剧了信息安全工作的复杂性。目前,我们对网络安全市场最青睐就是防火墙和IDS。防火火墙对于网络安全控制起到了难以替代的作用,而IDS对于入侵检测起到了很好的监控作用。我们现在要来介绍的IDP(入侵检测和防御)产品,不是要来替代防火墙和IDS,而是要将两者合二为一,将零散的片断终归一统,它既可以对入侵进行检测,又可以实时防御,通过它特有的性能对检测到的入侵动作做出一定的响应,通过这样的方式来对网络进行入侵的检测和防御。
这时候我又要说了,这不是最重要的!因为我们现在网络环境中已经布置好了防火墙和IDS,已经安全了,就算是将二者整合也只是鸡肋而已,我们又何
3
JuniperNetScreen-IDP学习指南
必去更替现有产品呢?IDP到底又能给我们带来多少好处呢?
通常,人们会认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构的日益复杂化,传统的防火墙在使用过程中已经暴露了一些无法避免的漏洞:
1.传统防火墙在工作时,入侵者可以伪造数据绕过防火墙而找到防火墙中
没有进行控制的,也就是敞开的后门;
2.防火墙完全不能防止来自内网的攻击,尤其是对局域网内部的攻击来说
真的是形同虚设;
3.由于防火墙有性能上的,通常它不具备对所接受流量的实时监控能
力;
4.防火墙对于病毒的感染也是束手无策。
就以上四点而言,我们认为在Internet入口处设置防火墙就足以保护企业网络安全的想法是不切合实际的。也正是这些因素引起来人们对于入侵检测系统的兴趣。入侵检测系统(IDS)可以弥补防火墙的不足,为网络提供实时监控的服务,并在发现入侵的初期采取相应的防护手段,IDS系统作为现在主流的附加手段已经为大多数网络架构所接受了。而且IDS的快速发展也开始让用户认可,认为其在网络安全防御中是不可或缺的。但是,与此同时,大家逐渐地意识到IDS所面临的问题:
1.较高的漏报率和误报率;
2.对IDS系统的管理和维护都比较困难,需要投入大量的精力去学习相
关的知识;
3.当IDS系统遭受DDos的攻击时,它的失效开放机制使得恶意攻击者更
加肆无忌惮而不被发现,如果失效的话还不如在此存在的是一台防火墙;
4.而且,IDS系统是以被动的方式工作的,只能检测攻击而不能对其进行
阻止。
而IDP的横空出世能够弥补IDS的不足,与防火墙紧密互动。目前对于IDP的产品也可以认为是IDS系统的替代品,同样,它也分为网络型IDP和主机型IDP,以之前IDS系统的最大区别就在于,它在检测入侵动作发生的基础上又增
4
JuniperNetScreen-IDP学习指南
加了终止入侵动作的功能;而且,IDP能够不断地更新模式库中发现的各种各样的新的入侵方法,从而做出更为智能化的保护性操作,并减少漏报和误报。这样,IDP就可以实现与防火墙的互动:
开放端口互动
一种方式是通过开放端口来实现,即防火墙或者IDP
开放一个端口供对方调用,依照相应的协议进行通信而传输警报。这种方式比较灵活,防火墙可以行使其第一层防御的功能
访问控制,IDP进行第二层防御
入侵检测,丢弃恶意的通信报文,确保这个连接不能到达目的地,并通知防火墙进行阻断。
紧密集成互动
另一种是实现紧密集成,即把IDP技术与防火墙技术
集成到同一个硬件平台上,在统一的操作系统管理下运行。这样的方式就是把两种产品集成在一起,通过这个硬件平台的数据不仅要受防火墙访问控制的验证也要检测其是否为恶意攻击,以达到真正的实时监控并进行相应阻断。但是这样对于不同厂商,所偏重的方向会有所不同,一些是用IDP来弥补防火墙功能以防火墙为主,而另一些就以IDP为主要功能了。
相较于通过端口开放来实现互动的方式,这种紧密集成的安全平台实施难度更大,由于IDP产品和防火墙本身都是庞大的系统,集成后的性能也会受很大的影响。同时如果集成的话不仅仅限于IDP与防火墙两种技术,而会把更多的安全技术集成在一起,形成多个安全产品的紧密集合这已经远远的超出了我们的讨论范围。
入侵防御系统(IPS)。
5
JuniperNetScreen-IDP学习指南
二、NetScreen-IDP的特性
这里,我们着重向大家介绍一下IDP的架构及具体使用方法。首先,NS-IDP不同于我们过去使用的防火墙和IDS,在OSI模型的讨论中,防火墙主要占据2-4层的主动防御控制,而IDS是工作在4-7层对数据流量进行被动的监控。NS-IDP采用主动的方式对监控到的流量进行判断并做相应的阻止,也就是说它占据了OSI模型的2-7层。它使用了一些崭新的入侵检测防御方法和管理控制理念,包括一些其特有的专利技术,如状态签名(StatefulSignature)、后门检测(BackdoorDetection)等。检测防御方法有:1.
采用多重方法检测技术(Multi-MethodDetection,MMD),8种不同的监测方法强化了检测力,同时减少了错误报警。包括协议异常检测、流量异常检测,以及其特有的专利技术。2.3.
NS-IDP是一个带内解决方案,能够对付潜逃技术从而提供真正的入侵防护。NS-IDP是基于规则的式管理架构,集中管理使管理员能将IDP控制在非常精确的水平上,同时简化安全策略和签名更新的作业。
在此,我们对以上所述的三种特有的技术展开讨论。
首先,多重方法监测(MMD)提高了精确度。NS-IDP系统通过应用协议异
6
JuniperNetScreen-IDP学习指南
常、状态签名、流量异常、后门、同步攻击(Syn-flood)、IP欺骗(IPspoof)和第二层检测以及网络蜜罐等8个不同的方法进行对入侵的检测。在架构设计上,NS-IDP能够支持上述所有检测方法,而不是应用一个单一的入侵检测机制去驱动整个产品架构。而且这些方法共享信息,能够有效地识别网络层和应用层中的所有形式的攻击。同时,这些检测方法都是针对高数据速率进行分析和优化的,从而确保了性能不受之影响。NS-IDP所提供的这种全面的覆盖,使用多方法检测使得报警更为可靠,再也不需要管理员为错误报警而花费时间去调查。
于此同时,为了恰当地分析和表达流量,NS-IDP系统拥有众多的封包处理技术去证明数据表达式的精确度,包括:
1、
IP碎片整理和TCP重组,适当的重建流量,以达到如目标系统原先要接收的流量状况。
2、3、
流量跟踪。为更精确地分析,将多个连接合成一个单一会话。协议常规化。将数据流解码成一个公共格式,以便可以精确分析。
其次,带内的操作管理模式提供了真正的保护。NS-IDP一般被放置在防火墙之后,检查从每个接口进出的数据包。当NS-IDP检测出恶意流量时,它能丢弃连接,使之不能进入网络。当然,你是能够完全准确的控制哪种形式的流量是需要丢弃连接的。相反一个被动式的IDS检测到恶意流量时只能发送一个TCP的重置命令来试图阻止攻击。但是,由于TCP本身就有重置的特性,因而你无法确信攻击能及时被制止。这意味着需要花费时间去调查攻击是否已到达它的受害者。然后你不得不去了解攻击是怎么产生的,从而调整IDS以防范未来类似的攻击事件。而采用NS-IDP就可以丢弃有关恶意流量并确保这个流量不能到达目的地。
在封包的路径上运行NetScreen-IDP有很多优点:
•在攻击被检测到的时候,它们就被拦截(丢弃),确保攻击无法成功,并避免因此而造成的损失。
•能确保被丢弃的入侵没有成功,所以你只需按个别案调查即可。节约的时间可以投入到其他项目上。
7
JuniperNetScreen-IDP学习指南
•在封包到达指定目标之前,让NetScreen-IDP从结构和内容方面对它们进行核实,这样可防止攻击潜逃的发生。这可以防止攻击者利用数据包的模糊性进行攻击行为。
注意,NetScreen-IDP作为一个带内装置,可被作为一个路由器或者透明交换机来使用,它们不需要IP地址和路由修正。NetScreen-IDP也可以配置成一个有着多重方法检测功能的被动NIDS(嗅探器),不过没有预防攻击的能力。最后,为了执行容错操作,NetScreen-IDP系统支持高可用性的配置,同样保留了HA接口。
最后,集中式、基于规则的管理提供了更高的可控性。NetScreen-IDP系统利用式、基于规则的管理方式可以提供:
•真正的三层管理架构。它包括一个检测与执行层(传感器)、一个管理层(服务器)和一个应用层(用户界面)。多用户界面可以连接到一个单一的管理服务器上,完成所有的
管理操作。
•基于规则的管理。它容许NetScreen-IDP的行为提供精确的控制。根据需要被寻找和匹配的来源、目标地、业务和攻击进行分类,你可以设置相应规则,以便去应用。然后当攻击被检测到时,规则指定下一步操作,如丢弃或允许连接,以及记录攻击。
•式安全策略。它允许相同的安全策略应用到多个执行点上。尽管一个设备与其他不一样,你无需建立新的安全策略,只需列明哪条在安全策略里的个别规则是对应那台设备即可。
•闭环调查(ClosedLoopInvestigation)。它使你在综合报告、个别记录、相关记录的规则、记录的数据包之间自由地浏览查找。数据点相互关联以及在各信息层间轻松浏览查找的能力,让你更容易理解网络状况,并且能对防护新威胁的工作作出即时的响应。
8
JuniperNetScreen-IDP学习指南
以上我们对NetScreen-IDP又拥有的新技术做了进一步的讨论,主要包括:
♦♦♦
多重方法检测(MMD)带内操作管理
集中式、基于策略的管理
那么这些技术又是如何来实现的呢?我们来看一下IDP的具体实施及其架构。
9
JuniperNetScreen-IDP学习指南
三、NetScreen-IDP的架构及其联动过程
NetScreen-IDP传感器用来监控它所在的网络。这个传感器是运行着IDP传感器软件的硬件设备(称作IDP设备)。
传感器的主要作用是在IDP规则库里所定义的特定规则的基础上,检测可疑的和不正常的网络流量。如果这个传感器运行在线内模式,它也可以针对恶意流量采取预定的动作。
NetScreen-IDP设备支持不同的工作模式,各种工作模式具有各自不同的特点。在实施过程中,有可能在不同的实施阶段需要不同的工作模式达到特定的目的。这个指导文档将从总体角度介绍工作模式的特点,以及如何有步骤的实施IDP设备,以便充分发挥它的功能。
3.1工作模式
可以将IDP传感器实施为被动嗅探(sniffer)模式或主动网关(gateway)模式。NetScreen-IDP设备无论在何种模式下,都可以采用的管理接口,可以连接
10
JuniperNetScreen-IDP学习指南
到的管理网络上。IDP设备的接口数量可以满足典型的网络应用。
3.1.1嗅探(sniffer)模式
被动嗅探模式下的传感器连接在交换机或hub上,在网络流量经过的时候进行嗅探。传感器监控网络流量,记录安全事件,并可以对攻击产生报警。但是,因为嗅探的传感器不能针对攻击采取行动,所以它不能预防攻击。
IDP工作在嗅探模式下
优点
无缝的IDS替换最小的网络改动不会产生新的网络故障点可以监控、记录可以的网络行为
缺点
无任何预防性,被动监控必须使用Hub,或span的交换机接口
可以采用潜逃技术避开
一个工作在嗅探模式下的IDP不能对网络流量采取预防性措施。因为IDP
11
JuniperNetScreen-IDP学习指南
不是线内,不是在数据包经过的路上,它就不能采取影响连接的动作。
嗅探模式下IDP的安全策略无法做到使用以下的动作或机制:
♦♦♦
任何关闭、关闭主机、关闭廉洁、丢弃或丢弃包等动作使用中继模式的SYN保护反欺骗机制
尽管可以在规则中选用这些动作或检测机制而不会产生错误,但是因为IDP不是线内工作,它却不能完成这些动作或者使用这些检测机制预防攻击。如果一条包含预防动作的规则被匹配,IDP系统会生成一条日志记录(如果日志功能被打开),记录的LogViewerAction一栏中内容为dismiss。.
改正方法:返回到产生这个问题的那条规则,只选择监控或记录日志行为的动作。
关于嗅探工作模式的详细内容请参考NetScreen-IDP。
3.1.2IDP系统线内模式
IDP线内模式,也被称为主动网关模式,可以充分发挥IDP攻击预防特性和多方法检测机制的优势。与无预防能力的被动IDS系统不同,IDP可以被实施为用于主动地丢弃连结和数据包。只有IDP,作为主动网关的IDP,才可以既检测攻击又预防攻击。
主动的网关传感器放置于网络和防火墙之间,或者网络和DMZ之间,扮演一种主动的保护网络的角色。当它检测到安全策略所定义的入侵或攻击时,传感器可以丢弃、阻塞或忽略这些可疑的连接
或者只丢弃可疑的数据包。因为主
动网关传感器可以针对攻击采取行动,所以它能预防攻击。
线内操作IDP系统的好处有:
攻击在被检测到的同时被停止(丢弃),保证攻击失败,防止了攻击成功可能导致的后果。
可疑的入侵可以被简单地丢弃,而不用手工一一地进行研究,节省了管理者的时间,可以投入到其他项目中去。
IDP在结构和内容两方面,在数据包到达目标之前进行确认,可以避免常见的躲避IDS设备的潜逃方法。
12
JuniperNetScreen-IDP学习指南
有关IDP线内工作模式的详细内容请参考NetScreen-IDP。
IDP的线内模式可以有桥接、ARP代理和路由三种模式。因为每个网络都具有唯一性,所以IDP的实施模式一定要依据具体的网络配置而定。下面的内容列出了各种模式的典型实施方法以及优缺点。
3.1.3路由模式
IDP设备串联在网络上,与网络相连的数据流量接口分配有IP地址,并应该按照路由规则进行分配。IDP设备将维护一张(或多张)路由表(静态或动态),当数据到达设备时,设备将根据路由表的内容确定这个数据需要从哪个接口送出,从而确定数据流经设备的路径。然后再进行详细的攻击检测。
路由模式的技术特点是:依靠路由表内容转发数据;设备流量接口需要分配IP地址。设备主要工作OSI模型的第三层(网络层)。
IDP工作在路由模式下
优点
可以对攻击做可靠的响应和预防可以连接不同IP网络地址空间
缺点
影响3层IP网络配置(路由表等)
13
JuniperNetScreen-IDP学习指南
3.1.4桥接模式
IDP设备串联在网络上,数据流量接口没有IP地址,设备以桥接的方式工作。IDP设备将维护一张与之相连设备的MAC表(静态或动态),当数据到达设备时,设备将根据MAC表的内容确定这个数据需要从哪个接口送出,从而确定数据流经设备的路径。然后再进行详细的攻击检测。
路由模式的技术特点是:依靠MAC表内容转发数据;设备流量接口不需要分配IP地址。设备主要工作OSI模型的第二层(数据链路层)。
IDP工作在桥接模式下
优点
可以对攻击做可靠的响应和预防简单,透明实施
允许二层广播(DHCP等)通过不改变路由表和网络设备配置等
缺点
14
JuniperNetScreen-IDP学习指南
3.1.5ARP代理模式
ARP代理模式与桥接模式很类似,接口没有IP地址,依靠MAC表决定数据的转发。与桥接模式不同的是,IDP设备内部将启用ARP代理功能,对于要穿越IDP设备的ARP请求,并不是直接转发,而是启用代理功能,从本身的ARP表中寻找相匹配的条目通知查询的设备;如果IDP设备本身没有相匹配的条目,它将转发原始ARP请求,并在接受到ARP响应时,保留一份ARP条目供下次使用。
路由模式的技术特点是:依靠MAC表内容转发数据;设备流量接口不需要分配IP地址,对于广播的ARP请求采取代理方式处理。设备主要工作OSI模型的第二层(数据链路层)。
IDP工作在ARP代理模式下
优点
可以对攻击做可靠的响应和预防简单,透明实施减小ARP广播的规模
缺点
网络节点可能需要更新ARP缓存内容
二层广播(DHCP等)不能穿越
15
JuniperNetScreen-IDP学习指南
3.2联动步骤
IDP的实施过程是一个较为复杂的过程,涉及网络业务内容、攻击类型、安全级别等多方面的因素。因此对IDP设备的实施不是一个简单的过程,NetScreen建议采用一个三段式实施步骤,引导如何从打开包装开始,直到IDP系统可以对网络的攻击进行预防,完全发挥功能。这个过程为嗅探模式->微调->线内模式。这个有顺序的实施过程是最有效和直接的方式。
3.2.1第一阶段,嗅探模式
在这个阶段,将在网络中实施嗅探模式的IDP系统。此时IDP起到一个被动入侵监测系统的作用。安装一个管理主机和管理接口软件,并且装入能够立即开始生成安全日志的安全策略,以便随时回顾日志记录。
以嗅探模式安装IDP可以达到这样几个目的。首先,可以确认在系统功能还没有充分发挥之前不会丢弃网络流量。第二,可以马上从网络活动中收到日志纪录,这有助于帮助理解现有流量的种类,以及IDP检测机制如何工作。最后,在实施步骤的第一阶段以嗅探模式使用IDP,然后在第三阶段迁移到具有全部功能的线内模式,更可以显示出线内模式独一无二的预防攻击的能力。
在第一个阶段,将可以完成:
安装、配置IDP组件(IDP传感器、管理主机、用户接口软件)
安装IDP用户接口软件,然后用对象编辑器将IDP传感器当作一个网络对象加入到网络当中。
根据实施向导,检查、加载初始安全策略
16
JuniperNetScreen-IDP学习指南
3.2.2第二阶段,微调
在第二个实施阶段,将开始定制安全策略以减少误报、漏报率,检测到真正的针对网络的攻击。在这个阶段将会开始理解网络流量的种类,并学习识别良性和恶意的行为。
在第二阶段,将可以完成:
使用LogViewer,LogInvestigator,和IDPReports观察日志纪录。加载初始安全策略后,这些IDP用户接口部件允许马上察看网络上的流量记录。.
通过修改IDP的Main规则库,识别攻击,并减少错报、漏报。
即便是在一个小的网络上,日志记录也可能快速增长,使真正攻击发生时识别的难度更大。通过修改初始安全策略里的规则,可以减少不必要日志记录的数量,从而减少那些有可能阻止发现真正攻击的
噪音。
通过生成报警、设置email通知等方法识别出真正的针对网络的攻击,并进行响应。
在这第二个实施阶段,并没有准备丢弃包含恶意事件的网络流量,但是可以认出这些事件并产生告警,以提醒用户注意这些攻击企图。在第三个阶段,就可以真正预防这些攻击,使它们根本不会奏效。
使用多手段检测方法预防攻击。
当学会对匹配IDPMain规则库的攻击进行响应的时候,就有机会探索IDP的其他规则库和检测机制了,包括SYN-flood攻击,后门攻击检测、保护以及其他一些异常流量的规则库。
3.2.3第三阶段,线内模式
在实施的最后一个步骤,将IDP从被动的嗅探模式迁移到主动的线内模式,以便使之能够在恶意流量到达网络之前将它们丢掉。在这个阶段里,用户将会开始理解IDP系一无二的特性,以及在攻击发生时检测并通知的能力,但现在它可以真正地保护网络防止被那些攻击产生破坏了。
在第三阶段,将可以完成:
重新配置IDP系统使之工作在线内模式。
第二阶段已经微调了IDP,此后,就可以准备将IDP直接放到网络流量的线
17
JuniperNetScreen-IDP学习指南
上了。使用基于web页面的设备配置管理器(ACM),把IDP系统实施为具有完全网络保护能力的线内模式
检查日志记录,看看IDP发现了什么,警告了什么
一旦设备工作在线内,请检查日志记录、做进一步微调,在这个多次重复的过程中确认IDP确实以所希望的方式工作。
在IDP规则库中将
DROP
指令加入到规则中。
这是最后一步,修改IDP的规则库使之包含丢弃动作,将修订过的安全策略加载到IDP传感器上。
18
JuniperNetScreen-IDP学习指南
四、NetScreen-IDP的安装与管理
在安装之前,我们需要先了解一下NetScreen-IDP是如何进行管理,它的管理模式及架构是什么样子的。首先我们需要说明的是,在整个IDP的管理架构中的三个主要成员:IDP传感器、管理服务器、GUI客户端。他们的作用分别是:1、IDP传感器对接入网络进行数据流量的监控、检测、报警、阻止,可以将其比作一个动作的发起者和响应者,在IDP的整体管理架构中他充当一个武将的角色,与恶意流量拼死沙场;2、管理服务器是一个管理者,会将传感器所遇到的攻击或异常力量进行整理、分析、记录而最终
达到其对网络中流量的监控,对异常网络状况采取正确、准确报警的反馈者,也是记录者。IDP的功能体现就在管理服务器上,需要说明的是,JuniperIDP管理服务器需要运行NSM管理软件来实现对IDP的管理,NSM的服务器版本对设备的硬件和系统都是有要求的,需要至少18G的硬盘空间及512M的内存数量,对于系统方面NSM服务器端只能建立在Solaris7/8或RedHat7.2的平台之上,很不幸,这样的要求是硬性的。
3、GUI客户端,这个小通信兵就不用多做介绍了,就是他将NSM及ACM的即时界面正确的反馈给管理员的。对于NSM客户端的要求仅仅是JAVA的支持,不论是window也好,linux也好,只要能满足JAVA的支持都可以顺利安装。
4.1IDP的安装
本篇文章旨在让大家宏观的了解IDP的整体宏观架构,以及一些简单的安装配置,对于深入的研究还需我们共同学习。首先,我们需要了解IDP的安装
19
JuniperNetScreen-IDP学习指南
需要哪些软模块。IDP的管理方式有三种:
1.直接通过CONSOLE口进行简单的配置和模式的选择,如被动模式或带
内管理模式。
2.通过ACM对IDP进行简单配置,如接口IP、初始密码等。
3.通过强大的NetScreen-SecurityManager(NSM)管理软件进行全面的管
理配置以及报告的检测,这也正是juniper引以为豪管理系统之一。从以上3种管理方式来看我们很容易联想到过去我们接触过的防火墙设备Checkpoint。不错,不论是从操作界面还是从系统来看他们确实有相同之处,简单单一化的Web管理界面,强大的第三方管理软件以及OS都是基于Linux开发的。下面,我们来学习其具体的安装过程。
4.1.1IDPSensor的设置
NS-IDP本身的设置是非常简单的,只需要我们检查硬件,包括硬盘、电源
有没有连接好,然后使用笔记本接入IDP的console再供电启动设备就可以了。当NS-IDP启动以后我们会看到它的一个初始的启动画面,上面记录着你使用的OS版本号。如图所示:
之后,我们等待其启动完毕就可以进行一些初始化的设置了,但在这个过程之前我们首先需要进行本地登陆,默认登陆用户名和密码为:root/abc123,登陆界面如图:
20
JuniperNetScreen-IDP学习指南
登陆到本地后我们就可以进行初始化设置了。这个过程与NOKIA防火墙设备的初始化设置很相似。
在此我们对模式进行选择,默认情况下Sniffer为首选模式,这就要看我们使用IDP是用其主动的防御还是被动的监测了,这一步应该算是在IDP本机的安装中最重要的一步了,经过一些初始化的设置,如IP地址、掩码、网关等等,我们就可以利用ACM登陆到IDP上进行一些简单的配置了,如接口速率、初始密码及radius认证等等。在这里需要说明的是ACM的登陆是https://接口地址,在默认情况下IDP的ACM只支持SSL的方式登陆到web管理界面,当登陆后可以利用ACM进行一些简单的配置。如图:
21
JuniperNetScreen-IDP学习指南
在上图中我们可以看到ACM管理界面中的两个选项:
1、Quickstart选项,进入选项后可以对IDP模式及接口、时间等属性进行配置,其特性是按部就班,对于第一次接触ACM的人来说本选项的向导功能是再适合不过的了。
2、ACM选项,相对于之前的QuickStart选项来讲,在这里面我们可以配置的内容就很多了,包括HA、SNMP以及Radius认证等等。但也只是一些基本的网络配置而已,不能够起到检测和防御攻击的作用。
22
JuniperNetScreen-IDP学习指南
以上内容就是ACM的全部功能实现,都是一些简单而基本的网络层配置。下面我们要介绍的就是完全能够实现我们对IDP的管理、功能强大的软件NSM。
4.1.2NSM的安装
NetScreen-SecurityManager(NSM)管理软件为IDP的功能实现创造了一个
可视化平台,我们可以通过图形化的界面很轻松的对policy进行建立,并对相应的日志采取不同的解决方法,以实现我们集中式的管理。
1、管理服务器的安装:NSM的安装光盘中包含了服务器端和客户端的安装文件。服务器端软件也就是我们所为的管理服务器上需要安装的,它是被硬性规定在solaris或linux操作系统下的,例如linux下的安装,首先我们需要7.2或企业版4.2来进行安装,在安装之前我们需要更新一个补丁nsm2007.1-systemupdate-linuxES_4,也就是先要对系统升级,然后运行nsm2007.1r3_servers_linux_x86.sh的安装软件,当运行了不定文件后会有这样一个进度记录:
而后我们在继续安装服务器软件就可以了,由于资源问题这里不能作为相应图解了。当我们将管理服务器安装好以后我们就需要将一些配置及策略调用到具体的流量控制中了,那么我们如何进行配置和策略的建立呢?
2、客户端GUI的安装:对于管理服务器的控制我们需要一台可以时时将IDP的运行情况以简单、明了的可视化界面反馈给我们的,这就是我们客户端所起到的作用了,客户端的安装十分简单,只需要将执行文件双击,一直点击下一步就可以完成了,当安装完成后我们同样需要对其进行升级,运行文件nsm2007.1r3_schema_update_ui_win就可以完成升级了。这样,我们所有需要使用的设备软件就已经准备就绪了,我们可以进行下一步
策略的建立。
23
JuniperNetScreen-IDP学习指南
4.2IDP设备管理
经过上述步骤将IDP安装完成后,我们就要进入设备管理、策略建立的学习阶段。在此之前,我们要说明的是在NS-IDP产品中完全依靠NSM管理软件进行策略的建立,通过NSM管理软件的强大功能来进行IDP的所有安全策略的管理。下面我们来看一下在NSM中策略项目的具体建立流程。
首先,我们需要使用admin用户或自定义的读写用户登录到NSM中:
随后,我们需要在安全设备管理中添加需要管理的设备NS-IDP:
在网络设备管理中我们可以通过右键的device选项进行新网络设备的策
略添加,在弹出的对话窗口中我们看到了选项中可以对设备进行命名、染色及设备是否可达进行选择:
24
JuniperNetScreen-IDP学习指南
当我们建立了安全策略后,IDP将为你所添加的设备建立一条默认的规则,无论是主机或是一个子网都会在此策略项目中被检测到。
4.3策略项目的建立
接下来我们可以去学习一下多样化的选项策略是如何工作的。首先,我们需要建立一条基本的策略,仅仅需要目的地址、原地址以及相关服务选项,而IDP也正是基于这三个选项进行匹配处理和终止服务的,并且将这样的信息用可视化的圆柱形统计界面来更好的反馈在网络管理者的面前,以达到更佳直观的效果。
4.3.1基本策略的建立
首先,我们需要在策略管理菜单中添加一条基础的策略,这里我们将其命名为
basic,如下图所示:
25
JuniperNetScreen-IDP学习指南
随后我们在这个空白的策略中添加我们需要控制的目的地址为RFC1918中的172部分的地址,并设置其预防的攻击手段,这里我们将其设置为普通模式的攻击预防手段,当遇到并匹配这样的攻击时我们需要对其做出相应的动作处理,这里我们将其设置为丢弃其中报文,如下图中所示:
这样,一个简单的攻击防范策略就建立成功了,我们可以在log中清楚地看到策略处理的过程来判断所遇到的攻击是占用的哪个端口号,以更精确的判断出易受攻击服务端口和攻击级别的高低。
4.3.2企业安全模型
对于简单策略的各种高级选项我们可以在菜单中查询,这里就不再作详细说明了,而我们这里重点讨论的是JuniperIDP其特有的管理模块
企业安装模
型(ESP)。它可以帮助我们更加容易的建立和查看相同地址的安全策略。
在开始建立一个企业安全模型之前,我们需要定义有哪些网段需要被添加在
26
JuniperNetScreen-IDP学习指南
模型当中。目前有很多企业网络使用RFC1918网段来作为内网的地址段,这里我们就使用RFC1918作为我们事例的地址组。首先,我们为这个策略组建立三个IP地址段,如下:
然后,我们将这三个IP地址编入一组,将组名命名为RFC1918,如下:
当我们完成了地址组的定义后,现在我们准备建立和配置一个企业模型。我们可以从IDPGUI的选项中选择模型进行定义,选择”Edit”菜单下面的Configure。另外也可以使用快捷键Ctrl+O来代替。
在模型配置表中的TrackedHosts选项中查找并定义我们需要选用的网络组。如图所示:
27
JuniperNetScreen-IDP学习指南
在图中TrackedHosts选项下面我们可以清楚地看到我们需要的网络范围或者网络地址、主机等等,如果需要在一个范围中排除掉其中的几个,我们可以通过点击Exclusion选项,在这个选项中添加或删除我们需要排除掉的一台或几台主机即可。这样,一个最基本的企业管理化模块就建立好了,我们可以随时的调用它了。调用之前需要将其开启,如下:
28
JuniperNetScreen-IDP学习指南
一个经过我们手工定义的企业安装模型(ESP)如同一项服务,需要启用或停止的操作才可以令其功能生效,在这里需要注意的是Sync选项是通过收集传感器获取的信息来实现更新的,而与NSM本身并没有之间关系。当确认了所有配置后,点击
Go
来确认IDP传感器的应用。而下一步需要我们做的就是
观察、编辑,一个简易的可视化界面让我们的观察和编辑变得很轻松:
从这里我们就可以对网络进行后续进一步的补充和添加相关设置,如源地址、目的地址、服务等等,当完成所有的编辑任务后,我们就可以通过窗口NetworkDataViewer选项中反馈的信息来判断其访问的类型及地址、服务等等相关信息了。
这里需要声明的是,企业安装模型(ESP)功能是NS-IDP特有的属性之一。
29
JuniperNetScreen-IDP学习指南
五、NetScreen-IDP系列产品介绍
JuniperNetworkIDP产品能够给网络管理员提供多样化的、易操作的集中式管理方式,而且其能够在更短的时间内监控和阻止各种各样的网络攻击以确保网络安全性,以完全密闭的方式来防止设备瘫痪后所带来的被动攻击隐患。NS-IDP能够即时进行对worms、Trojans、spyware、keyloggers及malware等病毒的监控和防御以确保网络不受侵害。这里,我们对其各种产品的特性及性能进行简单介绍,包括IDP75/250/800/8200等不同级别的设备型号,而对IDP50/200/600/1100等型号就不做过多介绍了,其主要区别在于集成了firewall、、ips等多元化的功能,以便用户的操作和使用。
现在,我们来着重学习IDP75/250/800/8200型号的特性及功能。IDP有多种工作模式,可以根据现有网络情况来运用不同的工作模式使设备的接入与安装能够在对网络没有影响的情况下完成。对于一般的管理员而言,能够使用NSM软件对IDP进行轻松管理,如策略的添加、项目的建
立等等简单的操作,也可以通过多元化的标记功能来应用软件的特征进行打标签动作,标记其特征,精确、细化的对个别软件占用路由器或其他网络设备的带宽进行,从根本上解决常见网络资源浪费的问题,来实现应用方面的QOS性能,保障网络有限资源。
IDP75主要针对中、小型企业网提供全面完整地入侵检测系统(IPS)功能,如远程办公室soho等。其针对企业网络高弹性的特征提供了有效且廉价的解决方法,能够满足企业网不同程度的容量大小,同时起到安全保护的作用。
IDP250和IDP800提供强大IPS功能来支持中、大型企业网的应用,如服
30
JuniperNetScreen-IDP学习指南
务提供商等等,使中、大型网络安全产品的旗舰版,其支持多样化HA功能,为复杂的网络环境提供安全可靠的稳定性以覆盖整个企业或服务提供商网络。
NS-ISG产品针对大型网络的可扩展性综合安全网络环境提供了灵活的解决方案,支持多样化的安全模块,并将firewall、ipsecVPN、IPS功能集于一身。同样的,JuniperIDP8200同样针对大型综合的网络安全环境,而且其支持10Gbps的吞吐量。强大的吞吐量能够将可扩展的IPS网络安全环境建立在网络核心上,并且能够保障核心网络之间的QOS能力。对于数据的分离控制能力使得IDP8200以更加完善的性能来满足大型网络环境对吞吐量和可靠性的支持。
5.1特性及作用
5.1.1流量检测方法
Juniper网络IDP产品结合了8种不同的检测方法来对网络中所识别到的流量进行检测,以强大的灵活性和精密、多样化的检测方法来避免漏报或错报等错误的发生。
31
JuniperNetScreen-IDP学习指南
5.1.2IDP性能
Juniper网络IDP产品提出了几种网络安全的最高级别保障方法。
5.1.3细化的流量控制
对于多样化的企业需求Juniper网络IDP产品提出了细化流量控制予以支持。
5.1.4集中式管理
JuniperNetworkIDP和防火墙产品都是通过NSM来实现集中式的管理。NSM的通过多元化平台的交叉复用,能够更加简易、直观地完成大范围网络的
32
JuniperNetScreen-IDP学习指南
安全管理。
5.1.5日志、报告和错误告警
JuniperNetworkIDP产品与NSM相结合提供丰富的日志和报告能力。
33
JuniperNetScreen-IDP学习指南
5.2产品说明书
34
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- gamedaodao.com 版权所有 湘ICP备2022005869号-6
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务