NESTA PÁGINA
O aplicativo de política de segurança define uma visão geral
Exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos
Entendendo a configuração e a busca do tempo de tempo de aplicação de políticas
Entendendo as contingências de tempo limite de aplicativos de políticas
Aplicativos e conjuntos de aplicativos de políticas de segurança
Os aplicativos de políticas são tipos de tráfego para os quais os padrões de protocolo existem. O conjunto de aplicativos de políticas é um grupo de aplicativos de políticas. O Junos OS simplifica o processo, permitindo que você gerencie um pequeno número de conjuntos de aplicativos de políticas, em vez de um grande número de entradas de aplicativos de políticas individuais.
O aplicativo de políticas ou o conjunto de aplicativos são referidos por políticas de segurança como critérios de correspondência para pacotes que iniciam sessões. O Junos OS permite configurar aplicativos de políticas e conjuntos de aplicativos. Você pode criar um conjunto de aplicativos que contém todos os aplicativos aprovados.
Visão geral dos aplicativos de políticas de segurança
Aplicativos são tipos de tráfego para os quais os padrões de protocolo existem. Cada aplicativo tem um protocolo de transporte e número(s) de porta de destino associados a ele, como TCP/porta 21 para FTP e TCP/porta 23 para Telnet. Ao criar uma política, você deve especificar um aplicativo para ela.
Você pode selecionar um dos aplicativos predefinidos do livro de aplicativos, ou um aplicativo ou aplicativo personalizado que você criou. Você pode ver qual aplicativo você pode usar em uma política usando o show applications comando CLI.
Cada aplicativo predefinido tem uma gama de portas de origem, 1–65535que inclui todo o conjunto de números de porta válidos. Isso impede que potenciais invasores obtenham acesso usando uma porta de origem fora do intervalo. Se você precisar usar uma faixa de porta de origem diferente para qualquer aplicativo predefinido, crie um aplicativo personalizado. Para obter informações, veja Entenda os aplicativos de políticas personalizadas.
Veja também
O aplicativo de política de segurança define uma visão geral
Ao criar uma política, você deve especificar um aplicativo, ou serviço, para que ele indique que a política se aplica ao tráfego desse tipo. Às vezes, os mesmos aplicativos ou um subconjunto deles podem estar presentes em várias políticas, dificultando o gerenciamento. O Junos OS permite que você crie grupos de aplicativos chamados conjuntos de aplicativos. Os conjuntos de aplicativos simplificam o processo, permitindo que você gerencie um pequeno número de conjuntos de aplicativos, em vez de um grande número de entradas de aplicativos individuais.
O aplicativo (ou conjunto de aplicativos) é referido por políticas de segurança como critérios de correspondência para as sessões de início de pacotes. Se o pacote corresponder ao tipo de aplicativo especificado pela política e todos os outros critérios compatíveis, a ação da política será aplicada ao pacote.
Você pode especificar o nome de um conjunto de aplicativos em uma política. Neste caso, se todos os outros critérios corresponderem, qualquer um dos aplicativos no conjunto de aplicativos serve como critérios de correspondência válidos; any é o nome padrão do aplicativo que indica todos os aplicativos possíveis.
Os aplicativos são criados no .../applications/application/application-name diretório. Você não precisa configurar um aplicativo para nenhum dos serviços predefinidos pelo sistema.
Além de serviços predefinidos, você pode configurar um serviço personalizado. Depois de criar um serviço personalizado, você pode consultar a ele em uma política.
Exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos
Este exemplo mostra como configurar aplicativos e conjuntos de aplicativos.
Requisitos
Antes de começar, configure os aplicativos necessários. Veja a visão geral dos conjuntos de políticas de segurança.
Visão geral
Em vez de criar ou adicionar vários nomes de aplicativos individuais a uma política, você pode criar um conjunto de aplicativos e consultar o nome do conjunto em uma política. Por exemplo, para um grupo de funcionários, você pode criar um conjunto de aplicativos que contém todos os aplicativos aprovados.
Neste exemplo, você cria um conjunto de aplicativos que é usado para fazer login nos servidores da zona abc (intranet), acessar o banco de dados e transferir arquivos.
Defina os aplicativos no conjunto de aplicativos configurado.
Os gerentes da zona A e os gerentes da zona B usam esses serviços. Portanto, dê ao aplicativo definir um nome genérico, como MgrAppSet.
Crie um conjunto de aplicativos para os aplicativos que são usados para aplicativos baseados em e-mail e Web que são entregues pelos dois servidores na zona externa.
Topologia
Configuração
Procedimento
Procedimento passo a passo
Para configurar um conjunto de aplicativos e aplicativos:
Crie um conjunto de aplicativos para gerentes.
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
Crie outro conjunto de aplicativos para aplicativos baseados em e-mail e Web.
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show applications comando no modo de configuração.
Entendendo a configuração e a busca do tempo de tempo de aplicação de políticas
O valor de tempo limite do aplicativo definido para um aplicativo determina o tempo limite da sessão. Você pode definir o limite de tempo limite para um aplicativo predefinido ou personalizado; você pode usar o tempo limite padrão do aplicativo, especificar um tempo limite personalizado ou não usar nenhum tempo limite.
Os valores de tempo limite do aplicativo são armazenados na tabela de tempo limite baseada em porta TCP e UDP raiz e na tabela de tempo limite padrão baseada em protocolo. Quando você define um valor de tempo limite do aplicativo, o Junos OS atualiza essas tabelas com o novo valor. Há também valores de tempo limite padrão no banco de dados de entrada de aplicativos, que são retirados de aplicativos predefinidos. Você pode definir um tempo limite, mas não pode alterar um valor padrão.
Cada aplicativo personalizado pode ser configurado com seu próprio tempo limite de aplicativo personalizado. Se vários aplicativos personalizados forem configurados com intervalos personalizados, cada aplicativo terá seu próprio tempo limite de aplicativo personalizado.
Se o aplicativo compatível com o tráfego tiver um valor de tempo limite, esse valor de tempo limite será usado. Caso contrário, a pesquisa prossegue na ordem a seguir até que um valor de tempo limite do aplicativo seja encontrado:
A tabela de tempo limite baseada em porta TCP e UDP raiz é pesquisada para obter um valor de tempo limite.
A tabela de tempo limite padrão baseada em protocolo é pesquisada para obter um valor de tempo limite. Veja a tabela 1.
Tabela 1: Tempo limite de padrão baseado em protocolo Protocolo
Tempo limite padrão (segundos)
TCP
1800
UDP
60
ICMP
60
OSPF
60
Outros
1800
Entendendo as contingências de tempo limite de aplicativos de políticas
Ao definir os intervalos, esteja ciente das seguintes contingências:
Se um aplicativo contém várias entradas de regras de aplicativo, todas as entradas de regra compartilham o mesmo tempo limite. Você precisa definir o tempo limite do aplicativo apenas uma vez. Por exemplo, se você criar um aplicativo com duas regras, os seguintes comandos definirão o tempo limite para 20 segundos para ambas as regras:
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
Se vários aplicativos personalizados forem configurados com intervalos personalizados, cada aplicativo terá seu próprio tempo limite de aplicativo personalizado. Por exemplo:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
Com essa configuração, o Junos OS aplica um tempo limite de 10 segundos para a porta de destino 2121 e um intervalo de 20 segundos para a porta de destino 2300 em um grupo de aplicativos.
Exemplo: definir um tempo limite de aplicação de políticas
Este exemplo mostra como definir um valor de tempo limite de aplicação de políticas.
Requisitos
Antes de começar, entenda os intervalos de solicitação de políticas. Veja a configuração e a visualização do tempo limite do aplicativo de políticas.
Visão geral
Os valores de tempo limite do aplicativo são armazenados no banco de dados de entrada do aplicativo e nas tabelas de tempo limite correspondentes de TCP e UDP baseadas em porta. Neste exemplo, você define o dispositivo para um tempo limite de aplicativo de política para 75 minutos (4500 segundos) para o aplicativo predefinido de FTP.
Quando você define um valor de tempo limite do aplicativo, o Junos OS atualiza essas tabelas com o novo valor.
Configuração
Procedimento
Procedimento passo a passo
Para definir um tempo limite de aplicação de políticas:
Defina o valor do tempo de inatividade.
[edit applications application ftp] user@host# set inactivity-timeout 4500
Confirme a configuração se terminar a configuração do dispositivo.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show applications comando.