安装应用程序签名包
预定义的应用签名包是一个动态加载的模块,提供应用分类功能和关联的协议属性。它托管在外部服务器上,可以作为软件包下载并安装在设备上。有关更多信息,请参阅以下主题:
了解 Junos OS 应用程序包安装
瞻博网络会定期更新预定义的应用签名包数据库,并在瞻博网络网站上向订阅者提供。此软件包包含已知应用对象的签名定义,这些对象可用于识别应用,以便进行跟踪、防火墙策略、 服务质量 优先级以及入侵检测和防御 (IDP)。该数据库包含应用程序对象,例如 FTP、DNS、Facebook、Kazaa 和许多即时通讯程序。
在配置应用服务之前,您需要下载并安装应用签名包。使用以下选项之一:
如果已启用 IDP 并计划使用应用程序标识,则可以继续运行 IDP 签名数据库下载。请参阅 下载并安装 Junos OS 应用程序签名包作为 IDP 安全软件包的一部分。
如果您有支持 IDP 的设备并计划使用应用程序标识,建议仅下载 IDP 签名数据库。这样可以避免有两个版本的应用程序数据库,因为这两个版本可能变得不同步。
如果未启用 IDP 并计划使用应用程序标识,请下载并安装应用程序签名数据库。请参阅 手动下载和安装 Junos OS 应用程序签名包 或 示例:计划应用程序签名包更新。
注意:升级或降级应用程序签名包时,如果原型捆绑包之间的应用程序 ID(应用程序签名的唯一 ID 号)不匹配,并且这些应用程序是在 AppFW 和 AppQoS 规则中配置的,则会显示错误消息。
例:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
解决方法是,在升级或降级应用程序签名包之前禁用 AppFW 和 AppQoS 规则。升级或降级过程完成后,您可以重新启用 AppFW 和 AppQoS 规则。
注意:在所有安全设备上,AppSecure 服务的 J-Web 页面都是初步的。我们建议使用 CLI 配置 AppSecure 功能。
升级到新一代应用识别
随 Junos OS 版本一起安装的安全设备(带有旧版应用标识)包括旧版应用识别安全包。使用最新版本升级这些设备时,将安装新一代应用识别安全包和默认协议包。设备将自动升级到下一代应用识别。
请注意有关下一代应用识别安全包的以下几点:
-
新一代应用识别安全包对旧版应用识别包引入了增量更新。您无需删除或卸载任何现有应用程序。
-
早期 Junos OS 版本中的应用程序在更高版本中可能会有新的别名。现有配置仍将正常运行,但日志和相关信息将反映更新的名称。
show services application-identification application detail new-application-name使用命令获取应用程序的详细信息。 -
升级 Junos OS 时,可以在命令中
request system software add包含validate或no-validate选项。由于不属于新一代应用程序标识的现有功能已被弃用,因此不会出现不兼容问题。 -
新一代应用识别消除了新嵌套应用的生成,并将现有嵌套应用视为正常应用。此外,新一代应用识别不支持自定义应用或自定义应用组。涉及任何嵌套应用程序、自定义应用程序或自定义应用程序组的现有配置将被忽略,并显示警告消息。
另见
手动下载和安装 Junos OS 应用程序签名包
此示例说明如何下载应用程序签名包、创建策略并将其标识为活动策略。
要求
开始之前:
确保您的安全设备已连接到互联网,以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保您拥有所需的许可证。看 特定于平台的许可证支持瞻博网络许可指南.有关详细信息,请参阅 SRX 系列服务网关 上的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
此示例使用以下硬件和软件组件:
SRX 系列设备
Junos OS 12.1X47-D10 版
概述
瞻博网络会定期更新预定义的应用签名包数据库,并在瞻博网络网站上提供。此软件包包含可在入侵检测和防御 (IDP)、应用防火墙策略和 AppTrack 中以匹配流量的应用对象。
从 Junos OS 20.4 及更早版本升级到 Junos OS 21.1 及更高版本时,建议同时更新应用程序标识签名数据库。
配置
CLI 快速配置
此示例不提供 CLI 快速配置,因为在配置过程中需要手动干预。
下载和安装应用程序标识
分步过程
下载应用程序包。
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
Download 从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 检索应用程序包。
您还可以使用以下选项下载应用程序包的特定版本或从特定位置下载应用程序包:
要下载应用程序包的特定版本,请执行以下作:
user@host>request services application-identification download version version-number
要从配置模式更改应用程序包的下载 URL,请执行以下作:
[edit] user@host# set services application-identification download url URL or File Path
检查下载状态。
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
您也可以使用系统日志查看下载结果。
安装应用程序包。
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
应用程序包将安装在设备上的应用程序签名数据库中。
检查应用程序包的安装状态。
命令输出显示有关已下载和安装的应用程序包和协议包版本的信息。
要查看安装状态,请执行以下作:
user@host>request services application-identification install status
Install application package 2345 succeed
要查看协议包状态,请执行以下作:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
应用程序签名可能已从较新版本的应用程序签名数据库中删除。如果在设备上的现有应用程序防火墙策略中使用此签名,则新数据库的安装将失败。安装状态消息标识不再有效的签名。要成功更新数据库,请从现有策略和组中删除对已删除签名的所有引用,然后重新运行 install 命令。
验证
确认配置工作正常。
验证应用标识状态
目的
验证应用程序标识配置是否工作正常。
行动
在作模式下,输入 show services application-identification status 命令。
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
意义
该 Status: Enabled 字段显示设备上已启用应用程序识别。
下载并安装 Junos OS 应用程序签名包作为 IDP 安全包的一部分
您可以通过入侵检测和防御 (IDP) 安全包下载和安装应用签名。
此示例说明如何通过下载并安装 IDP 签名和应用程序签名包来增强安全性。在这种情况下,通过单个命令下载 IDP 签名包和应用程序签名包。
要求
开始之前:
确保您的 SRX 系列防火墙已连接到互联网,以便下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保您已安装应用程序识别功能许可证。
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 12.1X47-D10 版
概述
在此示例中,您将从瞻博网络网站下载并安装签名数据库。
配置
下载和安装签名数据库
CLI 快速配置
此示例不提供 CLI 快速配置,因为在配置过程中需要手动干预。
分步过程
要下载并安装应用程序签名,请执行以下作:
下载签名数据库。
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
注意:下载数据库可能需要一些时间,具体取决于数据库大小和 Internet 连接速度。
检查安全包下载状态。
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
安装攻击数据库。
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
注意:安装攻击数据库可能需要一些时间,具体取决于安全数据库的大小。
检查攻击数据库安装状态。命令输出显示有关攻击数据库的下载和安装版本的信息。
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
确认您的 IDP 安全包版本。
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
确认应用程序标识包版本。
[edit]user@host# run show services application-identification versionApplication package version: 1884
从代理服务器下载 Junos OS 应用程序签名包
此示例说明如何创建代理配置文件,并使用它从代理服务器下载应用程序签名包。
配置
分步过程
创建代理配置文件,并将其应用于通过代理服务器下载应用程序包。
为协议 HTTP 创建代理配置文件。
user@host#set services proxy profile Profile-1 protocol http指定代理服务器的 IP 地址。
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1指定代理服务器使用的端口号。
user@host#set services proxy profile Profile-1 protocol http port 3128从代理主机下载应用程序包。
user@host#set services application-identification download proxy-profile Profile-1
分步过程
在不需要时,您可以禁用代理服务器来下载应用程序签名包。
禁用代理服务器以下载应用程序签名。
user@host#delete services application-identification download proxy-profile p1
要求
此示例使用以下硬件和软件组件:
安装在 SRX 系列防火墙上的有效应用识别功能许可证。
Junos OS 18.3R1 或更高版本的 SRX 系列防火墙。此配置示例针对 Junos OS 18.3R1 版进行了测试。
概述
您必须下载并安装 SRX 系列防火墙上外部服务器上托管的应用签名包。从 Junos OS 18.3R1 版开始,您可以使用代理服务器下载应用程序签名包。
要启用从代理服务器下载签名包:
使用
set services proxy profile命令使用代理服务器的主机和端口详细信息配置配置文件。set services application-identification download proxy-profile profile-name使用命令连接到代理服务器并下载应用程序签名包。
下载签名包时,请求将通过代理主机路由到托管签名包的实际服务器。代理主机将响应从实际主机中继回来。下载将从瞻博网络安全网站 https://signatures.juniper.net/cgi-bin/index.cgi 检索应用程序包。
对代理配置文件配置的支持仅适用于 HTTP 连接。
在此示例中,您将创建一个代理配置文件,并在从外部主机下载应用程序签名包时引用该配置文件。 表 1 提供了此示例中使用的参数的详细信息。
参数 |
名字 |
|---|---|
配置文件名称 |
配置文件-1 |
代理服务器的 IP 地址 |
5.0.0.1 |
代理服务器的端口号 |
3128 |
验证
验证通过代理服务器下载的应用程序签名
目的
显示通过代理服务器下载的应用程序签名包的详细信息。
行动
在作模式下,输入 show services application-identification status 命令。
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
意义
在命令输出中,您可以在和Proxy Address字段中找到Proxy Profile 代理配置文件详细信息。
示例:计划应用程序签名包更新
此示例说明如何设置预定义应用程序签名包的自动更新。
要求
开始之前:
确保您的安全设备已连接到互联网,以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保您已安装应用程序识别功能许可证。
概述
在此示例中,您需要定期下载当前版本的应用程序签名包。下载应于 12 月 10 日晚上 11:59 开始。若要保持最新信息,您希望每 2 天从公司的 Intranet 站点自动更新一次程序包。
配置
程序
GUI 快速配置
要使用 J-Web 界面设置自动下载和定期更新,请执行以下步骤:
分步过程
输入
Configure>Security>AppSecure Settings以显示“应用程序签名”页。单击
Global Settings。单击选项卡
Download Scheduler,然后修改以下字段:URL: https://signatures.juniper.net/cgi-bin/index.cgi
启用计划更新:选中该复选框。
间隔: 48
单击
Reset Setting以清除现有开始时间,以 YYYY-MM-DD.hh:mm 格式输入新的开始时间,然后单击OK。开始时间: 2019-06-30.10:00:00
单击
Commit Options>Commit以提交更改。单击
Check Status此项可监视活动下载或更新的进度,或查看最新更新的结果。
分步过程
要使用 CLI 自动更新 Junos OS 应用程序签名包,请执行以下作:
指定安全包的 URL。安全包包括检测器以及最新的攻击对象和组。以下语句将 https://signatures.juniper.net/cgi-bin/index.cgi 指定为用于下载特征码数据库更新的 URL:
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
指定下载的时间和间隔。以下语句将间隔设置为 48 小时,开始时间设置为 12 月 10 日上午 10 点:
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证应用程序签名包是否已正确更新,请输入 show services application-identification version 命令。查看最新版本的版本号和详细信息。
将应用程序签名包更新计划为 IDP 安全包的一部分
此示例中的配置说明介绍如何在指定的日期和时间设置应用程序标识签名包(IDP 安全包的一部分)的自动更新。
要求
开始之前:
确保您的安全设备已连接到互联网,以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保您已安装应用程序识别功能许可证。
概述
在此示例中,您需要定期下载当前版本的应用程序签名包。下载应于 12 月 10 日晚上 11:59 开始。若要保持最新信息,您希望每 2 天从公司的 Intranet 站点自动更新一次程序包。
配置
程序
GUI 快速配置
要使用 J-Web 界面设置自动下载和定期更新,请执行以下步骤:
分步过程
输入
Configure>Security>IDP>Signature Updates以显示“安全 IDP 签名配置”页面。单击
Download Settings并修改 URL: https://signatures.juniper.net/cgi-bin/index.cgi单击选项卡
Auto Download Settings,然后修改以下字段:间隔: 48
开始时间: 2013-12-10.23:59:55
启用计划更新:选中该复选框。
单击
Reset Setting以清除现有字段,输入新值。单击OK。单击
Commit Options>Commit以提交更改。单击
Check Status此项可监视活动下载或更新的进度,或查看最新更新的结果。
分步过程
要使用 CLI 自动更新 Junos OS 应用程序签名包,请执行以下作:
指定安全包的 URL。安全包包括检测器以及最新的攻击对象和组。以下语句将 https://signatures.juniper.net/cgi-bin/index.cgi 指定为用于下载特征码数据库更新的 URL:
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
指定下载的时间和间隔。以下语句将间隔设置为 48 小时,开始时间设置为 2013 年 12 月 10 日晚上 11:55:
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
启用安全包的自动下载和更新。
[edit] user@host# set security idp security-package automatic enable
如果完成设备配置,请提交配置。
[edit] user@host# commit
示例:在机箱群集模式下下载并安装应用识别包
此示例说明如何将应用程序签名包数据库下载并安装到在机箱群集模式下运行的设备。
下载并安装应用识别包
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南。
要下载并安装应用程序包,请执行以下作:
在主节点上下载应用程序包。
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
检查应用包下载状态。
{primary:node0}[edit]user@host>request services application-identification download status下载成功后,将显示以下消息
Application package 2345 is downloaded successfully
应用程序包安装在主节点上的应用程序签名数据库中,主节点和辅助节点上同步应用程序标识文件。
使用
install命令更新应用程序包。{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
检查应用程序包更新状态。命令输出显示有关已下载和已安装的应用程序包版本的信息。
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
注意:应用程序签名可能会从新版本的应用程序签名数据库中删除。如果在设备上的现有应用程序防火墙策略中使用此签名,则新数据库的安装将失败。安装状态消息标识不再有效的签名。要成功更新数据库,请从现有策略和组中删除对已删除签名的所有引用,然后重新运行 install 命令。
注意:在主节点上下载应用程序签名包时,有时由于意外故障切换,主节点可能无法完全下载应用程序签名包。解决方法是,必须删除 /var/db/appid/sec-download/.apppack_state 并重新启动设备。
分步过程
要卸载应用程序包:
使用
uninstall命令卸载应用程序包。{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
检查应用程序包的卸载状态。
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
检查协议包的卸载状态:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
要求
开始之前:
设置机箱群集节点 ID 和群集 ID。请参阅 示例:设置机箱群集中安全设备的节点 ID 和群集 ID 。
确保您的安全设备已连接到互联网,以下载安全包更新。
注意:必须设置 DNS,因为您需要解析更新服务器的名称。
确保您已安装应用程序识别功能许可证。
概述
如果使用应用程序标识,则可以下载预定义的应用程序签名包数据库。瞻博网络会定期更新数据库,并在瞻博网络网站上提供。此软件包包含可用于匹配 IDP 中的流量、应用防火墙策略和应用跟踪的应用对象。有关详细信息,请参阅 了解 Junos OS 应用程序包安装。
在机箱群集模式下运行的设备上下载应用识别安全包时,安全包将下载到主节点,然后同步到辅助节点。
验证 Junos OS 应用程序标识提取的应用程序包
目的
成功下载安装应用包后,使用以下命令查看预定义的应用签名包内容。
行动
查看应用程序包的当前版本:
show services application-identification version
Application package version: 1608
查看应用程序包的当前状态:
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
另见
卸载 Junos OS 应用程序标识应用程序包
您可以卸载预定义的应用程序包。如果 Junos OS 配置中的预定义应用签名中引用了任何活动安全策略,则卸载作将失败
要卸载应用程序包:
应用程序包和协议包将卸载到设备上。要重新安装应用程序标识,您需要下载应用程序包并重新安装。
另见
应用签名包回滚
从 Junos OS 20.3R1 版开始,您可以通过下列方法之一将应用程序签名包的当前版本回滚到前一个版本:
-
自动回滚
-
手动回滚
自动回滚
如果应用签名包安装失败,系统会自动回滚到当前安装在安全设备上的应用签名包的前一个版本。
在机箱群集模式下运行的设备上下载并安装应用程序签名包时,如果节点上的安装失败,系统将回滚到应用程序签名的前一个版本。设备在安装失败且回滚成功的同一节点上显示次要告警。
例:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
安装失败且回滚成功完成时,检查应用签名包回滚状态。
user@host> request services application-identification rollback status
Application package rollback to version 3297 success手动回滚
您可以使用以下步骤手动将应用程序签名包回滚到以前安装的版本:
将应用程序签名包回滚到前一个版本。
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback status检查回滚状态。
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
对于应用程序签名包的手动回滚,请注意以下几点:
-
手动将应用程序签名包版本从版本 Y 回滚到版本 X 后,将跳过应用程序签名包的计划自动更新,直到有高于版本 Y 的新版本 Z 可用。
-
您可以通过入侵检测和防御 (IDP) 安全包下载和安装应用签名。在这种情况下,如果在 IDP 安装期间 AppID 安装失败,AppID 将回滚到之前的版本,并且 IDP 安装将继续使用请求的版本。在这种情况下,IDP 和 AppID 可能具有不同的版本。
-
如果下载的签名包文件有任何损坏、删除或修改,则不会继续安装应用程序签名包。在这种情况下,将显示以下消息:
user@host>request services application-identification install error: Checksum validation failed for downloaded files. -
当您的安全设备不包含任何早期版本的应用程序签名包,并且您尝试回滚应用程序签名包时,设备将显示以下错误消息:
user@host>request services application-identification install No application package available to rollback.
对新添加的应用签名进行分组
我们通过将所有新添加的应用程序签名分组到“组”下 junos:all-new-apps 来增强应用程序签名包。在安全设备上下载应用签名包时,将下载整个预定义的应用组,并在安全策略中进行配置,如以下示例所示:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
我们还在应用程序签名包中引入了应用程序标记列表。您可以在基于应用程序属性的预定义标签上对类似的应用程序进行分组。这样,就可以在定义安全策略时一致地重用应用程序组。
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
例
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
在上面的示例中,您使用 tags remote-access 配置基于标记的应用程序组,并将 web 另一个标记组配置为 social_networking。所有将标记为 web “或 remote-access ”和 social_networking 的应用程序都将添加到应用程序组中。
基于标记对类似应用程序进行分组可帮助您在定义安全策略时一致地重用应用程序组。
将新应用迁移到普通应用:
与以前安装的签名包相比,junos:all-new-apps 组包含安全设备上已安装的应用程序签名包中的一组所有新应用程序。如果您决定安装较新版本的应用程序签名包,则该版本将在 junos:all-new-apps 组中包含一组新的应用程序。
您可以选择将新应用程序迁移到现有应用程序签名包中的普通应用程序。此迁移将帮助你在安全策略中一致地维护规则,这些规则是在将来升级到较新的应用程序签名版本时为新应用程序创建的。
您可以使用以下新命令将标记为新应用程序的应用程序移动到普通应用程序:
-
若要仅将指定的新应用程序迁移为普通应用程序,请使用以下命令:
request services application-identification new-to-production applications-list [application-1 application-2]
-
若要将所有新应用程序迁移为普通应用程序,请使用以下命令:
request services application-identification new-to-production all
运行这些命令后,应用程序将不再被标记为新建,并且不会成为组的一部分 junos:all-new-apps 。
应用程序签名包增强功能
我们对应用程序签名包引入了以下增强功能:
- 支持 FTP 数据上下文传播
- 对应用系统缓存 (ASC) 上的高级基于策略的路由 (APBR) 卸载的会话跳过深度包检测 (DPI)。(仅启用 APBR 服务时。
- 在同一版本的签名包上强制安装应用程序签名包。请参阅 请求服务、应用程序标识、安装、忽略重复版本检查
- 在 CLI 命令输出中显示应用程序签名包发布日期。请参阅 显示服务应用程序标识版本
- 在 CLI 命令输出中显示已安装的签名包中可用的已弃用应用程序签名列表。请参阅 显示服务应用程序标识应用程序过时的应用程序
应用程序签名包安装增强功能
可以使用以下增强型应用程序签名包安装选项:
应用程序签名包安装失败
在应用程序签名包安装过程中,如果发生错误或进程意外崩溃,安装将自动停止并恢复到以前安装的版本。
当您尝试检查错误的应用程序签名包的下载状态时,系统会显示以下错误信息:
- 指定应用程序签名包版本后:
user@host> request services application-identification download status Requested application package 3501 failed data plane validation. Please download another version
- 如果没有指定的应用签名包版本:
user@host> request services application-identification download status Downloading application package (latest) failed with error (Requested application package 3657 failed data plane validation. Please download another version)
当您检查应用程序签名安装状态时,系统会显示以下消息:
-
当应用程序包安装完成并正在验证是否存在任何缺陷时:
user@host> request services application-identification install status Data plane validation of application package version (3698) is in progress ...
-
尝试安装标记为错误的应用程序签名包时:
user@host> request services application-identification install status Install Application package 3501 and Protocol bundle failed (Requested application package 3501 failed data plane validation. Please install another version)
-
当已安装的应用程序签名包被检测为有故障时:
user@host> request services application-identification install status Install Application package 3656 and Protocol bundle failed ( Install Application package (3656) failed in data plane validation, auto rollback triggered)
您可以使用以下命令查看失败版本的详细信息:
user@host> show services application-identification version detail Application package version: 3654 Release date: Thu Nov 23 14:07:48 2023 UTC Dataplane validation failure version details: Application package version 3620 PB Version 1.550.2-43 (build date Apr 5 2023) Engine version 5.7.1-47 (build date Mar 30 2023)
对于计划的应用程序签名包的自动更新:在安装过程中,如果安装包有任何问题,系统会将应用程序签名包回滚到以前的版本。在下一次自动更新期间,系统不会继续下载和安装有问题的签名包。
自动回滚增强
自动回滚功能现在使系统能够恢复到应用程序签名包的先前工作版本。此外,如果在应用程序签名包安装过程中出现任何问题,它会保留以前指定的回滚版本
例如,如果设备当前具有应用程序签名包版本 Y,并且已将回滚版本设置为 X,则在安装尝试期间会出现以下情况:
- 您尝试安装新版本 Z。
- 如果在安装过程中出现任何问题,或者版本 Z 无法安装,系统会自动恢复到当前版本 Y。
- 先前指定的回滚版本 X 保持不变。
这样,系统可以在需要时恢复到已知的工作版本,从而确保平稳过渡。
机箱群集设置上的应用签名包安装
使用机箱群集设置时,系统会先在主节点上安装应用签名包,并检查是否存在任何问题。
应用程序签名包安装立即在主节点上开始。在安装过程中,辅助节点等待主节点完成安装包的验证。如果验证成功,则系统将继续在辅助节点上安装相同的软件包,否则将跳过安装。
您可以使用以下命令检查安装状态:
user@host> request services application-identification install status node0: -------------------------------------------------------------------------- Checking compatibility of application package version 3577 ... node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the application package ...
如果在主节点上安装失败,则仅在主节点上进行回滚。同样,如果辅助节点上的安装失败,则仅在辅助节点上触发回滚。
安装失败时,系统将显示以下消息:
主节点
user@host> request services application-identification install status Install Application package 3450 and Protocol bundle failed ( Install Application package (3450) failed in data plane validation, auto rollback triggered)
辅助节点
user@host> request services application-identification install status Application package(3420) installation was skipped due to failure in the master RE installation
当节点在主节点上安装过程中从主要状态变为辅助状态时,系统将显示以下消息:
主节点
user@host> request services application-identification install status
Install Application package 3440 and Protocol bundle failed ( Install Application package (3440) failed due to changes in the master ship of the cluster)辅助节点
user@host> request services application-identification install status
Application package (3320) installation was skipped due to changes in the master ship of the cluster如果由于意外问题导致主系统无法在时间内(约 35 分钟)更新辅助节点,则辅助系统上的安装过程将被取消。
user@host> request services application-identification install status Application package(3600) installation was skipped due to master RE did not respond within the timeout
主节点完成安装和验证后,系统会在辅助节点上启动安装。如果由于故障转移而更改了主要角色和辅助角色,则上一个辅助节点(现在是主节点)将继续安装签名包。
应用程序签名包主要版本和次要版本
我们通过以下功能增强了应用程序签名包的安装:
签名包服务器的安装状态
应用程序签名引擎将状态发送到签名包服务器,以确定安装成功或失败。在应用程序签名包安装过程中,如果在包中发现错误,安装将停止并恢复到以前的活动版本,并且状态将发送到服务器。如果多个设备报告有问题的应用程序签名包,服务器将分析此数据,将该包标记为无效,并阻止将来下载。
将签名包标记为无效仅适用于主要签名包。
标记为无效的签名包将无法通过 CLI 进行下载。通过 Security Director 下载和安装以及脱机下载会显示错误消息,通知请求的应用程序包无法下载。
主要和次要签名包
现在,我们支持两种类型的签名包可用于更新:
- 主要更新包括 IDP 签名、IDP 检测器和应用程序识别原型包。
- 次要更新包括定期签名更新。
让我们通过一个示例来了解主要和次要更新的区别:
- 已发布协议包的签名包版本为 3585。这是一项重大更新。3585 之后的所有次要签名包都包含此更新的协议包,直到我们进行下一次主要签名包更新。
- 软件包的下一个版本包括 IDP 检测器,版本为 3598。这又是一个重大更新。3598 之后的所有次要签名包都包含此更新的检测器,直到我们进行下一次重大更新。
如果防火墙的主要签名包版本为 3598,并且尝试使用手动下载方法或自动下载等次要版本(如 3588),则下载将失败,并显示以下错误消息:
user@host> request services application-identification download status Downloading application package (latest) failed with error (No suitable version available for this device, please re-try the download manually without minor)
下载仅限未成年人的签名包
您可以下载标记为次要的应用程序签名包。默认行为不检查主要版本或次要版本。
要设置次要签名包的自动下载:
[edit] user@host# set services application-identification download automatic minor-only
在命令中指定 minor-only 将下载签名包的次要版本。
要下载小签名包:
[edit] user@host> request services application-identification download minor-only
在命令中指定 minor-only 将下载签名包的次要版本。
检查可用的签名包版本:
user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
命令显示应用程序签名包的所有可用版本。
检查可用的签名包版本:
user@host> show services application-identification version Application package version: 3666 (Major)
该命令显示主要应用程序签名包的所有最新版本。
查看签名包的版本:
user@host> show services application-identification status Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 2097152 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3666 (Major) Release date Mon Oct 10 14:55:29 2022 UTC Status Active PB Version 1.550.2-31 (build date Oct 10 2022) Engine version 5.7.0-47 (build date Mar 25 2022) Micro-App Version 1.1.0-0 Sessions 0 Custom-App Infra Version 1.0.0-0 Rollback version details: Application package version 3662 (Major) PB Version 1.550.2-43 Engine version 5.7.1-47 Micro-App Version 1.2.0-1 Custom-App Infra Version 1.0.0-1
命令在字段中 Application package version 显示设备上安装的应用程序签名包版本。
请访问瞻博网络安全网站,查看签名包的版本。
user@host> request services application-identification download check-server Download server URL: https://signatures.juniper.net/cgi-bin/index.cgi Sigpack Version: 3666 (Major) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09Sigpack Version: 3659 (Minor) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09
命令显示主要和次要应用签名包的最新版本,这些签名包可在瞻博网络安全网站上找到。
降级应用程序签名包版本
可以通过指定签名包版本来降级应用程序签名包版本。使用以下步骤降级:
使用
show services application-identification recent-appid-sigpack-versions命令检查可用的签名包版本。user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
执行命令下载所需版本:
user@host> request services application-identification download version <old-ver>
脱机应用程序标识 (AppID) 更新
离线应用程序标识 (AppID) 更新和相关功能显著增强了网络系统的可管理性和可服务性,特别是在连接受限的环境中。
脱机 AppID 更新功能允许您使用以下 CLI 命令从本地 tar 文件更新签名包:
user@host> request services application-identification offline-download package-path <path>
输入此命令后,系统将解压缩签名包,并将提取的文件放置在设备上的适当位置。
例:
- 从以下网址复制或下载脱机应用程序包: https://support.juniper.net/support/downloads/?p=282
- 输入命令以提取签名包:
user@host> request services application-identification offline-download package-path /var/tmp/282_3722_offline-update.tar.gz Please use command "request services application-identification offline-download status" to check offline download status
- 查看签名包离线下载状态:
user@host> request services application-identification offline-download status AppID sigpack offline download is in progress...
user@host> request services application-identification offline-download status AppID sigpack offline download : Complete
当包路径不正确时,系统将显示以下错误消息:
AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)
request services application-identification install使用命令在设备上安装签名包。
作结束时会显示一条系统日志消息,指示更新是否成功或是否遇到任何错误,从而为故障排除提供即时反馈。syslog 消息示例:
- 确认
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Complete更新成功。 - 指示
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)失败以及特定错误消息
此功能在 Internet 连接有限或没有 Internet 连接的环境中(如远程位置或安全设施)特别有用。
已弃用应用程序的 Syslog 消息
您现在可以管理已弃用的应用程序和应用程序组。执行签名包更新后,系统日志消息将列出已弃用的应用程序,帮助您识别和管理可能影响安全策略的过时应用程序。
处理已弃用的应用程序时,系统日志消息 APPIDD_DEPRECATED_APPLIST: Obsolete apps: app1, app2, app3, app4... 会列出过时的应用程序,以便您采取适当的措施。
列出已弃用的应用程序组
您可以使用以下命令列出所有已弃用的应用程序组:
user@host> show services application-identification group obsolete-groups命令允许您列出已弃用的应用程序组,确保这些组不会干扰设备配置,并防止由于隐藏的弃用组而导致提交失败。
您可以使用以下系统日志消息查看已弃用的应用程序组:
APPIDD_DEPRECATED_GROUPS: Obsolete groups: group1, group2, …
许可证的附加平台信息
不再需要单独的许可证密钥来确保应用安全性。相反,您必须使用与您的产品和设备对应的相应 JSE 或 JSB 软件许可证(表 2 和 表 3)。此许可证使您能够:
- 下载并安装 AppID 签名数据库更新
- 访问 AppSecure 功能,例如 AppFW、AppQoS 和 AppTrack
这与之前的模式不同,在以前的模式中,必须在每台设备上单独购买和安装专用的 Application Security 订阅许可证。
Application Security 是 SRX 系列防火墙的 Junos Software Enhanced (JSE) 软件许可证包的一部分,如 表 2 所示。
| 平台 | 从发布阶段开始 |
| SRX4100 和 SRX4200 设备 | Junos OS 15.1X49-D65 版和 Junos OS 17.3R1 版 |
| SRX1500、SRX300、SRX320、SRX340 和 SRX345 设备 | Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版 |
| SRX5400、SRX5600、SRX5800、vSRX 和 cSRX | Junos OS 25.2R1 版 |
Application Security 是 Junos Software Base (JSB) 软件许可证包的一部分,适用于 表 3 中所示的 SRX 系列防火墙。
| 平台 | 从发布阶段开始 |
| SRX380, SRX4600 | Junos OS 20.2R1 版 |
| SRX1600、SRX2300、SRX4300 | Junos OS 23.4R1 版 |
| SRX4120 | Junos OS 25.2R1 版 |
如需详细了解 Junos OS 软件许可,请参阅 瞻博网络许可指南。
有关详细信息,请参阅 SRX 系列服务网关 上的产品介绍,或联系您的瞻博网络客户团队或瞻博网络合作伙伴。
请参阅 功能浏览器 ,了解软件版本中产品支持的功能
另见
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。
junos:all-new-apps 来增强应用程序签名包。