IDP 策略的应用程序和应用程序集
应用程序是预定义或自定义定义的实体,表示特定类型的网络流量或服务。应用程序集是应用程序的集合,可以分组以便于管理和策略创建。您可以创建包含多个相关应用程序的应用程序集,然后将策略应用于整个应用程序集。
应用或服务表示应用层协议,用于定义数据在网络中传输时的结构。
有关更多信息,请参阅以下主题:
了解 IDP 应用程序集
应用或服务表示应用层协议,用于定义数据在网络中传输时的结构。由于您在网络上支持的服务与攻击者攻击网络所必须使用的服务相同,因此您可以指定目标 IP 支持哪些服务,以提高规则的效率。瞻博网络提供基于行业标准应用的预定义应用和应用集。如果需要添加预定义应用程序中未包含的应用程序,可以创建自定义应用程序或修改预定义应用程序以满足您的需求。
您可以指定一个应用或服务,以指示策略适用于该类型的流量。有时,相同的应用或其子集可能存在于多个策略中,这使得它们难以管理。Junos OS 允许您创建称为 应用程序集的应用程序组。
应用程序集允许您管理少量应用程序集而不是大量单独的应用程序条目,从而简化了该过程。
应用程序(或应用程序集)被配置为数据包的匹配标准。数据包必须是策略中指定的应用程序类型,策略才能应用于数据包。如果数据包与策略指定的应用类型匹配,并且所有其他条件都匹配,则策略作将应用于数据包。您可以使用预定义或自定义应用程序,并在策略中引用它们。
另见
示例:配置 IDP 应用程序集
此示例说明如何创建应用程序集并将其与 IDP 策略相关联。
要求
开始之前:
配置网络接口。
在安全策略中启用 IDP 应用服务。
定义应用。请参阅 示例:配置安全策略应用程序和应用程序集。
概述
若要配置应用程序集,请将预定义应用程序或自定义应用程序单独添加到应用程序集,并为应用程序集分配一个有意义的名称。命名应用程序集后,将名称指定为策略的一部分。要使此策略应用于数据包,数据包必须与此集中包含的任何一个应用程序匹配。
此示例介绍如何创建名为 SrvAccessAppSet 的应用程序集,并将其与 IDP 策略 ABC 相关联。应用程序集 SrvAccessAppSet 组合了三个应用程序。您可以指定一个应用程序集,而不是在策略规则中指定三个应用程序。如果所有其他条件都匹配,则应用程序集中的任何一个应用程序都用作有效的匹配条件。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要创建应用程序集并将其与 IDP 策略关联,请执行以下作:
创建一个应用程序集,并在该集中包含三个应用程序。
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
创建 IDP 策略。
[edit] user@host# edit security idp idp-policy ABC
将应用程序集与 IDP 策略相关联。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
为策略指定作。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
激活策略。
[edit] user@host# set security idp active-policy ABC
结果
在配置模式下,输入 show security idp 和 show applications 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
如果完成设备配置,请从配置模式输入 commit 。
示例:配置 IDP 应用程序和服务
此示例说明如何创建应用程序并将其与 IDP 策略相关联。
要求
开始之前:
配置网络接口。
在安全策略中启用 IDP 应用服务。
概述
若要创建自定义应用程序,请为应用程序指定一个有意义的名称,并将参数与其相关联,例如,非活动超时或应用程序协议类型。在此示例中,您将创建一个名为 cust-app 的特殊 FTP 应用程序,将其指定为在端口 78 上运行的 IDP 策略 ABC 中的匹配条件,并将非活动超时值指定为 6000 秒。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要创建应用程序并将其与 IDP 策略关联,请执行以下作:
创建应用程序并指定其属性。
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
在策略中将应用程序指定为匹配条件。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
指定无作条件。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
激活策略。
[edit] user@host# set security idp active-policy ABC
结果
在配置模式下,输入 show security idp 和 show applications 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
如果完成设备配置,请从配置模式输入 commit 。