Aplicativos de políticas personalizadas
O aplicativo de políticas personalizadas é um recurso alternativo para aplicativos de política predefinidos. Se você não quiser usar aplicativos de política predefinidos em sua política, você pode criar aplicativos personalizados. O Junos OS permite que você configure aplicativos personalizados para sua política.
Entendendo aplicativos de políticas personalizadas
Se você não quiser usar aplicativos predefinidos em sua política, você pode facilmente criar aplicativos personalizados.
Você pode atribuir a cada aplicativo personalizado os seguintes atributos:
Nome
Protocolo de transporte
Números de porta de origem e destino para aplicativos que usam TCP ou UDP
Valores de tipo e código para aplicativos usando ICMP
Valor de tempo limite
Mapeamentos personalizados de aplicativos
A opção de aplicativo especifica o aplicativo de Camada 7 que mapeia para o aplicativo de Camada 4 que você faz referência em uma política. Um aplicativo predefinido já tem um mapeamento para um aplicativo de Camada 7. No entanto, para aplicativos personalizados, você deve vincular o aplicativo a uma política explicitamente, especialmente se quiser que a política aplique um gateway de camada de aplicativo (ALG) ou inspeção profunda ao aplicativo personalizado.
O Junos OS oferece suporte a ALGs para inúmeras aplicações, incluindo DNS, FTP, H.323, HTTP, RSH, SIP, Telnet e TFTP.
Aplicar uma ALG a um aplicativo personalizado envolve as duas etapas a seguir:
Defina um aplicativo personalizado com um nome, valor de tempo limite, protocolo de transporte e portas de origem e destino.
Ao configurar uma política, faça referência a esse aplicativo e ao tipo de aplicativo para a ALG que você deseja aplicar.
Exemplo: Adição e modificação de aplicativos de políticas personalizadas
Este exemplo mostra como adicionar e modificar aplicativos de políticas personalizados.
Requisitos
Antes de começar, crie endereços e zonas de segurança. Veja exemplo: criação de zonas de segurança.
Visão geral
Neste exemplo, você cria um aplicativo personalizado usando as seguintes informações:
Um nome para o aplicativo:
cust-telnet.Uma variedade de números de porta de origem:
1até65535.Um número de porta de destino: 23000.
O protocolo usado pelo aplicativo: TCP.
Assim que o aplicativo cust-telnet personalizado for criado, as seguintes informações são modificadas:
O protocolo usado pelo aplicativo é modificado para: TCP.
Uma variedade de números de porta de origem:
1até51100.Um número de porta de destino: 11000.
Configuração
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para adicionar e modificar um aplicativo de política personalizado:
Configure o TCP e especifique a porta de origem e a porta de destino.
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
Especifique o tempo em que o aplicativo está inativo.
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
Modifique o aplicativo de políticas personalizadas
cust-telnet:Exclua as portas de origem e destino configuradas para TCP.
Configure o UDP e especifique a porta de origem e a porta de destino.
Especifique o tempo em que o UDP está inativo.
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Verificando o aplicativo de política personalizada modificado
Propósito
Para verificar se o aplicativo de políticas personalizadas foi modificado com sucesso.
Ação
A partir do modo operacional, entre no show applications application cust-telnet comando para exibir os detalhes do aplicativo de política personalizada - cust-telnet.
user@host> show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;O valor do tempo limite é em segundos. Se você não configurá-lo, o valor de tempo limite de um aplicativo personalizado é de 1800 segundos. Se você não quiser que um aplicativo saia, digite never.
Significado
A saída exibe informações sobre o cust-telnet aplicativo. Verifique as seguintes informações:
Nome da política configurado.
Portas de origem e destino.
Tempo (em segundos) em que o aplicativo está inativo.
Exemplo: configuração de opções de termo de aplicação de políticas personalizadas
Este exemplo mostra como configurar propriedades de aplicativos e opções de termo para protocolos de aplicativos.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um firewall da Série SRX
Um PC
Antes de começar:
Configure os aplicativos necessários. Veja exemplo: Adição e modificação de aplicativos de políticas personalizadas .
Visão geral
Neste exemplo, você cria um nome de aplicativo, nome do aplicativo e um termo chamado opções personalizadas para definir suas opções de termo de aplicação de políticas personalizadas.
Você configura o serviço de nome de domínio (DNS) como o tipo de gateway de camada de aplicativo (ALG) e UDP como o tipo de protocolo de rede. Você define a porta de origem para 24000 e a porta de destino para 23000. Em seguida, você define o valor do tipo de pacote do Protocolo de Mensagem de Controle de Internet (ICMP) para 5 e o valor do código ICMP para 0. Você define o valor do programa de chamada de procedimento remoto (RPC) para 50 e o valor do Identificador Único Universal (UUID) para 1be617c0-31a5-11cf-a7d8-00805f48a135. Por fim, você define o valor de tempo limite de inatividade para 60.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
Procedimento passo a passo
Para configurar opções de termo de aplicação de políticas personalizadas:
Configure o termo nome.
[edit applications] user@host# set application app-name term custom-options
Configure o tipo ALG.
[edit applications] user@host# set application app-name term custom-options alg dns
Configure o tipo de protocolo de rede.
[edit applications] user@host# set application app-name term custom-options protocol udp
Configure o número da porta de origem.
[edit applications] user@host#set application app-name term custom-options source-port 24000
Configure o número da porta de destino TCP ou UDP.
[edit applications] user@host# set application app-name term custom-options destination-port 23000
Especifique o valor do tempo de inatividade.
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show applications comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show applications
application app-name {
term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando a configuração
Propósito
Verifique se a configuração está correta.
Ação
A partir do modo operacional, entre no show applications comando.
user@host> show applications
application app-name {
term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60;
}