文档介绍：SRX IDP防御配置手册
2013
Nicolash Qi
目录
IDP 学习心得 1
2
简介 2
规则 2
配置 4
协议解码器 5
内容解压缩 6
自定义攻击 6
9
简介 9
管理特征数据库 9
更新数据库 9
预定义策略模板 10
使用预定义模板 11
三. 应用层DDOS攻防 12
简介 12
应用层DDos参数(配置application-ddos参数) 13
应用层规则参数 13
应用层DDos IP 操作 14
应用层DDos规则操作 14
配置实例(DNS) 14
16
16

简介
IDP策略定义了设备处理网络信息流的方式,对经过设备的流量实施各种攻击检查和防御技术。
IDP策略可以包含多个规则库,规则库可以包含多个规则,每一个规则定义了一组特定的攻击和防御的参数,网络流量匹配这些规则参数,则被认定为一个攻击。
可以定义多个IDP策略,但只有一个生效。
默认情况下IDP功能是启用的,不需要许可证,只是无法更新特征数据库和IDP策略模板,可以自己定义IDP的攻击。
注意:Branch 系列只支持 L3模式部署,Data center 支持L2/L3模式部署
规则
规则由如下几个部分组成:
规则匹配条件
规则对象
规则操作
规则通知
规则匹配条件
源/目区段——所有信息流从源区段传输到目标区段。可选择任意区段充当源或目标。
源/目IP地址——指定网络信息流发起的源IP 地址。可指定source-except 来指定除指定地址之外的所有源。
应用——指定目标IP 地址支持的应用层协议。
规则对象
对象是可应用于规则的可重用逻辑实体。您所创建的每个对象将添加到相应对象类型的数据库中。这里主要介绍攻击对象。
攻击对象
IDP攻击对象代表已知和未知的攻击。IDP包括一个预定义的攻击对象数据库,works会定期更新该数据库。攻击对象在规则中指定,用于识别恶意活动。每个攻击被定义为一个攻击对象,它代表一种已知的攻击模式。只要在被监控网络信息流中遇到该已知的攻击模式,即表示与该攻击对象相匹配。以下是三种主要的攻击对象:
特征攻击对象
特征攻击对象使用状态式攻击特征检测已知攻击。攻击特征是
始终存在于攻击中的一种模式;只要存在攻击,就会有攻击特
征。使用状态式特征,IDP可查找用于实施攻击的特定协议或
服务、攻击的方向和信息流以及攻击发生的环境。由于定义了
攻击的环境,状态式特征几乎不产生主动错误信息,这样就排除
了大量其中不会有攻击的网络信息流。
协议异常攻击对象
协议异常攻击对象用于识别网络中的异常活动。这种对象根据
所用的特定协议的规则集检测连接内的异常消息或不明确消息。
协议异常检测通过发现偏离协议标准来实现,协议标准绝大部分
是由RFC 和通用RFC 扩展定义的。大多数合法信息流都符合
现行的协议。不产生异常的信息流可能是攻击者为了特定目的
而创建的,例如为了避开入侵防范系统(IPS)
复合攻击对象
复合攻击对象将多个特征和/或协议异常组合到一个单独的对象
中。信息流必须与所组合的所有特征和/或协议异常匹配才能与
复合攻击对象匹配;可指定特征或异常必须匹配的顺序。使用
复合攻击对象可改善IDP 策略规则、减少误报以及增加检测的
精确性。复合攻击对象使您十分清楚在IDP将信息流识别为攻
击之前需要发生的事件。可使用And、Or和Orderedand 运算
来定义复合攻击中不同攻击对象之间的关系,以及事件的发生顺
序。
攻击对象组:
预定义攻击对象组—包含特征数据库中的对象。预定义攻击对象组具有动态特性。
动态攻击对象组—包含基于特定匹配条件的攻击对象
定制攻击对象组—包含客户定义的攻击组,可通过CLI 配置。其中可包含特定预定义攻击、定制攻击、预定义攻击组或动态攻击组。它们具有静态特性,因为攻击是在组内指定的。因此更新安全数据库时,这种攻击组不会改变。
规则操作
是指被监控信息流与规则中指定的攻击对象相匹配时,希望IDP 执行的操作。分为两个部分:
Action
IP-Action
Action
Ignore Connection
如果找到了攻击匹配,则停止扫描连接剩余的信息流。IDP 禁用特定连接。
Diffserv Marking
将注明的差异服务代码点(DSCP)值指定给某个攻击中的数据包,然后继续正常传