Junos OS
Öryggi IoT notendahandbók
Birt
2023-12-14

Juniper Networks, Inc.
1133 Nýsköpunarleið
Sunnyvale, Kalifornía 94089
Bandaríkin
408-745-2000
www.juniper.net
Juniper Networks, Juniper Networks lógóið, Juniper og Junos eru skráð vörumerki Juniper Networks, Inc.
í Bandaríkjunum og öðrum löndum. Öll önnur vörumerki, þjónustumerki, skráð merki eða skráð þjónustumerki eru eign viðkomandi eigenda.
Juniper Networks tekur enga ábyrgð á ónákvæmni í þessu skjali. Juniper Networks áskilur sér rétt til að breyta, breyta, flytja eða á annan hátt endurskoða þessa útgáfu án fyrirvara.
Junos OS Security IoT notendahandbók
Höfundarréttur © 2023 Juniper Networks, Inc. Allur réttur áskilinn.
Upplýsingarnar í þessu skjali eru gildar frá og með dagsetningunni á titilsíðunni.
ÁR 2000 TILKYNNING
Juniper Networks vél- og hugbúnaðarvörur eru í samræmi við árið 2000. Junos OS hefur engar þekktar tímatengdar takmarkanir fram til ársins 2038. Hins vegar er vitað að NTP forritið á í einhverjum erfiðleikum árið 2036.
SAMNINGUR um LOKANOTA
Juniper Networks varan sem er viðfangsefni þessara tæknigagna samanstendur af (eða er ætluð til notkunar með) Juniper Networks hugbúnaði. Notkun slíks hugbúnaðar er háð skilmálum og skilyrðum notendaleyfissamningsins („EULA“) sem birtur er á https://support.juniper.net/support/eula/. Með því að hlaða niður, setja upp eða nota slíkan hugbúnað samþykkir þú skilmála og skilyrði þess ESBLA.

Um þessa handbók

Notaðu þessa handbók til að fræðast um uppgötvun og flokkunaraðgerðir IoT tækja í öryggistækinu þínu.
Þekking á IoT tækjum á netinu hjálpar netstjórnendum að stjórna netöryggi betur og draga úr IoT árásaryfirborðinu

Yfirview

IoT öryggi lokiðview

SAMANTEKT
Lestu þessa handbók til að skilja um IoT öryggislausnina sem er í boði á SRX Series/NFX Series tækjunum þínum og lærðu hvernig á að byrja að nota eiginleikann.

Inngangur

Hvað varðar umfang er Internet of Things (IoT) að taka yfir netið. Sem tækni umbreytir IoT, auðgar gögn, bætir samhengi við ferla og veitir áður óþekkt sýnileika milli stofnana. Rúmmál og fjölbreytni IoT tækja eins og IP myndavélar, snjalllyftur, lækningatæki og iðnaðarstýringar geta aukið flókið netöryggi þitt. Með svo mörg tæki á netinu þarftu sýnileika í rauntíma, skynsamlega framfylgd stefnu sem virkar óaðfinnanlega á netinu. Flestir IoT endapunktar hafa takmörkuð fótspor og óþekkt tæki sem netið getur verið ástæða öryggisatviks.
Þekking á IoT tækjum á neti gerir notendum eða netstjórnendum kleift að stjórna netöryggi sínu betur. Það er enn mikilvægara að hafa sýnileika IoT tæki í neti, sérstaklega þar sem núll-daga veikleikar eru að springa.
Juniper Networks öryggis IoT lausn veitir uppgötvun, sýnileika og flokkun IoT tækja á netinu. Sýnileiki IoT tæki hjálpar þér að uppgötva, fylgjast stöðugt með og framfylgja öryggisreglum í öllum tengdum IoT tækjum.

Öryggi IoT lausn

Juniper Networks Security IoT lausnin felur í sér samþættingu öryggistækja við Juniper ATP Cloud til að:

• Veittu djúpa innsýn í IOT tæki á netinu í rauntíma
• Búðu til öryggisstefnur með því að nota eiginleika IoT tækisins sem uppgötvaðist
• Framfylgja öryggisstefnu til að koma í veg fyrir árásir og draga úr yfirborði árása

Uppgötvun IOT tækja veitir grunn til að framfylgja öryggisstefnu og taka á öryggisáhættu með því að bera kennsl á óeðlilega hegðun tækja sem uppgötvast.

Eiginleikar

• Uppgötvun IoT-tækja á bak við Wi-Fi aðgangsstað
• Stuðningur við breitt úrval af IoT tækjum
• Korn fingraför á hverju tæki þar á meðal tegund, vörumerki, gerð, IP, MAC vistfang
• Ein glerrúða fyrir skilvirka IoT tæki birgðahald og flokkun
• Nákvæmar öryggisreglur byggðar á eiginleikum IoT tækja

Kostir öryggis IOT

• Að uppgötva og stjórna öllum IoT tækjum á netinu án handvirkrar íhlutunar eykur skilvirkni og framleiðni öryggisaðgerða
• Að hafa rauntíma skrá yfir IoT tæki og tengdar öryggisstefnur hjálpar til við að draga úr árásaryfirborði innan netsins þíns.

Notkunarmál
Öryggi IoT lausn er aðlögunarhæf mismunandi umhverfi þar á meðal heilsugæslu / læknisfræði, stofnanir með campokkur/útibússkrifstofur og aðrar atvinnugreinar með snjallbyggingar og skrifstofur.

Uppgötvun IoT tækja og framfylgd öryggis – vinnuflæði

Hugtök
Við skulum kynna okkur sum hugtökin í þessu skjali áður en við förum djúpt ofan í IoT tæki uppgötvun og öryggisframkvæmd.
Tafla 1: Öryggi IoT hugtök

IOT skilmálar	Lýsing
IoT tæki	IoT tæki eru líkamleg tæki sem koma á þráðlausri tengingu við netkerfi og geta sent gögn yfir internetið eða önnur net. IoT tæki geta verið skynjarar, græjur, tæki eða vélar eða felld inn í önnur farsímatæki, iðnaðarbúnað, umhverfisskynjara, lækningatæki og fleira.
Gagnastreymi	Aðferð við að senda pakka og tengd lýsigögn frá IoT tækjum til Juniper ATP Cloud til að bera kennsl á og flokka IoT tæki.
Web fals	Samskiptareglur eru notaðar fyrir tvíátta gagnaflutning milli öryggistækisins og Juniper ATP skýsins til að veita trúnað.

Tafla 1: Öryggi IoT hugtök (Framhald)

IOT skilmálar	Lýsing
Serialization	Protocol buffer (gpb) snið notað til að raðgreina skipulögð gögn og gera samskipti milli öryggistækis og ATP skýsins kleift.
Auðkenning	Aðferð til að gera örugg samskipti milli öryggistækis og Juniper ATP skýsins með TLS1.2 eða nýrri útgáfum til að tryggja auðkenningu, dulkóðun og heilleika samnýttra gagna.
IoT tæki uppgötvun	Aðferð við að bera kennsl á IoT tæki með því að leita í innri gagnagrunni með því að nota streymdu gögnin. Upplýsingar um uppgötvuðu IoT tækin innihalda vörumerki, gerð, gerð, stýrikerfi, framleiðanda og svo framvegis.
IoT tækjaflokkun	Að byggja upp atvinnumannfile fyrir uppgötvuðu IoT tækin. Þar sem IoT tæki getur tilheyrt margs konar tækjagerðum er mikilvægt að þekkja flokk IoT tækisins til að framfylgja réttri gerð öryggisstefnu. Example: IoT upplýsinga- og afþreyingartæki er með annan umferðarmannfile miðað við iðnaðar IoT tæki.
Gagnasíun	Notkun gagnasíu hjálpar Juniper ATP Cloud að stjórna magni gagna, tegund gagna sem það fær frá öryggistækinu. Síur eru sérstaklega gagnlegar þar sem mikill fjöldi IoT-tækja er tiltækur á netinu.
IP-tölustraumar/dýnamískir vistfangahópar	Virk vistfangsfærsla er hópur IP-talna sem deila sameiginlegum tilgangi eða eiginleikum eins og landfræðilegum uppruna, ógnartegund eða ógnunarstigi. IP-tölur uppgötvaðra IoT-tækja eru flokkaðar í kraftmikinn vistfangahóp. Þú getur notað IP tölu strauma til að framfylgja stefnu í rauntíma öruggu neti.

IoT Device Discovery and Enforcement Workflow
Eftirfarandi mynd sýnir dæmigerð vinnuflæði sem tekur þátt í uppgötvun IOT tækja.

Mynd 1: Öryggi IoT vinnuflæði

1. Öryggisbúnaður skoðar netumferð frá IoT tækjum.
2.  Öryggisbúnaður tengist Juniper ATP skýinu og streymir upplýsingum í Juniper ATP skýið. Upplýsingarnar innihalda lýsigögn um umferðarflæði og pakkahleðslu.
3.  Juniper ATP Cloud notar streymda gögnin til að fá upplýsingar um IoT tækið eins og vörumerki, tækjagerð, flokk, söluaðila, IP, MAC tölu og aðra eiginleika IoT tækja.
4. Juniper ATP Cloud flokkar IoT tækið með góðum árangri. Tækin sem Juniper ATP Cloud uppgötvar og auðkennir birtast á Juniper ATP Cloud síðunni. Þú getur notað upplýsingar um tækið til að búa til IP-tölustrauma í formi kraftmikilla vistfangahópa með því að nota aðlögunareiginleika ógnunarsniðs.
5. Öryggistækið hleður niður straumnum. Þú getur búið til öryggisreglur byggðar á IP-tölustraumum til að framfylgja nákvæmum öryggisreglum byggðar á eiginleikum IoT tækisins.

Öryggisbúnaðurinn heldur áfram að greina umferðarmynstur hinna uppgötvaðu IoT-tækja og greina hvers kyns umferðarfrávik (td.ample, aðgengi og umferðarmagn sem það gæti sent) fyrir þessi tæki. Þú getur einangrað IoT tæki frá netinu eftir stefnu og framfylgt sérsniðinni öryggisstefnu til að takmarka umfang þessara tækja á netinu.

Hvað er næst?
Í næsta hluta muntu læra hvernig á að stilla uppgötvun og framfylgd IoT tækja á öryggistækinu þínu.

Stillingar

Example- Stilla IoT Device Discovery and Policy Enforcement

SAMANTEKT
Í þessu frvample, þú munt stilla öryggistækið þitt fyrir IoT tæki uppgötvun og framfylgja öryggisstefnu.
Til að byrja með IoT tæki uppgötvun á netinu þínu, allt sem þú þarft er öryggistæki tengt Juniper ATP Cloud. Mynd 2 á blaðsíðu 10 sýnir staðfræði sem notuð er í þessu dæmiample.

Mynd 2: Uppgötvun IoT tækja og framfylgd stefnufræði

Eins og sýnt er í staðfræðinni inniheldur netið nokkur IoT tæki sem eru tengd við SRX Series eldvegg í gegnum þráðlausan aðgangsstað (AP). Öryggistækið er tengt við Juniper Cloud ATP netþjóninn og við hýsingartæki.
Öryggistækið safnar lýsigögnum IoT tækisins og streymir viðeigandi upplýsingum til Juniper ATP Cloud. Til að virkja streymi á IoT-lýsigögnum þarftu að búa til stefnu um streymi á öryggislýsigögnum og tengja þessar reglur við öryggisstefnur. Straumspilun á umferð IoT tækisins gerir sjálfkrafa hlé þegar Juniper Cloud netþjónn hefur nægjanlegar upplýsingar til að flokka IoT tækið.
Juniper ATP ský uppgötvar og flokkar IoT tæki. Með því að nota skrá yfir uppgötvuð IoT tæki munt þú búa til ógnarstrauma í formi kraftmikilla vistfangahópa. Þegar öryggistækið hefur hlaðið niður kraftmiklum vistfangahópum geturðu notað kraftmikla vistfangahópa til að búa til og framfylgja öryggisreglum fyrir IoT umferðina.
Tafla 2 á blaðsíðu 10 og Tafla 3 á blaðsíðu 11 veita upplýsingar um færibreyturnar sem notaðar eru í þessu dæmi.ample.
Tafla 2: Stillingar öryggissvæðis

Svæði	Viðmót	Tengt við
treysta	ge-0/0/2.0	Viðskiptavinur tæki
vantraust	ge-0/0/4.0 and ge-0/0/3.0	Aðgangsstaðir til að stjórna IoT umferð
ský	ge-0/0/1.0	Internet (til að tengjast Juniper ATP skýinu)

Tafla 3: Stillingar öryggisstefnu

Stefna	Tegund	Umsókn
P1	Öryggisstefna	Leyfir umferð frá traustsvæði til ótrausts svæðis
P2	Öryggisstefna	Leyfir umferð frá ótraust svæði til trausts svæðis
P3	Öryggisstefna	Leyfir umferð frá traustsvæði til skýjasvæðis
p1	Stefna um streymi lýsigagna	Streymir ótraust svæði til að treysta svæði umferðarlýsigögnum
p2	Stefna um streymi lýsigagna	Straumar treysta svæði til að kljúfa umferðarlýsigögn
Óæskileg_forrit	Alþjóðleg öryggisstefna	Kemur í veg fyrir IoT umferð sem byggir á ógnarstraumi og öryggisstefnu á heimsvísu

Kröfur

• SRX Series Firewall eða NFX Series tæki
• Junos OS útgáfa 22.1R1 eða nýrri
• Juniper Advanced Threat Prevention Cloud Account. Sjá Skráning Juniper Advanced Threat Prevention Cloud Account.

Við höfum sannreynt og prófað stillinguna með vSRX Virtual Firewall dæmi með Junos OS útgáfu 22.1R1.

Gerðu SRX Series eldvegginn þinn tilbúinn til að vinna með Juniper ATP Cloud
Þú þarft að stilla SRX Series eldvegginn þinn til að eiga samskipti við Juniper ATP Cloud Web Gátt. Gakktu úr skugga um að SRX Series eldveggurinn þinn sé tengdur við internetið. Gakktu úr skugga um að þú ljúkir eftirfarandi upphaflegu uppsetningu til að stilla SRX Series eldvegginn þinn á internetið.

1.  Stilltu viðmótið. Í þessu frvample, við erum að nota viðmótið ge-0/0/1.0 sem netviðmót á SRX Series Firewall.
   [breyta] user@host# sett viðmót ge-0/0/1 eining 0 fjölskyldu inet heimilisfang 10.50.50.1/24
2. Bættu viðmótinu við öryggissvæði.
   [breyta] notandi@gestgjafi# stillt öryggissvæði öryggissvæði skýjaviðmót ge-0/0/1.0 gestgjafi-innleiðandi-umferðarkerfisþjónustur allt
   notandi@gestgjafi# stilltu öryggissvæði öryggissvæðis skýjaviðmót ge-0/0/1.0 samskiptareglur hýsingar á heimleið allt
3. Stilla DNS.
   [breyta] notandi@gestgjafi# setja hópa alþjóðlegt kerfi nafnaþjónn 172.16.1.1
4. Stilla NTP.
   [breyta] user@host# setja hópa alþjóðlegt kerfisferli ntp virkja
   notandi@gestgjafi# setja hópa alþjóðlegt kerfi ntp ræsiþjónn 192.168.1.20
   notandi@gestgjafi# setja hópa alþjóðlegt kerfi ntp þjónn 192.168.1.20

Þegar SRX Series þín getur náð á internetið í gegnum ge-0/0/1.0 viðmótið skaltu halda áfram með næstu skref.
Athugaðu nauðsynleg leyfi og undirskriftarpakka fyrir forrit

• Gakktu úr skugga um að þú hafir viðeigandi Juniper ATP skýjaleyfi. Notaðu skipunina sýna kerfisleyfi til að athuga leyfisstöðu.

user@host> sýna kerfisleyfi
Leyfisauðkenni: JUNOS123456
Leyfisútgáfa: 4
Raðnúmer hugbúnaðar: 1234567890
Auðkenni viðskiptavinar: JuniperTest
Eiginleikar:
Sky ATP – Sky ATP: Cloud Based Advanced Threat Prevention á SRX eldveggjum
byggt á dagsetningu, 2016-07-19 17:00:00 PDT – 2016-07-30 17:00:00 PDT

• Gakktu úr skugga um að tækið þitt sé með nýjasta undirskriftarpakkann fyrir forritið á öryggistækinu þínu.
• Staðfestu að auðkenningarleyfið sé uppsett á tækinu þínu.

user@host> sýna kerfisleyfi
Leyfisnotkun:
Leyfi Leyfi Leyfi rennur út
Eiginleikaheiti notað uppsett þarf
logical-system 4 1 3 varanlegt
Leyfisauðkenni: JUNOSXXXXXX
Leyfisútgáfa: 2
Gildir fyrir tæki: AA4XXXX005
Eiginleikar:
appid-sig – APPID Signature

• Sækja nýjustu útgáfuna af undirskriftarpakka forritsins.
  notandi@gestgjafi> biðja um niðurhal á þjónustuforriti
• Athugaðu niðurhalsstöðuna.
  notandi@gestgjafi> biðja um niðurhalsstöðu umsókna-auðkenningar þjónustu
  Það tókst að hlaða niður forritapakka 3475.
• Settu upp undirskriftarpakkann fyrir auðkenni forritsins.
  notandi@gestgjafi> biðja um uppsetningu á forritaauðkenningu þjónustu
• Athugaðu uppsettu undirskriftarpakkann fyrir forritið.
  notandi@gestgjafi> sýna þjónustuforritaauðkenningarútgáfu
  Útgáfa umsóknarpakka: 3418
  Útgáfudagur: Þri. 14. september 14:40:55 2021 UTC

Skráðu öryggistæki með Juniper ATP Cloud
Byrjum á því að skrá öryggistækið með Juniper ATP skýinu. Ef þú hefur þegar skráð tækið þitt geturðu sleppt þessu skrefi og hoppað beint í „Stilla IoT umferðarstraumstillingar“ á síðu 17. Ef ekki, notaðu eina af eftirfarandi aðferðum til að skrá tæki.
Aðferð 1: Skráning öryggisbúnaðar með CLI

1. Á SRX Series eldveggnum þínum skaltu keyra eftirfarandi skipun til að hefja skráningarferlið.
   user@host> biðja um þjónustu fyrir háþróaða skráningu gegn spilliforritum
   Vinsamlegast veldu landfræðilegt svæði af listanum:
   1. Norður-Ameríka
   2. Evrópusvæði
   3. Kanada
   4. Kyrrahafsasía
   Þitt val: 1
2. .Veldu núverandi ríki eða búðu til nýtt ríki.
   Skráðu SRX á:
   1. Nýtt SkyATP öryggissvið (þú verður að búa það til fyrst)
   2. Núverandi SkyATP öryggissvið
   Veldu valkost 1 til að búa til ríki. Notaðu eftirfarandi skref:
   a. Þú ert að fara að búa til nýtt Sky ATP ríki, vinsamlegast gefðu upp nauðsynlegar upplýsingar:
   b. Vinsamlega sláðu inn ríkisnafn (Þetta ætti að vera nafn sem er þýðingarmikið fyrir fyrirtæki þitt.
   Heimsnafn getur aðeins innihaldið tölustafi og strikatáknið. Þegar ríki hefur verið búið til er ekki hægt að breyta því):
   Raunverulegt nafn: tdample-company-a
   c. Vinsamlegast sláðu inn nafn fyrirtækis þíns:
   Nafn fyrirtækis: ExampFyrirtæki A
   d. Vinsamlegast sláðu inn netfangið þitt. Þetta verður notendanafnið þitt fyrir Sky ATP reikninginn þinn:
   Netfang: ég@example-company-a.com
   e. Vinsamlegast settu upp lykilorð fyrir nýja Sky ATP reikninginn þinn (það verður að vera að minnsta kosti 8 stafir að lengd og innihalda bæði hástafi og lágstafi, að minnsta kosti eina tölu, að minnsta kosti einn sérstaf):
   Lykilorð: ***********
   Staðfestu: **********
   f. Vinsamlegast afturview upplýsingarnar sem þú hefur gefið upp:
   Svæði: Norður Ameríka
   Nýtt ríki: fyrrvample-company-a
   Nafn fyrirtækis: ExampFyrirtæki A
   Netfang: ég@example-company-a.com
   g. Búa til nýtt ríki með ofangreindum upplýsingum? [já, nei] já
   Tækið var skráð!
   Þú getur líka notað núverandi ríki til að skrá SRX seríuna þína með Juniper ATP Cloud.
3.  Notaðu CLI skipunina sýna þjónustu háþróaða-anti-malware status til að staðfesta að SRX Series þín
   Eldveggur er tengdur við skýjaþjóninn.
   root@idpreg-iot-v2# keyra sýna þjónustu háþróaða-anti-malware dynamic-filter stöðu
   09. feb 18: 36: 46
   Staða kviksíuþjónstengingar:
   Hýsingarheiti miðlara: srxapi.us-west-2.sky.junipersecurity.net
   Server Port: 443
   Hýsingarheiti proxy: Ekkert
   Proxy Port: Engin
   Stjórna flugvél
   Tengingarstaða: Tengt
   Síðasta árangursríka tenging: 2022-02-09 18:36:07 PST
   Pkts send: 2
   Pkt móttekin: 6

Aðferð 2: Skráning öryggistækis í Juniper ATP Cloud Web Gátt
Þú getur notað Junos OS rekstrarforskrift (op) til að stilla SRX Series eldvegginn þinn til að tengjast Juniper Advanced Threat Prevention Cloud þjónustunni.

1.  Á Juniper ATP Cloud Web gáttinni, smelltu á Skrá hnappinn á Tæki síðunni.
2.  Afritaðu skipunina á klemmuspjaldið þitt og smelltu á OK.
3. Límdu skipunina inn í Junos OS CLI í SRX Series Firewall í aðgerðaham.
4. Notaðu sýningarþjónustuna háþróaða stöðuskipun gegn spilliforritum til að staðfesta að tenging sé við skýjaþjóninn frá SRX Series eldveggnum. Hýsingarheiti netþjónsins í eftirfarandi sample er fyrrverandiample aðeins.
   user@host> sýna þjónustu háþróaða stöðu gegn spilliforritum
   Staða netþjónstengingar:
   Hýsingarheiti þjóns: srxapi.us-west-2.sky.junipersecurity.net
   Server ríki: Qatest
   Miðlarahöfn: 443
   Hýsingarheiti proxy: Ekkert
   Proxy tengi: Engin
   Stjórnarflugvél:
   Tengingartími: 2022-02-15 21:31:03 PST
   Tengistaða: Tengt
   Þjónustuflugvél:
   fpc0
   Virkt númer tengingar: 18
   Tölfræði um tengingu aftur: 48
   Í sample, tengingarstaðan gefur til kynna að skýjaþjónninn sé tengdur við öryggistækið þitt.
5. Þú getur líka view skráð tæki í Juniper ATP Cloud gáttinni. Farðu á Tæki > Öll tæki síðu. Síðan sýnir öll skráð tæki.

Stilltu IoT umferðarstraumstillingar
Í þessari aðferð muntu búa til stefnu um streymi lýsigagna og virkja öryggisþjónustu á öryggistækinu þínu.

1. Ljúktu uppsetningu skýjatengingar.
   [breyta] notandi@gestgjafi# stilltu þjónustu öryggisgreind url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml
   notandi@gestgjafi# stilltu þjónustu öryggisupplýsingar auðkenningar tls-profile aamw-ssl
2.  Búðu til stefnu um streymi á öryggislýsigögnum.
   [breyta] notandi@gestgjafi# setja þjónustu öryggis-lýsigögn-straumstefnu p1 dynamic-filter
   notandi@gestgjafi# setja þjónustu öryggis-lýsigögn-straumstefnu p2 dynamic-filter
   Við munum síðar hengja þessar streymistefnu öryggislýsigagna við öryggisstefnur til að virkja IoT
   umferðarstreymi fyrir þingið.
3. Virkjaðu öryggisþjónustu eins og forritarakningu, auðkenningu forrita og PKI.
   [breyta] notandi@gestgjafi# stilltu þjónustuforritaauðkenningu
   notandi@gestgjafi# stilltu öryggi pki
   notandi@gestgjafi# stilltu rekja öryggisforrit

Stilla SRX Series Firewall
Notaðu þessa aðferð til að stilla viðmót, svæði, reglur virkja IoT pakkasíun og streymisþjónustu á öryggistækinu þínu.

1. Stilla viðmót.
   [breyta] user@host# settu viðmót ge-0/0/2 mtu 9092
   user@host# set tengi ge-0/0/2 eining 0 fjölskyldu inet heimilisfang 10.60.60.1/24
   user@host# stilltu viðmót ge-0/0/3 mtu 9092
   user@host# set tengi ge-0/0/3 eining 0 fjölskyldu inet heimilisfang 10.70.70.1/24
   user@host# stilltu viðmót ge-0/0/4 mtu 9092
   user@host# set tengi ge-0/0/4 eining 0 fjölskyldu inet heimilisfang 10.80.80.1/24
2. Stilltu öryggissvæði og virkjaðu forritaumferð fyrir hvert stillt svæði.
   [breyta] notandi@gestgjafi# stilla öryggissvæði öryggissvæði traustviðmót ge-0/0/2.0 gestgjafi-innleiðandi-umferðarkerfisþjónustur allt
   notandi@gestgjafi# stilltu öryggissvæði öryggissvæði traustviðmót ge-0/0/2.0 samskiptareglur fyrir hýsingar á heimleið allt
   notandi@gestgjafi# stilltu öryggissvæði öryggissvæði treysta umsóknarrakningu
   notandi@gestgjafi# stilla öryggissvæði öryggissvæði vantraustsviðmót ge-0/0/4.0 gestgjafi á heimleið kerfisþjónustur allt
   notandi@gestgjafi# setja öryggissvæði öryggissvæði ótraust tengi ge-0/0/4.0
   samskiptareglur hýsingar á heimleið allt
   notandi@gestgjafi# setja öryggissvæði öryggissvæði ótraust tengi ge-0/0/3.0
   gestgjafi-innleiðandi umferðarkerfi-þjónusta allt
   notandi@gestgjafi# setja öryggissvæði öryggissvæði ótraust tengi ge-0/0/3.0
   samskiptareglur hýsingar á heimleið allt
   notandi@gestgjafi# stilltu öryggissvæði öryggissvæðis ótrausts
   rekja umsókn
   notandi@gestgjafi# stilltu öryggissvæði öryggissvæðisský
   rekja umsókn
   Eins og sýnt er í staðfræðinni tekur vantraustssvæðið á móti flutningi og hýsilbundinni umferð frá IOT tækjum á netinu. Biðlaratækið er á traustsvæði og Juniper ATP Cloud er á skýjasvæði.
   3. Stilltu öryggisstefnu P1.
   [breyta] notandi@gestgjafi# stilltu öryggisstefnu frá svæði trausti til svæðis vantraustsstefnu P1 samsvarar upprunavistfangi hvaða notanda@gestgjafi# stillt öryggisstefnu frá svæði trausti til svæðis vantraustsstefnu P1 samsvarandi áfangastað
   hvaða
   notandi@gestgjafi# stilltu öryggisstefnu frá svæði trausti til svæðis vantraustsstefnu P1 samsvörunarforrit
   hvaða
   notandi@gestgjafi# stilltu öryggisstefnu frá-svæði trausti til svæðis vantraustsstefnu P1 þá
   leyfi
   Þessi uppsetning leyfir umferð frá traustsvæði til ótrausts svæðis.
   4. Stilltu öryggisstefnu P2.
   [breyta] notandi@gestgjafi# stilltu öryggisstefnu frá svæði ótraust til svæðis traustsstefnu P2 samsvarar upprunafangi
   hvaða
   notandi@gestgjafi# stilltu öryggisstefnu frá-svæði ótraust til svæðis traustsstefnu P2 passa við áfangastað-heimilisfang hvaða
   notandi@gestgjafi# stilltu öryggisstefnu frá svæði ótraust til svæðis traustsstefnu P2 samsvörunarforrit
   hvaða
   user@host# stilltu öryggisstefnu frá svæði ótraust til svæðis traustsstefnu P2 og leyfðu síðan
   notandi@gestgjafi# stilltu öryggisstefnu frá svæði ótraust til svæðis traust umsóknarþjónustu
   öryggis-lýsigögn-streymistefna p1
   Uppsetningin leyfir umferð frá ótraust svæði til trausts svæðis og beitir öryggislýsigagnastraumstefnu p1 til að virkja streymi IoT umferðar fyrir lotuna.
3.  Skuldbinda stillinguna.
   [breyta] notandi@gestgjafi# skuldbinda sig
   Nú er öryggistækið þitt tilbúið til að streyma IoT umferð til Juniper ATP Cloud.
   Við skulum athuga öll uppgötvuð IoT tæki í Juniper ATP Cloud gáttinni.
   Viewing Uppgötvuð IOT tæki í ATP Cloud
   Til view uppgötvaði IoT tæki í Juniper ATP Cloud gáttinni, farðu á Minotor > IoT Devices síðuna.
   

Þú getur smellt og síað IoT tækin út frá tækjaflokki, framleiðanda, gerð stýrikerfis.
Á eftirfarandi mynd erum við að sía tæki með Android OS.

Síðan sýnir IoT tæki með upplýsingum eins og IP tölu, gerð, framleiðanda, gerðir og svo framvegis. Með því að nota þessar upplýsingar geturðu fylgst með og búið til ógnarstrauma til að framfylgja öryggisstefnu.
Búðu til ógnunarstrauma
Þegar Juniper ATP Cloud hefur auðkennt IoT tæki geturðu búið til ógnarstrauma. Þegar öryggistækið þitt halar niður ógnarstraumum í formi kraftmikilla vistfangahópa geturðu notað strauminn öryggisstefnur þínar til að grípa til framfylgdaraðgerða á inn- og útleið á þessum IoT tækjum.

• Farðu á Minotor > IoT Devices síðuna og smelltu á Búa til strauma.
  
• Í þessu frvample, við munum nota straumnafnið android_phone_user með tíma til að lifa (TTL) upp á sjö daga.
  Ljúktu við uppsetninguna fyrir eftirfarandi reiti:
  • Heiti straums:
  Sláðu inn einstakt heiti fyrir ógnunarstrauminn. Heiti straumsins verður að byrja á tölustafi og getur innihaldið bókstafi, tölustafi og undirstrik; engin pláss eru leyfð. Lengdin er 8–63 stafir.
  • Tegund: Veldu innihaldsgerð straumsins sem IP.
  • Gagnaheimild: Veldu gagnagjafann til að búa til strauminn sem IOT.
  • Tími til að lifa: Sláðu inn fjölda daga fyrir nauðsynlega straumfærslu til að vera virk. Eftir að straumfærslan fer yfir TTL (Time to Live) gildið er straumfærslan sjálfkrafa fjarlægð. Tiltækt svið er 1–365 dagar.
• Smelltu á OK til að vista breytingarnar.
• Farðu í Stilla > Adaptive Threat Profiling. Síðan sýnir alla ógnarstrauma sem búið er til. Þú getur séð ógnunarstrauminn android_phone_user skráð á síðunni.
  Smelltu á plús táknið (+). Síðan Bæta við nýjum straumi birtist.
  
• Gakktu úr skugga um að öryggistækið þitt hafi hlaðið niður straumnum. Niðurhal á sér stað sjálfkrafa með reglulegu millibili en getur tekið nokkrar mínútur.
  

Þú getur hlaðið niður ógnarstraumnum handvirkt með því að nota eftirfarandi skipun:
biðja um þjónustu við niðurhalsstöðu öryggisupplýsinga ||passa við android_phone_user
Við skulum halda áfram að búa til öryggisstefnur með niðurhaluðum ógnarstraumum.
Búðu til öryggisstefnu með því að nota aðlögandi ógnarsniðsstrauma

Þegar öryggistækið þitt hefur hlaðið niður ógnarstraumnum geturðu vísað til þess sem kvikan heimilisfangshóp í öryggisstefnu. Kvikt heimilisfang er hópur IP vistfanga IoT tækja sem tilheyra ákveðnu léni.
Í þessu frvample, við búum til stefnu sem greinir umferð frá Android símum og lokar fyrir umferðina.

1.  Skilgreindu samsvörunarviðmið öryggisstefnu.
   [breyta] notandi@gestgjafi# settu öryggisstefnur alþjóðlega stefnu Block_Android_Traffic samsvarar uppruna-vistfangi
   android_phone_user
   notandi@gestgjafi# setja öryggisstefnur alheimsstefnu Block_Android_Traffic samsvarar áfangastað hvaða
   notandi@gestgjafi# stilltu öryggisstefnur alheimsstefnu Block_Android_Traffic passa forrit hvaða
2. Skilgreindu öryggisstefnuaðgerðir.
   [breyta] notandi@gestgjafi# settu öryggisstefnur alheimsstefnu Block_Android_Traffic og neitaðu síðan
   Í þessu frvample, þegar þú framkvæmir uppsetninguna lokar öryggistækið þitt fyrir HTTP umferð fyrir IoT tækin sem tilheyra tilteknu léni.
   Fyrir frekari upplýsingar, sjá Stilla aðlagandi ógnarsnið.

Niðurstöður
Frá stillingarham, staðfestu stillinguna þína með því að slá inn sýna öryggisskipunina. Ef úttakið sýnir ekki fyrirhugaða uppsetningu, endurtakið stillingarleiðbeiningarnar í þessu tdample til að leiðrétta það.

Ef þú ert búinn að stilla eiginleikann á tækinu þínu skaltu slá inn commit frá stillingarham.

Staðfesting

Athugaðu straumyfirlit og stöðu
Tilgangur: Staðfestu hvort öryggistækið þitt sé að fá IP-tölustrauma í formi kvikra vistfangahópa.
Aðgerð: Keyrðu eftirfarandi skipun:

user@host> sýna þjónustu háþróaða-anti-malware dynamic-filter stöðu
Staða kviksíuþjónstengingar:
Hýsingarheiti miðlara: srxapi.us-west-2.sky.junipersecurity.net
Server Port: 443
Hýsingarheiti proxy: Ekkert
Proxy Port: Engin
Stjórna flugvél
Tengingarstaða: Tengt
Síðasta árangursríka tenging: 2022-02-12 09:51:50 PST
Pkts send: 3
Pkt móttekin: 42
Merking Úttakið sýnir tengingarstöðu og aðrar upplýsingar um Juniper ATP Cloud netþjóninn.

Stillingaryfirlýsingar og rekstrarskipanir

Junos CLI tilvísun yfirview
Við höfum sameinað allar Junos CLI skipanir og stillingaryfirlýsingar á einum stað. Lærðu um setningafræðina og valkostina sem mynda yfirlýsingarnar og skipanirnar og skildu í hvaða samhengi þú munt nota þessa CLI þætti í netstillingum og aðgerðum.

•  Junos CLI tilvísun
  Smelltu á hlekkina til að fá aðgang að Junos OS og Junos OS Evolved stillingaryfirlýsingu og yfirlitsefni skipana.
•  Stillingaryfirlýsingar
•  CLI skipanir

Skjöl / auðlindir

Juniper NETWORKS Junos OS Öryggi IoT [pdfNotendahandbók Junos OS Öryggi IoT, Junos OS, Öryggi IoT, IoT

Heimildir

• Notendahandbók