应用程序识别
应用程序识别使您能够查看您网络的应用程序,并了解其工作方式、行为特征及其相对风险。无论使用何种端口、协议和其他逃避策略,应用程序 ID 都使用几种不同的识别机制检测您网络上的应用程序。有关详细信息,请参阅以下主题:
了解应用程序识别技术
以往,防火墙一直使用 IP 地址和端口号来实施策略。这种策略基于这样的假设:用户通过固定位置连接到网络,使用特定端口号访问特定资源。
如今,无线网络和移动设备需要不同的策略。设备连接到网络的方式迅速改变。个人可同时使用多个设备连接到网络。通过一组静态分配的 IP 地址和端口号识别用户、应用程序或设备已不再可行。
本主题包括以下部分:
Junos OS代应用程序识别
下一代应用程序识别建立在传统应用程序识别功能的基础上,为 Skype、BitTorrent 和 Tor 等逃避式应用程序提供了更有效的检测功能。
Junos OS识别功能使用端口号外的特性识别不同网络层上的基于 Web 的应用程序和其他应用程序及协议。通过使用包含应用程序签名和解析信息的协议捆绑包来识别应用程序。此识别基于协议解析、解码以及会话管理。
检测机制具有自己的数据源和结构,用于识别应用程序。
应用程序识别支持以下功能:
支持协议和应用程序,包括视频流、点对点通信、社交网络和消息传送
识别应用程序内的服务
能够区分应用程序内启动的操作(如登录、浏览、聊天和文件传输)
支持所有版本的协议和应用程序解码器以及解码器的动态更新
支持加密和压缩流量以及最为复杂的隧道协议
能够识别从 3 层到 7 层及 7 层及以上的所有协议
应用程序识别的好处
提供对应用程序的细粒度控制,包括视频流、点对点通信、社交网络和消息传送。它还可识别应用程序内的服务、端口使用情况、底层技术和行为特征。这种可见性使您能够在 SRX 系列防火墙内联拦截逃避应用。
无论使用何种端口或协议,都可以识别应用程序并允许、阻止或限制应用程序,包括使用逃避技术避免被识别的应用程序。此标识可帮助组织控制允许进出网络的流量类型。
应用程序签名映射
应用程序签名映射是识别网络上发布流量的应用程序的精确方法。签名映射操作在 7 层,并检测有效负载的实际内容。
应用程序使用可下载的协议包进行识别。将前几个数据包的应用程序签名和解析信息与数据库内容进行比较。如果有效负载包含与数据库中的条目相同的信息,则流量的应用程序将标识为映射到该数据库条目的应用程序。
瞻博网络 提供预定义的应用程序识别数据库,其中包含一套全面的已知应用程序的条目,例如 FTP 和 DNS,以及通过 HTTP 协议操作的应用程序(如 Facebook、Kazaa 和许多即时消息程序)。签名订阅允许您从应用程序下载瞻博网络,并随着新预定义签名的添加定期更新内容。
应用程序识别匹配顺序
图 1 显示了应用映射技术及确定应用方式的顺序。
在应用程序识别中,流中每个数据包都通过应用程序识别引擎进行处理,直至识别应用程序。应用程序绑定保存在应用程序系统缓存 (ASC) 中以加速未来识别流程。
应用程序签名基于会话前几个数据包中的协议队列分析识别应用程序。如果应用程序识别引擎尚未识别应用程序,则它传递数据包并等待更多数据。
应用程序识别模块匹配客户端到服务器和服务器到客户端会话的应用程序。
确定应用程序之后,AppSecure可配置服务模块以监控和控制流量,以基于流量的应用程序 ID 进行跟踪、优先级划分、访问控制、检测和防御。
应用程序跟踪 (AppTrack) — 跟踪和报告通过设备的应用程序。
入侵检测和防御 (IDP) — 将相应的攻击对象应用于在非标准端口上运行的应用程序。应用程序识别在没有解码IDP的情况下缩小应用程序的攻击签名范围,从而提高了性能。
应用程序防火墙 (AppFW) — 使用基于应用程序的规则实施应用程序防火墙。
应用程序服务质量 (AppQoS) — 基于应用程序感知 提供 服务质量优先级。
基于策略的高级路由 (APBR) — 基于应用程序对会话分类,并应用配置的规则以重新路由流量。
应用程序体验质量 (AppQoE) — 监控应用程序的性能,并基于分数选择应用程序流量的最佳链路。
另请参阅
了解Junos OS识别数据库
安全工程网站 提供了预定义瞻博网络数据库。此数据库包括一个应用程序签名库。有关详细信息 ,请参阅 应用程序签名 。这些签名页面将为您提供对应用程序类别、组、风险级别、端口等的可见性。
预定义签名包提供已知应用程序签名的识别标准,并且会定期更新。
只要添加新应用程序,就会为所有相关平台更新和生成协议捆绑包。与其他应用程序签名文件一起打包。此程序包可供通过安全下载网站下载。
订阅服务允许您定期下载最新的签名,提供最新覆盖范围,而不必创建供自己使用的条目。
应用程序识别默认启用,当您配置 入侵检测和防御 (IDP)、AppFW、AppQoS 或 AppTrack 时,将自动打开。
预先Junos OS应用程序签名包的更新由单独许可的订阅服务授权。您必须在您的设备上安装应用程序识别应用程序签名更新许可证密钥,才能下载和安装 瞻博网络 提供的签名数据库更新。许可证密钥到期时,您可以继续使用本地存储的应用程序签名包内容,但是不能更新包。
另请参阅
禁用和重新Junos OS应用程序识别
默认情况下,应用程序识别已启用。您可以使用应用程序识别程序禁用CLI。
要禁用应用程序识别:
user@host# set services application-identification no-application-identification
如果您要重新启用应用程序识别,请删除指定禁用应用程序标识的配置语句:
user@host# delete services application-identification no-application-identification
完成设备配置后,请提交配置。
要验证配置,请输入 show services application-identification
命令。
另请参阅
了解应用程序系统缓存
应用程序系统缓存 (ASC) 可保存应用程序类型与相应目标 IP 地址、目标端口、协议类型和服务之间的映射。识别应用程序后,其信息将保存在 ASC 中,以便仅需要一个匹配条目来识别在特殊系统上运行的应用程序,从而加快识别过程。
默认情况下,ASC 保存映射信息 3600 秒。但是,可以使用安全表来配置缓存超时CLI。
您可以使用 命令 [edit services application-identification application-system-cache-timeout]
更改应用程序系统缓存条目的超时值。超时值可配置 0 到 1,000,000 秒。ASC 会话可能在 1000,000 秒后到期。
ASC 条目在配置的 ASC 超时后到期。即使超时期间存在缓存命中(在 ASC 中发现匹配条目),ASC 条目也不刷新。
配置新的自定义应用程序签名或修改现有自定义签名时,将清除预定义和自定义应用程序的所有现有应用程序系统缓存条目。
删除或禁用自定义应用程序签名且配置提交失败时,应用程序系统缓存 (ASC) 条目不会完全清除;定制应用程序路径中的一个基本应用程序将在 ASC 中报告
另请参阅
启用或禁用应用程序服务的应用程序系统缓存
从Junos OS版本18.2R1,ASC 的默认行为将发生更改,如下所示:
- 在Junos OS版本18.2R1 — 默认情况下,包括安全服务在内的所有服务均启用 ASC。
-
从Junos OS版本18.2R1- ASC 默认启用;请注意安全服务查找的差异:
-
默认情况下,ASC 不会启用安全服务查找。即安全服务,包括安全策略、应用程序防火墙 (AppFW)、应用程序跟踪 (AppTrack)、应用程序 服务质量 (AppQoS)、瞻博网络 Sky ATP、IDP 和 UTM 默认情况下不使用 ASC。
-
默认情况下,ASC 会启用其他服务的查找。即,包括基于策略的高级路由 (APBR) 在内的其他服务默认使用 ASC 进行应用程序识别。
-
ASC 默认行为的变化将影响传统 AppFW 功能。默认情况下,如果安全服务从 18.2 版Junos OS开始禁用 ASC,AppFW 将使用 ASC 中呈现的条目。
您可以使用 命令恢复到 18.2 Junos OS 18.2 之前版本中的 set services application-identification application-system-cache security-services
ASC 行为。
如果为安全服务启用了 ASC,安全设备可能会很容易受到应用程序逃避技术的影响。建议仅在设备默认配置中的性能(为安全服务禁用)不足以用于特定用例时,才启用 ASC。
使用以下命令启用或禁用 ASC:
为安全服务启用 ASC:
user@host#
set services application-identification application-system-cache security-services禁用 ASC 以用于其他服务:
user@host#
set services application-identification application-system-cache no-miscellaneous-services禁用安全服务启用的 ASC:
user@host#
delete services application-identification application-system-cache security-services为杂项服务启用禁用的 ASC:
user@host#
delete services application-identification application-system-cache no-miscellaneous-services
您可以使用 命令 show services application-identification application-system-cache
验证 ASC 的状态。
以下示例输出提供 ASC 的状态:
user@host>
show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
默认情况下,在Junos OS版本18.2R1版本中,应用程序缓存已启用。您可以使用 命令手动禁用 set services application-identification no-application-system-cache
它。
user@host# set services application-identification no-application-system-cache
另请参阅
验证应用程序系统缓存统计信息
目的
验证应用程序系统缓存 (ASC) 统计信息。
应用程序系统缓存将显示应用程序识别应用程序的缓存。
行动
在CLI模式下,输入 show services application-identification application-system-cache
命令。
示例输出
命令名称
user@host> show services application-identification application-system-cache application-cache: on nested-application-cache: on cache-unknown-result: on cache-entry-timeout: 3600 seconds
意义
输出显示 ASC 统计信息的汇总。验证以下信息:
IP 地址 — 显示目标地址。
端口 — 显示服务器上的目标端口。
协议 — 显示目标端口上的协议类型。
应用程序 — 显示目标端口上标识的应用程序的名称。
对于 SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 设备,如果存在大量 ASC 条目(10,000 个或多个 show services application-identification application-system-cache
),并且条目将列出在命令的输出中,将会CLI 会话超时。
另请参阅
Onbox 应用程序识别统计信息
应用程序识别服务提供每会话的统计信息。这些统计信息为客户提供应用程序使用情况配置文件。Onbox 应用程序识别统计信息功能将应用程序级别统计信息添加到 AppSecure 套件中。应用程序统计信息允许管理员访问累积统计数据以及用户定义间隔上累积的统计信息。
借助此功能,管理员可以清除统计信息并配置间隔值,同时维护字节和会话计数统计信息。由于统计信息计数在会话关闭事件时间进行,因此字节和会话计数在会话关闭之前不会更新。瞻博网络设备支持八个间隔的历史记录,管理员可用于显示应用程序会话和字节计数。从Junos OS 18.3R1开始,安全设备支持显示应用程序会话和字节计数的间隔历史记录。
如果在应用程序配置中支持应用程序分组Junos OS,则 Onbox 应用程序标识 统计信息功能支持箱内按组匹配统计信息。统计信息仅针对预定义组维护。
重新安装应用程序签名包不会清除应用程序统计信息。如果禁用应用程序,此应用程序将不存在任何信息流,但是应用程序在统计信息中仍保持。重新安装预定义的应用程序是否不重要,因为根据应用程序类型跟踪应用程序。对于预定义的组统计信息,重新安装安全包不会清除统计信息。但是,对集团成员的任何更改均会更新。例如,junos:web 在当前版本中可能有 50 个应用程序,升级后可能有 60 个应用程序。删除的应用程序和重命名的应用程序组处理方式与添加的应用程序相同。
应用程序识别模块在每个服务处理单元 (SPU) 上为每种应用程序维护一个 64 位会话计数器。将会话识别为特定应用程序时,计数器递增。另一组 64 位计数器可聚合 SPU 上每个应用程序的总字节数。还维护未指定应用程序的计数器。来自会话和字节的多个 S SPUS 的统计信息将聚合路由引擎并呈现给用户。
单个 SUS 都有间隔计时器,可以每次回滚 interval 统计信息。要配置统计数据收集的时间间隔,请使用 set services application-identification statistics interval time
命令。只要路由引擎间隔时间进行查询,都会从每个 SPU 获取相应的统计信息,并聚合路由引擎并呈现给用户。
使用 清除 clear services application-identification statistics
所有应用程序统计数据,如累积、间隔、应用程序和应用程序组。
clear services application-identification counter
使用 命令手动重置计数器。当设备升级或重新启动、流重新启动时或在间隔计时器有变化时,计数器会自动重置。
set services application-identification application-system-cache-timeout value
使用 指定应用程序系统缓存条目的超时值(以秒为秒)。
从Junos OS SRX 系列15.1X49-D120开始,应用程序标识统计信息收集时间的默认时间间隔从 1 分钟更改为 1440 分钟。
配置 IMAP 缓存大小
互联网消息访问协议 (IMAP) 是一种互联网标准协议,供电子邮件客户端用于电子邮件存储和检索服务。IMAP 缓存用于协议解析和上下文生成。其中存储了电子邮件的解析相关信息。
从Junos OS版本15.1X49-D120,您可以配置以限制 IMAP 缓存中的最大条目数,并指定缓存中条目的超时值。
您可以使用以下命令修改 IMAP 缓存的设置:
set services application-identification imap-cache imap-cache-size size
set services application-identification imap-cache imap-cache-timeout time in seconds
例子:
[edit]
user@host# set services application-identification imap-cache imap-cache-size 50000
此示例将 IMAP 缓存大小配置为存储 50,000 个条目。
[edit]
user@host# set services application-identification imap-cache-timeout 600
此示例将时间段配置为 600 秒,在此期间,缓存条目将保留在 IMAP 缓存中。
另请参阅
了解对应用程序识别服务的Junos OS帧支持
应用程序识别支持 9192 字节更大的大型帧。虽然默认启用大帧,但您可以使用 [] 命令调整最大传输单元 (MTU)set interfaces
大小。处理大量帧时,可以降低 CPU 开销。
另请参阅
应用程序识别检测限制
从 Junos OS 版15.1X49-D200和19.4R1,您可以灵活配置应用程序标识检测限制:。
Inspection Limit for TCP and UDP Sessions
您可以在 UDP 或 TCP 会话中为应用程序识别 (AppID) 设置字节限制和数据包限制。AppID 根据配置的检测限制对分类进行总结。超过限制时,AppID 将终止应用程序分类。
如果 AppID 未在配置的限制内对最终分类进行分级处理,并且提供了预匹配的应用程序,AppID 将应用程序总结为预匹配的应用程序。否则,只要启用全局 AppID 缓存,应用程序将总结为 junos:UNKNOWN。默认情况下,全局 AppID 缓存已启用。
要配置字节限制和数据包限制,请使用层次结构中的以下配置
[edit]
语句:-
user@host#
set services application-identification inspection-limit tcp byte-limit byte-limit-number packet-limit packet-limit-number -
user@host#
set services application-identification inspection-limit udp byte-limit byte-limit-number packet-limit packet-limit-number
表 1 提供了用于配置 TCP 和 UDP 会话的字节限制以及数据包限制的范围和默认值。
表 1:TCP 和 UDP 会话的最大字节限制和数据包字节限制 会话
限制
范围
默认值
TCP
字节限制
0 到 4294967295
6000
对于Junos OS版本15.1X49-D200,默认值为 10000。
数据包限制
0 到 4294967295
零
UDP
字节限制
0 到 4294967295
零
数据包限制
0 到 4294967295
10
对于Junos OS版本15.1X49-D200,默认值为 20。
字节限制不包括 IP 报头和 TCP/UDP 报头长度。
如果同时设置 和
byte-limit
packet-limit
选项,AppID 将检测会话,直到达到两个限制。您可以将 相应的 和 值配置为零,以禁用 TCP 或 UDP
byte-limit
packet-limit
检查限制。-
Global Offload Byte Limit (Other Sessions)
您可以为 AppID 设置字节限制,以对分类进行设置,然后识别会话中的应用程序。超出限制时,AppID 将终止应用程序分类,并做出以下一项决策:
如果提供预匹配的应用程序,AppID 将以下情况下的应用程序分类总结为预匹配应用程序:
当 AppID 未在配置的字节限制内对最终分类进行限时
由于某些应用程序的隧道行为未卸载会话时
如果预匹配的应用程序不可用,只要启用全局 AppID 缓存,AppID 将应用程序总结为 junos:UNKNOWN。默认情况下,全局 AppID 缓存已启用。请参阅 为应用程序服务启用或禁用应用程序系统缓存 。
要配置字节限制,请使用层次结构中的以下配置
[edit]
语句:set services application-identification global-offload-byte-limit byte-limit-number
选项的默认值
global-offload-byte-limit
为 10000。您可以将值配置为零,以禁用全局分
global-offload-byte-limit
载字节限制。字节限制不包括 IP 报头和 TCP/UDP 报头长度。
启用性能模式选项
从 Junos OS 版 15.1X49-D200 和 19.4R1 开始,将弃用 DPI set services application-identification enable-performance-mode max-packet-threshold value
性能模式选项的最大数据包阈值,而不是立即移除,以便提供向后兼容性,并有机会使配置符合新配置。此选项用于为 DPI 性能模式设置最大数据包阈值。
max-packet-threshold
如果您的配置包括 Junos OS 15.1X49-D200 和 19.4R1 版本中启用的性能模式选项,AppID 将结束应用程序分类,说明其达到 TCP 或 UDP 检测限制中配置的最低值或全局卸载字节限制,或者达到 DPI 性能模式选项的最大数据包阈值。
对内容交付网络 (CDN) 上托管的应用程序的应用程序识别支持
从 Junos OS 版 20.1R1 和 19.1R3 开始,您可以启用应用程序识别 (AppID) 来对内容交付网络 (CDN) 上托管的 Web 应用程序进行分类,如 AWS、Akamai、Azure、Fastly 和 Cloudflare 等。使用以下配置语句启用 CDN 应用程序分类:
[edit]
user@host#
user@hots# set service application-identification enable-cdn-application-detection
应用配置时,AppID 对 CDN 上托管的实际应用程序进行识别和分类。
DPI 的最大内存限制
从 Junos OS 20.1R1 19.1R3开始,您可以使用以下配置语句配置 深度包检测 (DPI) 的最大内存限制:
user@host#
set services application-identification max-memory memory-value
您可以将 1 到 20000 MB 设置为内存值。
一旦 JDPI 内存消耗达到已配置值的 90%,DPI 将停止处理新会话。
提高应用程序流量吞吐量
应用程序流量吞吐量可通过在性能模式下设置 深度包检测 (DPI) 来提高,默认数据包检测限制为两个数据包,包括客户端到服务器和服务器到客户端的方向。默认情况下,安全设备上禁用性能模式。
要提高应用程序流量吞吐量:
show services application-identification status
使用 命令显示有关应用程序识别状态的详细信息。
show services application-标识状态(启用 DPI 性能模式)
user@host> show services application-identification status pic: 2/1 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.2-24.006 (build date Jul 30 2014) Max TCP session packet memory 30000 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 262144 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Slot 1: Application package version 2399 Status Active Version 1.40.0-26.006 (build date May 1 2014) Sessions 0 Slot 2 Application package version 0 Status Free Version Sessions 0
DPI 性能模式字段显示 DPI 性能模式是否启用。只有当性能模式启用时CLI输出中才能显示此字段。
如果要将 DPI 设置为默认准确性模式并禁用性能模式,请删除指定启用性能模式的配置语句:
要禁用性能模式:
删除性能模式。
[edit]
user@host# delete services application-identification enable-performance-mode提交配置。
[edit]
user@host# commit
另请参阅
未知应用程序流量的数据包捕获概述
您可以使用未知应用程序的数据包捕获功能来收集有关安全设备上未知应用程序的更多详细信息。未知应用程序流量与应用程序签名不匹配的流量。
在安全设备上配置数据包捕获选项后,未知应用程序流量将收集在数据包捕获文件 (.pcap) 中并存储在设备上。您可以使用未知应用程序的数据包捕获来定义新的自定义应用程序签名。您可以在安全策略中使用此自定义应用程序签名更高效地管理应用程序流量。
您可以将 .pcap 文件瞻博网络,在流量分类错误的情况下进行分析,或请求创建应用程序签名。
未知应用程序流量的数据包捕获优势
您可以使用未知应用程序流量的数据包捕获:
了解有关未知应用程序的更多见解
分析未知应用程序流量以发现潜在威胁
帮助创建安全策略规则
启用自定义应用程序签名创建
实施安全策略来阻止所有未知应用程序流量可能会导致基于网络的应用程序发生问题。应用这些类型的策略之前,请确保验证此方法不会导致环境中的问题。您必须仔细分析未知应用程序流量,并相应地定义安全策略。
配置未知应用程序流量的数据包捕获
开始之前
要自动捕获未知应用程序流量的数据包,您必须:
在 SRX 系列设备上安装有效的应用程序识别功能许可证。请参阅 管理 Junos OS 许可证 。
下载并安装 Junos OS签名包。请参阅 应用程序签名包 Junos OS和安装 。
确保安全Junos OS具有20.2R1或更高版本。
概述
此示例将完成以下步骤,了解如何在安全设备上配置未知应用程序的自动数据包捕获:
在全局级别或安全策略级别设置数据包捕获选项。
配置数据包捕获模式
(可选)配置数据包捕获文件选项
访问生成的数据包捕获文件 (。pcap 文件)
配置
要了解数据包捕获配置选项,请参阅 开始之前的 数据包捕获。
全球未知应用程序的数据包捕获
逐步过程
要在全球级别启用数据包捕获,请使用以下命令:
user@host#
set services application-identification packet-capture global
当在全球级别启用数据包捕获时,您的安全设备会为包含未知应用程序流量的所有会话生成数据包捕获。
在安全策略级别针对未知应用程序的数据包捕获
逐步过程
在安全策略级别配置数据包捕获,使用以下过程。此示例在安全策略 P1 中启用未知应用程序流量的数据包捕获。
[edit]
user@host#
set security policies from-zone untrust to-zone trust policy P1 match source-address anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match destination-address anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match application anyuser@host#
set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:UNKNOWNuser@host#
set security policies from-zone untrust to-zone trust policy P1 then permit application-services packet-capture在安全策略级别启用未知应用程序流量的数据包捕获,您必须包含
junos:UNKNOWN
为动态应用程序匹配条件。配置安全策略 (P1) 时,系统将捕获与安全策略匹配标准匹配的应用程序流量的数据包详细信息。
选择数据包捕获模式
您可以以下列任一模式捕获未知应用程序流量的数据包:
ASC 模式 — 在应用程序分类为 junos:UNKNOWN 且应用程序系统缓存 (ASC) 中具有一个匹配条目时,捕获未知应用程序的数据包。默认情况下,此模式已启用。
积极模式 — 在 AppID 完成分类之前捕获所有信息流。在此模式下,无论有一个可用的 ASC 条目,系统都将捕获所有应用程序流量。数据包捕获始于第一个会话的第一个数据包。请注意,积极模式明显更加资源密集,应谨慎使用。
要启用积极模式,请使用以下命令:
[edit]
user@host#
set services application-identification packet-capture aggressive-mode除非需要捕获信息流首次出现,否则我们不建议使用积极模式。如前所述,设备的默认行为依赖于 ASC。
定义数据包捕获选项(可选)
逐步过程
或者,您也可设置以下数据包捕获参数。否则,数据包捕获中所述 的默认选项 用于此功能。此示例将定义数据包捕获选项,如最大数据包限制、最大字节限制和数据包捕获 (.pcap) 文件数。
设置每个会话的最大 UDP 数据包数。
[edit]
user@host#
set services application-identification packet-capture max-packets 10设置每个会话的最大 TCP 字节数。
[edit]
user@host#
set services application-identification packet-capture max-bytes 2048设置在覆盖并旋转最旧文件之前要创建的最大数据包捕获 (.pcap) 文件数。
[edit]
user@host#
set services application-identification packet-capture max-files 30
结果
在配置模式下,输入 命令和层次结构级别 show services application-identification packet-capture
,以确认 show security policies
您的配置。如果输出未显示预期的配置,请遵循此示例中的配置说明进行更正。
以下配置显示全局级别未知应用程序数据包捕获的示例,包含可选配置:
[edit services application-identification]
user@host# show packet-capture
{ global; max-packets 10; max-bytes 2048; max-files 30; }
以下配置显示安全策略级别未知应用程序数据包捕获的示例,包含可选配置:
[edit services application-identification]
user@host# show packet-capture
{ max-packets 10; max-bytes 2048; max-files 30; }
[edit security policies]
user@host# show
from-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:UNKNOWN ]; } then { permit { application-services { packet-capture; } } } } }
如果完成设备配置,请从配置 commit
模式输入 。
访问数据包捕获文件 (.pcaps)
完成配置并提交之后,可查看数据包捕获 (.pcap) 文件。系统将为每个目标 IP 地址、目标端口和协议生成唯一的数据包捕获文件。
逐步过程
要查看数据包捕获文件,需要:
导航到 设备上存储 .pcap 文件的目录。
user@host> start shell % % cd /var/log/pcap
找到 .pcap 文件。
.pcap 文件以格式保存destination-IP-address. destination-port.protocol. pcap 。示例:142.250.31.156_443_17.pcap。
user@host:/var/log/pcap # ls -lah total 1544 drwxr-xr-x 2 root wheel 3.0K Jul 27 15:04 . drwxrwxr-x 9 root wheel 3.0K Jul 24 16:23 .. -rw-r----- 1 root wheel 5.0K Jul 24 20:16 142.250.31.156_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 15:03 142.250.64.97_443_17.pcap -rw-r----- 1 root wheel 9.0K Jul 27 14:26 162.223.228.170_443_17.pcap -rw-r----- 1 root wheel 2.1K Jul 26 17:06 17.133.234.32_16385_17.pcap -rw-r----- 1 root wheel 11K Jul 24 16:20 172.217.0.226_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 14:21 172.217.9.234_443_17.pcap -rw-r----- 1 root wheel 31K Jul 27 14:25 172.217.9.238_443_17.pcap -rw-r----- 1 root wheel 17K Jul 24 19:21 52.114.132.87_3478_17.pcap
您可以使用 SFTP 或 SCP 下载 .pcap 文件,然后使用 Wireshark 或您最喜欢的网络分析器查看该文件。
图 2 显示了为未知应用程序信息流生成的 .pcap 文件示例。
图 2:示例数据包捕获文件注意:发生数据包丢失情况时,设备可能无法捕获所有相关信息流的详细信息。在这种情况下, .pcap 文件只会反映设备能够使用和处理什么。
安全设备保存同一文件中符合三个匹配标准(目标 IP 地址、目标端口和协议)的所有流量的数据包捕获详细信息,而不考虑全局或策略级别的配置。系统使用目标 IP 地址、目标端口和协议维护缓存,并且不接受反复捕获超出定义限制的相同信息流。您可以在数据包捕获中设置数据包捕获 文件选项。
验证
查看数据包捕获详细信息
目的
查看数据包捕获详细信息,以确认您的配置工作正常。
行动
show services application-identification packet-capture counters
使用 命令。
user@host> show services application-identification packet-capture counters pic: 0/0 Counter type Value Total sessions captured 47 Total packets captured 282 Active sessions being captured 1 Sessions ignored because of memory allocation failures 0 Packets ignored because of memory allocation failures 0 Ipc messages ignored because of storage limit 0 Sessions ignored because of buffer-packets limit 0 Packets ignored because of buffer-packets limit 0 Inconclusive sessions captured 4 Inconclusive sessions ignored 0 Cache entries timed out 0
意义
通过此示例输出,可获取诸如要捕获的会话数和已捕获的会话数等详细信息。有关数据包捕获计数器的详细信息,请参阅 show services application-标识数据包捕获计数器 。
每个会话的未知应用程序详细信息的数据包捕获
从 21.1 Junos OS版开始,您的安全设备将存储每个会话未知应用程序详细信息的数据包捕获。由于此次更改,数据包捕获 (.pcap) 文件现在在文件名中包含会话 ID。即目标-IP-address_destination-port_protocol_session idpcap 在 /var/log/pcap 位置。
通过存储每个会话的数据包捕获,.pcap 文件的大小将减少,因为它只保存每个会话的详细信息。
此外,我们增强未知应用程序功能的数据包捕获,以捕获未知 SNI 详细信息