Juniper_IDP(模块)配置手册及实例

### Juniper IDP(模块)配置手册及实例 #### 一、IDP的初始化设置 在Juniper IDP系统的配置过程中，初始化设置是至关重要的第一步。这部分内容将详细介绍如何进行IDP传感器（Sensor）的初始化配置，包括但不限于连接管理、工作模式设定、网络安全配置等。 ##### 1.1 IDPsensor的初始化设置 - **设备启动**: 加电后，Sensor开始启动。几分钟内，设备将完成启动。 - **连接管理**: 使用网线连接电脑与Sensor的MGT（管理）接口。默认IP地址为192.168.1.1。通过浏览器访问`https://192.168.1.1/`登录Sensor的ACM（Adaptive Control Manager）管理界面。 - **登录凭证**: 默认的用户名和密码分别为`root`和`abc123`。 - **ACM配置界面**: 登录后显示配置界面，点击ACM选项开始配置IDPsensor。 - **修改密码**： - 修改root和admin的密码，这对后续使用NSM（Network and Security Manager）寻找Sensor时非常重要。 - **设备名称与域名**： - 修改设备的名称和域名，方便管理和识别。 - **部署模式选择**： - 根据实际需求选择适合的工作模式，如监听模式（sniffer）、桥接模式（bridge）、透明模式（transparent）等。 - 如果选择透明模式，可以启用BYPASS功能，以确保在网络异常情况下，数据流仍能正常通过。BYPASS功能指的是当IDP出现故障或掉电时，其两个接口之间仍然保持连通状态。 - **HA（High Availability）模式配置**： - 配置HA模式，如果IDP设备具有专用的HA接口，则可以启用此功能。 - **网络接口配置**： - 配置各个网络接口，如修改工作模式，则需要重启IDP以使更改生效。 - **虚拟路由器配置**（可选）： - 在透明模式下，可根据需要配置是否启用多个虚拟路由器，以及指定哪些接口属于同一个虚拟路由器。 - **管理接口IP地址与网关配置**： - 设置管理接口的IP地址和网关，以便NSM服务器和客户端能够远程访问。 - **工作模式下的接口配置**： - 配置哪些接口处于工作模式，对于透明模式，需要特别注意接口配置。 - **管理接口的静态路由与网关配置**： - 在透明模式下，仅需配置管理接口的网关即可；而在路由模式下，则需要针对每个接口分别配置相应的网关。 - **DNS配置**： - 设定IDP是否自动查询相关域名。由于IDP特征库升级由NSM服务器完成，因此需要在NSM服务器中设置相应的DNS服务器。 - **时间区域设置**： - 建议在中国地区选择上海时间作为基准。 - **NTP服务器配置**： - 设置NTP服务器，以同步时间。 - **外部Radius服务器配置**： - 配置外部Radius服务器，用于用户认证。 - **SNMP设置**： - 配置SNMP服务器的IP地址和端口号。 - **SSH访问设置**： - 开启SSH访问功能，这对于NSM服务器寻找IDP Sensor至关重要。 - **NSM服务器配置**： - 设置NSM服务器的IP地址和一次性密码（OTP）。DeviceID可以不填写，Primary netscreen-SecurityManager IP必须设置，通讯端口默认为7803，OTP可以不设置。 - **ACM配置选项**： - 设置是否在启动IDP管理时使用ACM模式。 完成上述配置后，系统会显示一个汇总界面，并允许点击`Save & Apply`来保存设置。IDP将会重启并应用新的配置，这通常需要几分钟的时间。如果修改了管理接口的IP地址，则需要相应地调整本地计算机的IP设置才能重新连接到IDP。 #### 二、IDP的策略配置 在NSM中，可以轻松地定位到IDP设备及其模块，并对其进行策略配置。策略配置是实现入侵检测与防御系统核心功能的关键步骤。 - **寻找IDP设备和模块**： - 使用NSM可以快速找到已配置的IDP设备及其模块。 - **配置策略**： - 通过NSM界面，可以创建和管理各种安全策略，以满足特定的安全需求。 - **配置实例**： - 提供具体的应用案例，展示如何通过NSM实现特定的安全策略配置。 #### 三、IDP特征库的升级 为了确保IDP系统的有效性，定期升级特征库是非常必要的。这一部分将介绍如何通过NSM服务器完成IDP特征库的升级。 - **特征库升级流程**： - 通过NSM服务器执行特征库升级操作。 - **查看Sensor状态**： - 学习如何在NSM中监控Sensor的状态，确保系统运行稳定。 #### 四、Netscreen-ISG系列防火墙的IDP模块安装 对于Netscreen-ISG系列防火墙，IDP模块的安装和配置有一些特殊之处。 - **安装步骤**： - 拆解防火墙机箱，找到管理模块。 - 升级内存：将原有内存更换为更大容量的内存，提高并发处理能力。 - 安装IDP模块，并进行必要的配置。 - **配置方法**： - IDP模块的所有配置均通过NSM完成，依赖于防火墙本身的路由和IP地址设置。 通过以上详细的步骤和指导，您可以全面了解如何进行Juniper IDP系统的初始化设置、策略配置、特征库升级以及IDP模块在Netscreen-ISG系列防火墙上的安装过程。这些步骤不仅适用于初学者，也对经验丰富的技术人员有所帮助。