IDP 策略的应用程序和应用程序集
应用程序或服务表示应用层协议,用于定义数据在网络中传输时的结构。
有关详细信息,请参阅以下主题:
了解 IDP 应用程序集
应用程序或服务表示应用层协议,用于定义数据在网络中传输时的结构。由于您在网络上支持的服务与攻击者攻击您的网络必须使用的服务相同,因此您可以指定目标 IP 支持哪些服务以提高规则效率。瞻博网络提供基于行业标准应用程序的预定义应用程序和应用程序集。如果需要添加预定义应用程序中未包含的应用程序,可以创建自定义应用程序或修改预定义应用程序以满足您的需求。
您可以指定应用程序或服务以指示策略应用于该类型的流量。有时,相同的应用程序或其子集可能存在于多个策略中,从而使其难以管理。Junos OS 允许您创建称为 应用程序集的应用程序组。
应用程序集允许您管理少量应用程序集,而不是大量单个应用程序条目,从而简化了该过程。
应用程序(或应用程序集)配置为数据包的匹配标准。数据包必须属于策略中指定的应用程序类型,策略才能应用于数据包。如果数据包与策略指定的应用程序类型匹配,并且所有其他条件匹配,则策略操作将应用于数据包。您可以使用预定义或自定义应用程序,并在策略中引用它们。
参见
示例:配置 IDP 应用程序集
此示例说明如何创建应用程序集并将其与 IDP 策略关联。
要求
准备工作:
配置网络接口。
在安全策略中启用 IDP 应用程序服务。
定义应用程序。请参阅 示例:配置安全策略应用程序和应用程序集。
概述
要配置应用程序集,请将预定义或自定义应用程序单独添加到应用程序集,并为应用程序集指定一个有意义的名称。命名应用程序集后,将名称指定为策略的一部分。要将此策略应用于数据包,数据包必须与此集合中包含的任何一个应用程序匹配。
此示例介绍如何创建名为 SrvAccessAppSet 的应用程序集并将其与 IDP 策略 ABC 关联。应用程序集 SrvAccessAppSet 结合了三个应用程序。指定一个应用程序集,而不是在策略规则中指定三个应用程序。如果所有其他条件都匹配,则应用程序集中的任何一个应用程序都将用作有效的匹配条件。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要创建应用程序集并将其与 IDP 策略关联,请执行以下操作:
创建一个应用程序集并在该集中包括三个应用程序。
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
创建 IDP 策略。
[edit] user@host# edit security idp idp-policy ABC
将应用程序集与 IDP 策略关联。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
为策略指定操作。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
激活策略。
[edit] user@host# set security idp active-policy ABC
结果
在配置模式下,输入 show security idp 和 show applications 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
如果完成设备配置,请从配置模式输入 commit 。
示例:配置 IDP 应用程序和服务
此示例说明如何创建应用程序并将其与 IDP 策略关联。
要求
准备工作:
配置网络接口。
在安全策略中启用 IDP 应用程序服务。
概述
要创建自定义应用程序,请为应用程序指定一个有意义的名称,并将参数与其关联,例如,非活动超时或应用程序协议类型。在此示例中,您将创建一个名为 cust-app 的特殊 FTP 应用程序,将其指定为在端口 78 上运行的 IDP 策略 ABC 中的匹配条件,并将非活动超时值指定为 6000 秒。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要创建应用程序并将其与 IDP 策略关联,请执行以下操作:
创建应用程序并指定其属性。
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
将应用程序指定为策略中的匹配条件。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
指定无操作条件。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
激活策略。
[edit] user@host# set security idp active-policy ABC
结果
在配置模式下,输入 show security idp 和 show applications 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
如果完成设备配置,请从配置模式输入 commit 。