IDP 应用识别
应用识别 (AppID) 利用预定义的应用签名检测在非标准端口上运行的应用,从而增强威胁检测和策略实施。这些签名包含在瞻博网络的安全包更新中。激活 IDP 服务时,AppID 会自动启用。
IDP 系统使用预定义的签名识别应用,从而实现检测和策略实施。这通过确保应用程序的准确识别来增强安全性。AppID 可在开启 IDP 服务的情况下自动运行,确保无缝检测和实施。
使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持 其他平台 。
查看 特定于平台的 IDP 应用程序识别行为部分 ,了解与您的平台相关的注意事项。
了解应用识别
瞻博网络提供预定义的应用签名,用于检测在非标准端口上运行的传输控制协议 (TCP) 和用户数据报协议 (UDP) 应用。识别这些应用后,入侵检测和防御 (IDP) 可将相应的攻击对象应用于运行在非标准端口上的应用。它还通过缩小没有解码器的应用程序的攻击签名范围来提高性能。
IDP 传感器监控网络,并根据 IDP 规则库中定义的特定规则检测可疑和异常网络流量。它根据协议或应用将攻击对象应用于流量。应用程序签名使传感器能够识别在非标准端口上运行的已知和未知应用程序,并应用正确的攻击对象。
应用签名是瞻博网络提供的安全包的一部分。您可以下载预定义的应用程序签名以及安全包更新。您无法创建应用程序签名。有关下载安全包的信息,请参阅 手动更新 IDP 签名数据库。
仅当请求服务(如 IDP、AppFW、AppTrack 或 AppQoS)设置为调用 AppID 时,默认情况下才会启用 AppID。如果不存在策略或配置,则 AppID 不会自动触发。但是,当您在策略规则中指定应用时,IDP 会使用指定的应用,而不是应用识别结果。有关在策略规则中指定应用的说明,请参阅 示例:配置 IDP 应用和服务。
默认情况下,应用识别处于启用状态。要使用 CLI 禁用应用识别,请参阅禁用 和重新启用 Junos OS 应用识别。
在所有分支设备上,IDP 不允许对非数据包上下文进行标头检查。
在主动/主动和主动/被动机箱群集中部署的 IDP 具有以下限制:
不检查故障转移或故障返回的会话。
IP 操作表未在节点之间同步。
辅助节点上的路由引擎可能无法访问只能通过数据包转发引擎访问的网络。
SSL 会话 ID 缓存不会在节点之间同步。如果 SSL 会话重复使用会话 ID,并且恰好在缓存会话 ID 的节点以外的节点上处理,则无法解密 SSL 会话,并且将绕过 IDP 检查。
主动/主动机箱群集中的 IDP 有一个限制。对于时间绑定范围源流量,可能无法检测到来自具有多个目标的源的攻击。跨节点分布的活动会话会导致此问题,因为时间绑定计数具有仅限本地节点的视图。检测此类攻击需要对当前不受支持的时间绑定状态进行 RTO 同步。
也可以看看
按攻击对象划分的 IDP 服务和应用绑定
攻击对象可以通过不同的方式绑定到应用和服务:
攻击对象可以隐式绑定到应用程序,并且没有服务定义。它们根据上下文或异常的名称绑定到应用程序。
攻击对象可以使用服务名称绑定到服务。
攻击对象可以使用 TCP 或 UDP 端口、ICMP 类型或代码或者 RPC 程序编号绑定到服务。
指定的应用程序或服务绑定是否适用取决于完整的攻击对象定义以及 IDP 策略配置:
如果在攻击对象定义中指定应用,则忽略服务字段。攻击对象绑定到应用程序而不是指定的服务。但是,如果在攻击对象定义中指定了服务,但没有应用,则攻击对象将绑定到服务。 表 1 总结了应用程序和服务绑定与应用程序标识的行为。
表 1:具有应用标识的应用和服务 攻击对象字段
绑定行为
应用识别
:application (http)
:service (smtp)
绑定到应用程序 HTTP。
服务字段将被忽略。
实现
:service (http)
绑定到应用程序 HTTP。
实现
:service (tcp/80)
绑定到 TCP 端口 80。
禁用
例如,在以下攻击对象定义中,攻击对象绑定到应用程序 HTTP,启用应用程序标识,并忽略服务字段 SMTP 。
: (“http-test” :application (“http”) :service (“smtp”) :rectype (signature) :signature ( :pattern (“.*TERM=xterm; export TERM=xterm; exec bash – i\x0a\x.*”) :type (stream) ) :type (attack-ip) )
如果攻击对象基于服务特定上下文(例如 http-url)和异常(例如 tftp_file_name_too_long),则应用和服务字段都会被忽略。服务上下文和异常意味着应用;因此,当您在攻击对象中指定这些选项时,将应用应用标识。
如果在策略中配置特定应用程序,则会覆盖攻击对象中指定的应用程序绑定。 表 2 总结了与 IDP 策略中应用配置的绑定。
表 2:IDP 策略中的应用配置 策略中的应用程序类型
绑定行为
应用识别
Default
绑定到攻击对象定义中配置的应用程序或服务。
为基于应用的攻击对象启用
禁用基于服务的攻击对象
Specific application
绑定到攻击对象定义中指定的应用程序。
禁用
Any
绑定到所有应用程序。
禁用
如果在 IDP 策略中指定应用,则在攻击对象定义和 IDP 策略中配置的应用类型必须匹配。策略规则不能指定两个不同的应用(一个在攻击对象中,另一个在策略中)。
当在 IDP 配置中指定了基于不同应用的攻击并且提交失败时,应用就不能被应用 any 。请改用 default。
在为应用程序配置 IDS 规则时,该选项 any 已被弃用。
但是,当应用程序和 any 自定义攻击组在 IDP 配置中使用时,提交会成功通过。因此,提交检查不会检测到此类情况。
也可以看看
嵌套应用的 IDP 应用识别
随着应用协议封装的使用越来越广泛,也需要支持识别在同一第 7 层协议上运行的多个不同应用。例如,Facebook 和 Yahoo Messenger 等应用都可以在 HTTP 上运行,但需要将它们识别为在同一第 7 层协议上运行的两个不同应用。为此,将当前的应用识别层分为两层:第 7 层应用和第 7 层协议。
随附的预定义应用签名已被创建用于检测第 7 层应用,而现有的第 7 层协议签名仍以相同的方式运行。这些预定义的应用签名可用于攻击对象。
也可以看看
示例:配置应用程序识别的 IDP 策略
此示例说明如何配置应用程序识别的 IDP 策略。
要求
开始之前:
配置网络接口。
下载应用包。
概述
在此示例中,您将创建 IDP 策略 ABC,并在 IPS 规则库中定义规则 123。在 IDP 策略规则中将 default 指定为应用类型。如果指定应用而不是默认,则该规则的 AppID 功能将被禁用,并且 IDP 将使用指定的应用类型匹配流量。目前无法直接引用在应用程序标识下定义的应用程序。
配置
过程
分步程序
要为应用识别配置 IDP 策略:
创建 IDP 策略。
[edit] user@host# set security idp idp-policy ABC
指定应用程序类型。
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 match application default
指定在满足匹配条件时要执行的操作。
[edit] user@host# set security idp idp-policy ABC rulebase-ips rule 123 then action no-action
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security idp 命令。
IDP 应用程序识别的内存限制设置
虽然您无法使用 IDP 签名数据库创建应用程序签名,但您可以配置传感器设置以限制运行 AppID 的会话数,并限制 AppID 的内存使用。
会话内存限制 — 您可以配置可用于为一个 TCP 或 UDP 会话保存 AppID 数据包的最大内存字节量。您还可以为应用程序识别配置全局内存使用限制。在系统达到会话的指定内存限制后,会话将禁用 AppID。但是,IDP 会继续匹配模式。匹配的应用程序将保存到缓存中,以便下一个会话可以使用它。这可以保护系统免受攻击者试图通过故意发送大型客户端到服务器数据包来绕过 AppID。
-
会话数 — 您可以配置可同时运行 AppID 的最大会话数。当系统达到指定的会话数后,AppID 将被禁用。您可以限制会话数,以防止拒绝服务 (DOS) 攻击,当过多的连接请求使系统上的所有分配资源不堪重负并耗尽时,就会发生拒绝服务 (DOS) 攻击。
使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持其他平台。
有关中心点 (CP) 会话编号容量的详细信息,请参阅 “其他平台信息 ”部分。
示例:设置 IDP 应用程序识别服务的内存限制
此示例说明如何为 IDP AppID 服务配置内存限制。
要求
开始之前:
配置网络接口。
下载签名数据库。请参阅 手动更新 IDP 签名数据库。
概述
在此示例中,您将 5000 个内存字节配置为可用于为一个 TCP 会话保存 AppID 数据包的最大内存量。
配置
过程
分步程序
要为 IDP AppID 服务配置内存和会话限制:
指定应用程序识别的内存限制。
[edit] user@host# set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security idp memory 命令。
验证应用识别进程的 IDP 计数器
目的
验证 AppID 进程的 IDP 计数器。
行动
从 CLI 中输入命令 show security idp counters application-identification 。
示例输出
user@host> show security idp counters application-identification IDP counters: IDP counter type Value AI cache hits 2682 AI cache misses 3804 AI matches 74 AI no-matches 27 AI-enabled sessions 3804 AI-disabled sessions 2834 AI-disabled sessions due to cache hit 2682 AI-disabled sessions due to configuration 0 AI-disabled sessions due to protocol remapping 0 AI-disabled sessions due to non-TCP/UDP flows 118 AI-disabled sessions due to no AI signatures 0 AI-disabled sessions due to session limit 0 AI-disabled sessions due to session packet memory limit 34 AI-disabled sessions due to global packet memory limit 0
意义
输出显示 AppID 计数器的摘要。验证以下信息:
| 计数器 | 描述 |
|---|---|
| AI 缓存命中 |
显示应用程序标识缓存上的命中数。 |
| AI 缓存未命中 | 显示应用程序匹配但未添加应用程序标识缓存条目的次数。 |
| AI匹配 | 显示应用程序匹配的次数,并添加了应用程序标识缓存条目。 |
| AI 不匹配 | 显示应用程序不匹配的次数。 |
| 采用 AI 技术的会话 | 显示启用了应用程序识别的会话数。 |
| 禁用 AI 的会话 | 显示禁用应用程序识别的会话数。 |
| 由于缓存命中而禁用 AI 的会话 | 显示匹配缓存条目后禁用应用程序标识的会话数。此会话已停止应用程序识别过程。 |
| 由于配置导致会话禁用 AI | 显示由于传感器配置而禁用应用识别的会话数。 |
| 由于协议重新映射而禁用 AI 的会话 | 显示由于在 IDP 策略规则定义中配置了特定服务而禁用应用识别的会话数。 |
| 由于非 TCP/UDP 流导致会话禁用 AI | 显示由于会话不是 TCP 或 UDP 会话而禁用应用识别的会话数。 |
| 由于没有 AI 签名而禁用 AI 会话 | 显示由于在应用识别签名上找不到匹配项而禁用应用识别的会话数。 |
| 由于会话限制,禁用 AI | 显示由于会话已达到配置的最大限制而禁用应用识别的会话数。在以后的会话中,应用识别也将被禁用。 |
| 由于会话数据包内存限制,禁用 AI | 显示由于会话已达到 TCP 或 UDP 流的最大内存限制而禁用其应用识别的会话。在以后的会话中,应用识别也将被禁用。 |
| 由于全局数据包内存限制,禁用 AI | 显示由于达到最大内存限制而禁用应用程序识别的会话。在以后的会话中,应用识别也将被禁用。 |
也可以看看
其他平台信息
使用 功能资源管理器 确认平台和版本对特定功能的支持。可能支持其他平台。
使用下表查看其他平台信息。
| SRX 系列防火墙 | 最大会话数 | 中心点 (CP) |
|---|---|---|
| SRX5600 | 9 万 225 万 |
全 CP 组合模式 CP |
| SRX5800 | 1000 万 225 万 |
全 CP 组合模式 CP |
特定于平台的 IDP 应用识别 行为
使用 功能资源管理器 确认平台和版本对特定功能的支持。
使用下表查看平台的特定于平台的行为。
| 平台 |
差异 |
|---|---|
| SRX 系列防火墙 |
|