用于应用程序识别的预定义应用程序签名
预定义应用程序签名包是一个可动态加载的模块,可提供应用程序分类功能和关联的协议属性。它托管在外部服务器上,可以作为包下载并安装在设备上。有关详细信息,请参阅以下主题:
了解 Junos OS 应用程序包安装
瞻博网络会定期更新预定义的应用程序签名包数据库,并在瞻博网络网站上提供给订阅者。此软件包包括已知应用程序对象的签名定义,可用于识别应用程序以进行跟踪、防火墙策略、 服务质量 优先级以及入侵检测和防御 (IDP)。该数据库包含应用程序对象,如FTP,DNS,Facebook,Kazaa和许多即时通讯程序。
在配置应用程序服务之前,您需要下载并安装应用程序签名包。应用程序签名包直接包含在 IDP 安装中,不需要单独下载。
如果您已启用 IDP 并计划使用应用程序标识,则可以继续运行 IDP 签名数据库下载。要下载 IDP 签名数据库,请运行以下命令:
request security idp security-package download。应用程序包下载可以手动或自动执行。请参阅 下载并安装 Junos OS 应用程序签名包作为 IDP 安全包的一部分。注意:如果您有启用了 IDP 的设备并计划使用应用程序标识,我们建议您仅下载 IDP 签名数据库。这将避免有两个版本的应用程序数据库,这两个版本可能会变得不同步。
如果您未启用 IDP 并计划使用应用程序标识,则可以运行以下命令:
request services application-identification download和request services application-identification install。这些命令将下载应用程序签名数据库并将其安装在设备上。您可以手动或自动执行下载。手动下载解压缩的包时,可以更改下载 URL。
下载并安装应用程序签名包后,请使用 CLI 命令下载并安装数据库更新,并查看摘要和详细的应用程序信息。
请参阅 手动下载和安装 Junos OS 应用程序签名包或 示例:计划应用程序签名包更新。
注意:Junos OS 应用程序签名包更新是一项单独许可的订阅服务。您必须在设备上安装应用程序签名包更新许可证密钥,才能下载并安装瞻博网络提供的签名数据库更新。如果许可证密钥过期,您可以继续使用本地存储的应用程序签名包内容,但无法更新数据。
注意:从 Junos OS 15.1X49-D50 版和 Junos OS 17.3 版开始,升级或降级应用程序签名包时,如果原型捆绑包之间的应用程序 ID(应用程序签名的唯一 ID 号)不匹配,并且这些应用程序是在 AppFW 和 AppQoS 规则中配置的,则会显示一条错误消息。
例子:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
解决方法是在升级或降级应用程序签名包之前禁用 AppFW 和 AppQoS 规则。升级或降级过程完成后,您可以重新启用 AppFW 和 AppQoS 规则。
注意:在所有安全设备上,AppSecure 服务的 J-Web 页面都是初步的。我们建议使用 CLI 配置 AppSecure 功能。
此功能需要许可证。要了解有关 Junos OS 应用程序签名包的更多信息,请参阅 瞻博网络许可指南 ,了解有关许可证管理的一般信息。有关详细信息,请参阅 SRX 系列服务网关 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
升级到下一代应用程序识别
从 Junos OS 12.1X47-D10 版开始,支持新一代应用程序识别。必须安装 Junos OS 12.1X47-D10 版才能从现有或旧版应用程序标识迁移到新一代应用程序标识。
随 Junos OS 内部版本一起安装的安全设备(使用旧版应用程序标识)包括旧版应用程序标识安全包。使用 Junos OS 12.1X47-D10 版升级这些设备时,将安装下一代应用程序标识安全包以及默认协议捆绑包。设备会自动升级到下一代应用程序标识。
下一代应用程序识别安全包引入了对旧版应用程序识别包的增量更新。您无需删除或卸载任何现有应用程序。
早期版本(Junos OS 12.1X46 或更早版本)支持的应用程序在新版本中可能具有新的别名或备用名称。因此,使用此类应用程序的现有配置在 Junos OS 12.1X47 版中工作;但是,相关日志和其他信息将使用新名称。您可以使用命令
show services application-identification application detail new-application-name获取应用程序的详细信息。升级 Junos OS 时,可以在
validate命令中包含request system software add或no-validate选项。由于不属于下一代应用程序标识的现有功能已弃用,因此看不到不兼容问题。下一代应用程序识别消除了新嵌套应用程序的生成,并将现有的嵌套应用程序视为普通应用程序。此外,下一代应用程序标识不支持自定义应用程序或自定义应用程序组。涉及任何嵌套应用程序、自定义应用程序或自定义应用程序组的现有配置将被忽略,并显示警告消息。
参见
安装和验证应用程序签名包的许可证
Junos OS 应用程序签名包更新是一项单独许可的订阅服务。您必须在设备上安装应用程序签名包更新许可证密钥,才能下载并安装瞻博网络提供的签名数据库更新。如果许可证密钥过期,您可以继续使用本地存储的应用程序签名包内容。
许可通常在购买设备时订购,此信息绑定到机箱序列号。这些说明假定您已经拥有许可证。如果您在购买设备时未订购许可证,请联系您的客户团队或瞻博网络客户服务寻求帮助。有关详细信息,请参阅知识库文章 KB9731 at https://kb.juniper.net/InfoCenter/index?page=home。
从 Junos OS 15.1X49-D30 和 Junos OS 17.3R1 版开始,在SRX1500设备上,AppSecure 是 Junos Software Enhanced (JSE) 软件许可证包的一部分。没有可用于 AppSecure 的单独许可证密钥。您必须使用设备上的 JSE 软件许可证来下载和安装 AppID 签名数据库更新,或使用其他 AppSecure 功能,例如 AppFW、AppQoS 和 AppTrack。
从 SRX300、SRX320、SRX340 和 SRX345 设备上的 Junos OS 15.1X49-D30 和 Junos OS 17.3R1 版本开始,AppSecure 是 Junos 软件增强型 (JSE) 软件许可证包的一部分。没有可用于 AppSecure 的单独许可证密钥。您必须使用设备上的 JSE 软件许可证来下载和安装 AppID 签名数据库更新,或使用其他 AppSecure 功能,例如 AppFW、AppQoS 和 AppTrack。
从 15.1X49-D65 和 Junos OS 17.3R1 版开始,在SRX4100和SRX4200设备上,AppSecure 是 Junos 软件增强型 (JSE) 许可证包的一部分。没有可用于 AppSecure 的单独许可证密钥。您必须使用设备上的 JSE 软件许可证来下载和安装 AppID 签名数据库更新,或使用其他 AppSecure 功能,例如 AppFW、AppQoS 和 AppTrack。
Junos 软件基础 (JSB) 软件包不包含应用程序签名。有关详细信息,请参阅 SRX 系列服务网关 的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
您可以使用自动方法或手动方法在 SRX 系列防火墙上安装许可证,如下所示:
在设备上自动安装许可证。
要自动安装或更新您的许可证,您的设备必须连接到 互联网 .
user@host> request system license update
Trying to update license keys from https://ae1.juniper.net, use 'show system license' to check status.
在设备上手动安装许可证。
user@host> request system license add terminal
[Type ^D at a new line to end input, enter blank line between each license key]
粘贴许可证密钥,然后按回车键继续。
验证您的设备上是否安装了许可证。
使用该
show system license command命令查看许可证使用情况,如以下示例所示:License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signature date-based, 2014-02-17 08:00:00 GMT-8 - 2015-02-11 08:00:00 GMT-8输出示例将被截断以仅显示许可证使用情况详细信息。
参见
手动下载并安装 Junos OS 应用程序签名包
此示例演示如何下载应用程序签名包、创建策略并将其标识为活动策略。
要求
准备工作:
确保您的安全设备已连接到互联网以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保已安装应用程序标识功能许可证。
此示例使用以下硬件和软件组件:
SRX 系列设备
Junos OS 版本 12.1X47-D10
概述
瞻博网络会定期更新预定义的应用程序签名包数据库,并在瞻博网络网站上提供。此软件包包括可在入侵检测和防御 (IDP)、应用程序防火墙策略和 AppTrack 中用于匹配流量的应用程序对象。
配置
CLI 快速配置
CLI 快速配置不适用于此示例,因为在配置过程中需要手动干预。
下载和安装应用程序标识
分步过程
下载应用程序包。
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
下载从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 检索应用程序包。
还可以使用以下选项下载特定版本的应用程序包或从特定位置下载应用程序包:
要下载特定版本的应用程序包,请执行以下操作:
user@host>request services application-identification download version version-number
若要从配置模式更改应用程序包的下载 URL,请执行以下操作:
[edit] user@host# set services application-identification download url URL or File Path
注意:如果更改了下载 URL,并且想要保留该更改,请确保提交配置。
检查下载状态。
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
注意:您还可以使用系统日志查看下载结果。从 Junos OS 20.4R1 版开始,系统日志消息将更新以显示应用程序签名包下载和安装结果。
安装应用程序包。
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
应用程序包安装在设备上的应用程序签名数据库中。
检查应用程序包的安装状态。
命令输出显示有关应用程序包和协议捆绑包的下载和安装版本的信息。
要查看安装状态:
user@host>request services application-identification install status
Install application package 2345 succeed
要查看协议捆绑包状态,请执行以下操作:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
注意:应用程序签名可能已从较新版本的应用程序签名数据库中删除。如果在设备上的现有应用程序防火墙策略中使用此签名,则新数据库的安装将失败。安装状态消息标识不再有效的签名。要成功更新数据库,请从现有策略和组中删除对已删除签名的所有引用,然后重新运行安装命令。
验证
确认配置工作正常。
验证应用程序标识状态
目的
验证应用程序标识配置是否正常工作。
行动
在操作模式下,输入 show services application-identification status 命令。
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
意义
该 Status: Enabled 字段显示设备上已启用应用程序标识。
下载并安装 Junos OS 应用程序签名包作为 IDP 安全包的一部分
您可以通过入侵检测和防御 (IDP) 安全包下载并安装应用程序签名。
此示例说明如何通过下载和安装 IDP 签名和应用程序签名包来增强安全性。在这种情况下,使用单个命令下载 IDP 签名包和应用程序签名包。
要求
准备工作:
确保您的 SRX 系列防火墙已连接到互联网以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保已安装应用程序标识功能许可证。
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 版本 12.1X47-D10
概述
在此示例中,您将从瞻博网络网站下载并安装签名数据库。
配置
下载和安装签名数据库
CLI 快速配置
CLI 快速配置不适用于此示例,因为在配置过程中需要手动干预。
分步过程
下载并安装应用程序签名:
下载签名数据库。
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
注意:下载数据库可能需要一些时间,具体取决于数据库大小和 Internet 连接速度。
检查安全包下载状态。
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
安装攻击数据库。
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
注意:安装攻击数据库可能需要一些时间,具体取决于安全数据库的大小。
检查攻击数据库安装状态。命令输出显示有关下载和安装的攻击数据库版本的信息。
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
确认您的 IDP 安全包版本。
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
确认应用程序标识包版本。
[edit]user@host# run show services application-identification versionApplication package version: 1884
从代理服务器下载 Junos OS 应用程序签名包
此示例演示如何创建代理配置文件并使用它来从代理服务器下载应用程序签名包。
配置
分步过程
创建代理配置文件并将其应用于通过代理服务器下载应用程序包。
为协议 HTTP 创建代理配置文件。
user@host#set services proxy profile Profile-1 protocol http指定代理服务器的 IP 地址。
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1指定代理服务器使用的端口号。
user@host#set services proxy profile Profile-1 protocol http port 3128从代理主机下载应用程序包。
user@host#set services application-identification download proxy-profile Profile-1
分步过程
您可以禁用代理服务器,以便在不需要时下载应用程序签名包。
禁用代理服务器以下载应用程序签名。
user@host#delete services application-identification download proxy-profile p1
要求
此示例使用以下硬件和软件组件:
安装在 SRX 系列防火墙上的有效应用程序识别功能许可证。
采用 Junos OS 18.3R1 或更高版本的 SRX 系列防火墙。此配置示例针对 Junos OS 18.3R1 版进行了测试。
概述
您必须下载并安装 SRX 系列防火墙上托管在外部服务器上的应用程序签名包。从 Junos OS 18.3R1 版开始,您可以使用代理服务器下载应用程序签名包。
要启用从代理服务器下载签名包:
使用命令配置
set services proxy profile具有代理服务器的主机和端口详细信息的配置文件。使用
set services application-identification download proxy-profile profile-name命令连接到代理服务器并下载应用程序签名包。
下载签名包时,请求将通过代理主机路由到托管签名包的实际服务器。代理主机从实际主机中继回响应。下载内容将从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 检索应用程序包。
对代理配置文件配置的支持仅适用于 HTTP 连接。
在此示例中,您将创建一个代理配置文件,并在从外部主机下载应用程序签名包时引用该配置文件。 表 1 提供了此示例中使用的参数的详细信息。
参数 |
名字 |
|---|---|
配置文件名称 |
配置文件-1 |
代理服务器的 IP 地址 |
5.0.0.1 |
代理服务器的端口号 |
3128 |
验证
验证应用程序签名 通过代理服务器下载
目的
显示通过代理服务器下载应用程序签名包的详细信息。
行动
在操作模式下,输入 show services application-identification status 命令。
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
意义
在命令输出中,您可以在和Proxy Profile Proxy Address字段中找到代理配置文件详细信息。
示例:计划应用程序签名包更新
此示例说明如何设置预定义应用程序签名包的自动更新。
要求
准备工作:
确保您的安全设备已连接到互联网以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保已安装应用程序标识功能许可证。
概述
在此示例中,您希望定期下载当前版本的应用程序签名包。下载应于 12 月 10 日晚上 11:59 开始。若要维护最新信息,需要每 2 天从公司的 Intranet 站点自动更新一次包。
配置
程序
GUI 快速配置
要使用 J-Web 界面设置自动下载和定期更新,请执行以下操作:
分步过程
Enter
Configure>Security>AppSecure Settings以显示“应用程序签名”页。单击
Global Settings。Download Scheduler单击选项卡,然后修改以下字段:Url: https://signatures.juniper.net/cgi-bin/index.cgi
启用计划更新:选中该复选框。
区间: 48
单击
Reset Setting以清除现有开始时间,以 YYYY-MM-DD.hh:mm 格式输入新的开始时间,然后单击OK。开始时间: 2019-06-30.10:00:00
单击以
Commit Options>Commit提交更改。单击此项
Check Status可监视活动下载或更新的进度,或检查最新更新的结果。
分步过程
要使用 CLI 自动更新 Junos OS 应用程序签名包,请执行以下操作:
指定安全包的 URL。安全包包括检测器以及最新的攻击对象和组。以下语句将 https://signatures.juniper.net/cgi-bin/index.cgi 指定为下载签名数据库更新的 URL:
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
指定下载的时间和间隔。以下语句将间隔设置为 48 小时,开始时间设置为 12 月 10 日上午 10 点:
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证应用程序签名包是否正确更新,请输入 show services application-identification version 命令。查看最新更新的版本号和详细信息。
计划应用程序签名包更新为 IDP 安全包的一部分
此示例中的配置说明介绍如何在指定的日期和时间设置应用程序标识签名包(IDP 安全包的一部分)的自动更新。
要求
准备工作:
确保您的安全设备已连接到互联网以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保已安装应用程序标识功能许可证。
概述
在此示例中,您希望定期下载当前版本的应用程序签名包。下载应于 12 月 10 日晚上 11:59 开始。若要维护最新信息,需要每 2 天从公司的 Intranet 站点自动更新一次包。
配置
程序
GUI 快速配置
要使用 J-Web 界面设置自动下载和定期更新,请执行以下操作:
分步过程
输入
Configure>Security>IDP>Signature Updates以显示“安全 IDP 签名配置”页面。单击
Download Settings并修改 URL: https://signatures.juniper.net/cgi-bin/index.cgiAuto Download Settings单击选项卡,然后修改以下字段:区间: 48
开始时间: 2013-12-10.23:59:55
启用计划更新:选中该复选框。
单击
Reset Setting以清除现有字段,输入新值。单击OK。单击以
Commit Options>Commit提交更改。单击此项
Check Status可监视活动下载或更新的进度,或检查最新更新的结果。
分步过程
要使用 CLI 自动更新 Junos OS 应用程序签名包,请执行以下操作:
指定安全包的 URL。安全包包括检测器以及最新的攻击对象和组。以下语句将 https://signatures.juniper.net/cgi-bin/index.cgi 指定为下载签名数据库更新的 URL:
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
指定下载的时间和间隔。以下语句将间隔设置为 48 小时,开始时间设置为 2013 年 12 月 10 日晚上 11:55:
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
启用安全包的自动下载和更新。
[edit] user@host# set security idp security-package automatic enable
如果完成设备配置,请提交配置。
[edit] user@host# commit
示例:在机箱群集模式下下载并安装应用程序标识包
此示例说明如何将应用程序签名包数据库下载并安装到在机箱群集模式下运行的设备。
下载并安装应用程序标识包
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南。
要下载并安装应用程序包,请执行以下操作:
在主节点上下载应用程序包。
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
检查应用程序包下载状态。
{primary:node0}[edit]user@host>request services application-identification download status成功下载后,将显示以下消息
Application package 2345 is downloaded successfully
应用程序包安装在主节点上的应用程序签名数据库中,应用程序标识文件在主节点和辅助节点上同步。
使用命令更新
install应用程序包。{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
检查应用程序包更新状态。命令输出显示有关应用程序包的下载和安装版本的信息。
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
注意:应用程序签名可能会从新版本的应用程序签名数据库中删除。如果在设备上的现有应用程序防火墙策略中使用此签名,则新数据库的安装将失败。安装状态消息标识不再有效的签名。要成功更新数据库,请从现有策略和组中删除对已删除签名的所有引用,然后重新运行安装命令。
注意:在主节点上下载应用程序签名包时,有时由于意外故障转移,主节点可能无法完全下载应用程序签名包。解决方法是必须删除 /var/db/appid/sec-download/.apppack_state 并重新启动设备。
分步过程
卸载应用程序包:
使用命令卸载
uninstall应用程序包。{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
检查应用程序包的卸载状态。
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
检查协议捆绑包的卸载状态:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
要求
准备工作:
设置机箱群集节点 ID 和群集 ID。请参阅 示例:为机箱群集中的安全设备设置节点 ID 和群集 ID 。
确保您的安全设备已连接到互联网以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保已安装应用程序标识功能许可证。
概述
如果使用应用程序标识,则可以下载预定义的应用程序签名包数据库。瞻博网络会定期更新数据库,并在瞻博网络网站上提供。此软件包包括可用于匹配 IDP 中的流量、应用程序防火墙策略和应用程序跟踪的应用程序对象。有关更多详细信息,请参阅 了解 Junos OS 应用程序包安装。
在机箱群集模式下运行的设备上下载应用程序标识安全包时,安全包将下载到主节点,然后同步到辅助节点。
验证 Junos OS 应用程序标识提取的应用程序包
目的
成功下载安装应用包后,使用以下命令查看预定义的应用签名包内容。
行动
查看应用程序包的当前版本:
show services application-identification version
Application package version: 1608
查看应用程序包的当前状态:
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
参见
卸载 Junos OS 应用程序标识应用程序包
可以卸载预定义的应用程序包。如果 Junos OS 配置中的预定义应用程序签名中引用了任何活动安全策略,则卸载操作将失败
卸载应用程序包:
应用程序包和协议捆绑包将在设备上卸载。要重新安装应用程序标识,您需要下载应用程序包并重新安装。
参见
应用程序签名包回滚
从 Junos OS 20.3R1 版开始,您可以通过以下方法之一将当前版本的应用程序签名包回滚到以前的版本:
自动回滚
手动回滚
自动回滚
如果应用程序签名包安装失败,系统会自动回滚到当前安装在安全设备上的应用程序签名包的先前版本。
在机箱群集模式下运行的设备上下载并安装应用程序签名包时,如果节点上的安装失败,系统将回滚到以前版本的应用程序签名。设备会在安装失败且回滚成功的同一节点上显示次要告警。
例子:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
当安装失败且回滚成功完成时,请检查应用程序签名包回滚状态。
user@host> request services application-identification rollback status
Application package rollback to version 3297 success手动回滚
可以使用以下步骤手动将应用程序签名包回滚到以前安装的版本:
将应用程序签名包回滚到以前的版本。
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback status检查回滚状态。
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
手动回滚应用程序签名包时,请注意以下事项:
手动将应用程序签名包版本从版本 Y 回滚到版本 X 后,将跳过应用程序签名包的计划自动更新,直到有高于版本 Y 的新版本 Z 可用。
您可以通过入侵检测和防御 (IDP) 安全包下载并安装应用程序签名。在这种情况下,如果在 IDP 安装期间 AppID 安装失败,AppID 将回滚到以前的版本,并且 IDP 安装将继续使用请求的版本。在这种情况下,IDP 和 AppID 可能具有不同的版本。
如果下载的签名包文件有任何损坏、删除或修改,则应用程序签名包安装不会继续。在这种情况下,将显示以下消息:
user@host>request services application-identification install error: Checksum validation failed for downloaded files.-
当您的安全设备不包含任何先前版本的应用程序签名包,并且您尝试回滚应用程序签名包时,设备将显示以下错误消息:
user@host>request services application-identification install No application package available to rollback.
对新添加的应用程序签名进行分组
从 Junos OS 21.1R1 版开始,我们通过将所有新添加的应用程序签名分组到 junos:all-new-apps 组下来增强应用程序签名包。当您在安全设备上下载应用程序签名包时,将下载整个预定义的应用程序组,供您在安全策略中进行配置,如以下示例所示:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
我们还在应用程序签名包中引入了应用程序标记列表。您可以根据那些基于应用程序属性的预定义标签对类似的应用程序进行分组。这样,您可以在定义安全策略时一致地重用应用程序组。
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
例子
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
在上面的示例中,您将配置基于标记的应用程序组(具有标记远程访问和 web)以及另一个标记组(具有social_networking)。所有标记为 Web 或远程访问和social_networking的应用程序都将添加到应用程序组中。
基于标记对类似应用程序进行分组可帮助您在定义安全策略时一致地重用应用程序组。
将新应用程序迁移到普通应用程序:
junos:all-new-apps 组包含安全设备上已安装的应用程序签名包中与之前安装的特征码包相比的一组所有新应用程序。如果您决定安装较新版本的应用程序签名包,则该版本将在 junos:all-new-apps 组中包含一组新的应用程序。
您可以选择将新应用程序迁移到现有应用程序签名包中的普通应用程序。此迁移将帮助您始终如一地维护安全策略中的规则,这些规则是您在将来升级到较新的应用程序签名版本时特定于新应用程序创建的。
您可以使用以下新命令将标记为新应用程序的应用程序移动到普通应用程序:
-
若要仅将指定的新应用程序作为普通应用程序迁移,请使用以下命令:
request services application-identification new-to-production applications-list [application-1 application-2]
-
若要将所有新应用程序作为普通应用程序迁移,请使用以下命令:
request services application-identification new-to-production all
运行这些命令后,应用程序将不再标记为新应用程序,并且不会成为组的一部分 junos:all-new-apps 。
应用程序签名包增强功能
从 Junos OS 21.1R1 版开始,我们对应用程序签名包引入了以下增强功能:
- 支持 FTP 数据上下文传播
- 跳过深度包检测 (DPI),以查找应用程序系统缓存 (ASC) 命中时由基于策略的高级路由 (APBR) 卸载的会话。(仅启用 APBR 服务时。
- 在相同版本的签名包上强制安装应用程序签名包。请参阅 请求服务应用程序标识安装忽略重复版本检查
- 在 CLI 命令输出中显示应用程序签名包发布日期。请参阅 显示服务应用程序标识版本
- 在 CLI 命令输出中显示已安装签名包中可用的已弃用应用程序签名列表。请参阅 显示服务应用程序标识应用程序过时的应用程序
从 Junos OS 20.4 版及更早版本升级到 Junos OS 21.1 版及更高版本时,建议您使用 and request services application-identifications download request services application-identification install 命令更新应用程序标识签名数据库。