用于应用程序识别的预定义和自定义应用程序组
您可以为预定义的应用程序和自定义应用程序定义应用程序组。应用程序组包含定义安全策略时需要类似处理的应用程序。有关详细信息,请参阅以下主题:
自定义应用程序组Junos OS应用程序识别
另外Junos OS,应用程序识别允许您在策略中对应用程序进行分组。应用程序可以分组到预定义和自定义应用程序组下。整个预定义应用程序组可作为应用程序标识安全包IDP一部分下载。您可使用一组类似的应用程序创建自定义应用程序组,以便定义策略时一致重复使用。
应用程序组支持将相关应用程序关联在单个名称下,从而在使用任何应用程序服务时简化和一致的重用。
随着预定义签名数据库的变化,预定义应用程序组的内容可进行修改以包括新的签名
应用程序组可同时包含应用程序和组。可以将一个应用程序分配给多个组。一个规则中包含的动态应用程序组数量无限制。
应用程序组的层次结构类似于将关联应用程序作为叶节点的树结构。组 any 指根节点。未 分配组始终 位于根目录的一个层级,最初包含所有应用程序。定义组时,将应用程序从未分配组分配给新组。删除组时,其应用程序将返回至未分配组。
所有预定义的应用程序组在应用程序组名称中都有前缀"junos",以防止命名与自定义应用程序组冲突。您无法修改预定义应用程序组内的应用程序列表。但是,您可以复制预定义的应用程序组,将其用作模板来创建自定义应用程序组。
要自定义预定义应用程序组,必须先禁用预定义组。请注意,禁用的预定义应用程序组在应用程序数据库更新后仍禁用。然后,您可以使用 操作命令 request services application-identification group 复制禁用的预定义应用程序组。复制组放置在配置文件中,前缀"junos"将更改为"我的"。此时,您可以修改"我的"应用程序组中应用程序列表,然后用唯一的名称将组重命名。
要从一个自定义组将应用程序重新分配到另一个,必须将应用程序从当前自定义应用程序组移除,然后再将其重新分配到另一个。
从 Junos OS 版 18.2R2 和 Junos OS 版本 18.4R1 开始,SSL 加密的应用程序(如 HTTP、SMTP、IMAP 和 POP3)在 Junos OS 预定义的应用程序和应用集内识别为 junos:HTTPS、junos:SMTPS、junos:IMAPS 和 junos:POP3S。
例如:如果将安全策略配置为允许或拒绝 HTTPS 流量,则必须将应用程序匹配标准指定为 junos:HTTPS。
在Junos OS版本中,HTTP 和加密 HTTP (HTTPS) 应用程序均可以使用与 junos:HTTP 相同的应用程序匹配标准进行配置。
另请参阅
示例:配置自定义应用程序组Junos OS应用程序识别以简化管理
此示例演示如何为应用程序标识配置自定义应用程序组Junos OS,以便定义策略时一致地重复使用。
概述
此示例将为应用程序组定义应用程序,从应用程序组中删除应用程序,并在另一个应用程序组中包括应用程序组。
另外Junos OS,应用程序识别允许您在策略中对应用程序进行分组。应用程序可以分组到预定义和自定义应用程序组下。整个预定义应用程序组可作为应用程序标识安全包IDP一部分下载。您可使用一组类似的应用程序创建自定义应用程序组,以便定义策略时一致重复使用。
不能修改在预定义应用程序组中定义的应用程序。但是,您可以使用操作命令复制预定义的应用程序组,以创建自定义应用程序 request services application-identification group group-name copy 组并修改应用程序列表。有关详细信息,请参阅 request services application-identification group 。
配置
配置Junos OS识别用户定义应用程序组
CLI快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set services application-identification application-group my_web set services application-identification application-group my_web applications junos:HTTP set services application-identification application-group my_web applications junos:FTP set services application-identification application-group my_web applications junos:AMAZON set services application-identification application-group my_web applications junos:GOPHER set services application-identification application-group my_peer set services application-identification application-group my_peer applications junos:BITTORRENT set services application-identification application-group my_peer applications junos:BITTORRENT-APPLICATION set services application-identification application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在配置 模式下CLI编辑器。
要配置用于应用程序识别的自定义应用程序组:
设置自定义应用程序组的名称。
[edit services application-identification] user@host# set application-group my_web
添加要包括在自定义应用程序组中的应用程序列表。
[edit services application-identification] user@host# set application-group my_web applications junos:HTTP user@host# set application-group my_web applications junos:FTP user@host# set application-group my_web applications junos:GOPHER user@host# set application-group my_web applications junos:AMAZON
设置第二个自定义应用程序组的名称。
[edit services application-identification] user@host# set application-group my_peer
添加要包括在组中的应用程序列表。
[edit services application-identification] user@host# set application-group my_peer applications junos:BITTORRENT user@host# set application-group my_peer applications junos:BITTORRENT-APPLICATION user@host# set application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
结果
在配置模式下,输入 命令以确认 show services application-identification group 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit] user@host#show services application-identification application-group my_webapplications { junos:HTTP; junos:FTP; junos:GOPHER; junos:AMAZON } user@host#show services application-identification application-group my_peerapplications { junos:BITTORRENT; junos:BITTORRENT-APPLICATION; junos:BITTORRENT-WEB-CLIENT; }
如果完成设备配置,请从配置 commit 模式输入 。
从用户定义应用程序组中删除应用程序
CLI快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
[edit] delete services application-identification application-group my_web applications junos:AMAZON
逐步过程
要从自定义应用程序组中删除应用程序:
从自定义应用程序组中删除应用程序。
[edit services application-identification] user@host# delete application-group my_web applications junos:AMAZON
结果
在配置模式下,输入 命令以确认 show services application-identification application group detail 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show services application-identification group detail
application group my_web {
junos:HTTP;
junos:FTP;
junos:GOPHER;
}
如果完成设备配置,请从配置 commit 模式输入 。
为应用程序组创建子应用程序组
CLI快速配置
要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set services application-identification application-group p2p set services application-identification application-group p2p application-groups my_web set services application-identification application-group p2p application-groups my_peer
逐步过程
要为自定义应用程序组配置子应用程序组:
设置要配置子应用程序组的自定义应用程序组的名称。
[edit services application-identification] user@host# set application-group p2p
添加子应用程序组。
[edit services application-identification] user@host# set application-group p2p application-groups my_web uer@host# set application-group p2p application-groups my_peer
结果
在配置模式下,输入 命令以确认 show services application-identification application-group application-group-name 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show services application-identification application-group p2p
applications-groups {
my_web;
my_peer;
}
如果完成设备配置,请从配置 commit 模式输入 。
在应用程序识别中启用Junos OS组
默认情况下,所有应用程序组都启用。预先定义的应用程序组在安装时启用。
对于预定义的应用程序组,您可以使用 命令禁用组并重新
request services application-identification group启用组。无法删除预定义的签名或签名组。要禁用预定义的应用程序组:
user@host> request services application-identification group disable predefined-application-group-name
注意:尝试启用禁用的应用程序或应用程序组时,请确保提交配置更改或回滚配置。未提交更改可能会导致配置故障。
要重新启用已禁用的预定义应用程序组:
user@host> request services application-identification group enable predefined-application-group-name