逻辑系统中的应用程序安全性
无论使用什么端口、协议和加密,逻辑系统中的应用程序安全性都能够识别遍历网络的应用程序流量,从而提供更高的可见性来控制网络流量。应用程序安全性基于准确的应用程序信息设置和实施安全策略,从而控制网络流量。有关更多信息,请参阅以下主题:
了解逻辑系统应用程序识别服务
预定义和自定义应用程序签名通过匹配会话的前几个数据包中的模式来识别应用程序。识别应用程序可提供以下优势:
允许入侵检测和防御 (IDP) 将适当的攻击对象应用于在非标准端口上运行的应用程序。
通过缩小无解码器的应用程序的攻击签名范围来提高性能。
允许您使用 AppTrack 对通过设备的应用程序创建详细报告。
使用逻辑系统时,预定义和自定义应用程序签名即为所有逻辑系统共享的全局资源。主管理员负责下载和安装预定义的瞻博网络应用程序签名,并创建自定义应用程序和嵌套应用程序签名,以识别不在预定义数据库中的应用程序。
默认情况下,应用程序识别处于启用状态。
应用程序系统缓存 (ASC) 可保存应用程序类型与相应目标 IP 地址、目标端口、协议类型和服务之间的映射。每个用户逻辑系统都有自己的 ASC。用户逻辑系统管理员可以使用命令显示其逻辑系统的 show services application-identification application-system-cache
ASC 条目。用户逻辑系统管理员可以使用 clear services application-identification application-system-cache
命令清除其逻辑系统的 ASC 条目。
从 Junos OS 18.2R1 版开始,ASC 的默认行为将更改如下:
默认情况下,包括安全策略、应用程序防火墙 (AppFW)、应用程序跟踪 (AppTrack)、应用程序服务质量 (AppQoS)、瞻博网络 ATP 云、IDP 和内容安全在内的安全服务不会使用 ASC。
默认情况下,包括基于策略的高级路由 (APBR) 在内的其他服务使用 ASC 进行应用程序识别。
有关更多信息,请参阅 启用或禁用应用程序服务的应用程序系统缓存。
主管理员可以显示或清除任何逻辑系统的 ASC 条目。主管理员还可以使用 and clear services application-identification counter
命令显示或清除全局计数器show services application-identification counter
。
应用程序签名包安装在全局级别,由所有用户逻辑系统共享。主逻辑系统管理员可以安装或卸载应用程序签名包。
从 Junos OS 18.3R1 版开始,对逻辑系统的应用程序识别 (AppID) 支持包括两个新选项,用于查看和清除逻辑系统统计信息和逻辑系统计数器统计信息。
主逻辑系统管理员可以显示或清除所有逻辑系统的统计信息,而用户逻辑系统的管理员可以显示或清除他们自己的逻辑系统的统计信息。
用户逻辑系统管理员可以查看 AppID 签名包状态和版本。主逻辑系统管理员可以在 use 逻辑系统安全策略中配置由主逻辑系统管理员配置的自定义签名。
您可以使用命令 show services application-identification status
和查看有关 AppID 签名包状态和版本的状态和 show services application-identification version
版本信息。
另请参阅
了解逻辑系统应用程序防火墙服务
应用程序防火墙使逻辑系统的管理员能够基于应用程序签名定义的应用程序标识为流量创建安全策略。应用程序防火墙提供额外的安全保护,可抵御可能无法受标准网络防火墙策略充分控制的动态应用程序流量。应用程序防火墙通过允许或阻止源自特定应用程序的流量来控制信息传输。
要配置应用程序防火墙,请定义一个规则集,其中包含指定对已识别的动态应用程序执行的操作的规则。规则集是独立配置的,并分配给安全策略。每个规则集都包含至少两个规则、一个匹配的规则(包括匹配标准和操作)和一个默认规则。
匹配规则定义对匹配流量采取的操作。当流量与规则指定的应用程序和其他标准匹配时,将根据规则指定的操作来允许或阻止该流量。
当流量与规则集中的任何其他规则不匹配时,将应用默认规则。
主管理员可以从瞻博网络安全工程网站下载预定义的应用程序签名数据库,或使用 Junos OS 配置 CLI 定义应用程序签名。有关应用程序标识和应用程序签名的更多信息,请参阅 安全设备的应用程序安全用户指南。
在逻辑系统上配置应用程序防火墙的过程与在未使用逻辑系统配置的设备上配置应用程序防火墙的过程相同。但是,应用程序防火墙仅适用于为其配置的逻辑系统。主管理员可以配置、启用和监控主逻辑系统上的应用程序防火墙以及设备上的所有用户逻辑系统。用户逻辑系统管理员只能在他们有权访问的用户逻辑系统上配置、启用和监控应用程序防火墙。
另请参阅
示例:为主逻辑系统配置应用程序防火墙服务
此示例介绍如何由主管理员在主逻辑系统上或根逻辑系统上配置应用程序防火墙服务。除了所有用户逻辑系统之外,只有主管理员才能配置、管理和查看主逻辑系统的配置。
配置应用程序防火墙规则集和规则后,主管理员会将应用程序防火墙规则集信息添加到主逻辑系统上的安全策略中。
有关在安全策略中配置应用程序防火墙的信息,请参阅 应用程序防火墙概述。
要求
开始之前:
验证是否已在主逻辑系统上配置所有接口、路由实例和安全区域。
请参阅 示例:为主逻辑系统配置安全功能。
验证应用程序防火墙资源(appfw 规则集和 appfw 规则)是否已在安全配置文件中分配,并通过 [
system security-profile
] 命令绑定到主逻辑系统。对于应用程序防火墙资源,安全配置文件配置允许 0 到 10,000 个规则集和 0 到 10,000 个规则。注意:主管理员通过安全配置文件配置分配各种全局系统资源,然后该配置绑定到设备上的各种逻辑系统。主管理员拥有此功能,并为所有用户逻辑系统和主逻辑系统配置安全配置文件。
有关更多信息,请参阅了解逻辑系统安全配置文件(仅限主管理员)。
以主管理员身份登录到主逻辑系统。
有关主管理员角色功能的信息,请参阅 了解主要逻辑系统和主管理员角色。
概述
在此示例中,您在主逻辑系统上创建应用程序防火墙服务,称为 root 逻辑系统,如 示例:创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
此示例将创建以下应用程序防火墙配置:
规则集,root-rs1,以及规则 r1 和 r2。匹配 r1 时,将允许通过防火墙的 telnet 流量。匹配 r2 后,将允许 Web 流量通过防火墙。
规则集,root-rs2,带规则 r1。匹配 r1 时,示例 2 流量将被防火墙阻止。
所有规则集都需要一个默认规则,用于指定是允许还是拒绝未在规则集的任何规则中指定的流量。默认规则操作(允许或拒绝)必须与为规则集中的其他规则指定的操作相反。
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r1 match dynamic-application junos:telnet set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r1 then permit set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r2 match dynamic-application-group junos:web set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r2 then permit set logical-systems root-logical-system security application-firewall rule-sets root-rs1 default-rule deny set logical-systems root-logical-system security application-firewall rule-sets root-rs2 rule r1 match dynamic-application junos:facebook set logical-systems root-logical-system security application-firewall rule-sets root-rs2 rule r1 then deny set logical-systems root-logical-system security application-firewall rule-sets root-rs2 default-rule permit
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要为主逻辑系统配置应用程序防火墙,
以主管理员身份登录到主逻辑系统。请参阅 示例:为逻辑系统配置 Root 密码 并进入配置模式。
admin@host> configure admin@host#
为 root 逻辑系统配置应用程序防火墙规则集。
[edit ] admin@host# set logical-systems security application-firewall rule-sets root-rs1
为此规则集配置一个规则,并指定该规则应匹配的动态应用程序和动态应用程序组。
[edit] admin@host# set logical-systems security application-firewall rule-sets root-rs1 rule r1 match dynamic-application telnet then permit
配置此规则集的默认规则,并指定在规则集的任何规则中未指定标识的动态应用程序时要执行的操作。
[edit] admin@host# set logical-systems security application-firewall rule-sets root-rs1 default-rule deny
如果需要,重复这些步骤以配置另一个规则集 root-rs2。
结果
在配置模式下,输入命令以确认 show security application-firewall rule-sets
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起想,此命令 show
输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit] admin@host# show security application-firewall rule-sets all ... application-firewall { rule-sets root-rs1 { rule r1 { match { dynamic-application [junos:telnet]; } then { permit; } } default-rule { deny; } } rule-sets root-rs1 { rule r2 { match { dynamic-application-group [junos:web]; } then { permit; } } rule-sets root-rs2 { rule r1 { match { dynamic-application [junos:FACEBOOK]; } then { deny; } } default-rule { permit; } }
完成设备配置后,请从配置模式进入 commit
。
验证
确认配置工作正常。
验证应用程序防火墙配置
目的
查看主逻辑系统上的应用程序防火墙配置。
行动
在操作模式下,输入 show security application-firewall rule-set logical-system root-logical-system rule-set all
命令。
admin@host> show security application-firewall rule-set logical-system root-logical-system rule-set all Rule-set: root-rs1 Logical system: root-logical-system Rule: r1 Dynamic Applications: junos:telnet Action:permit Number of sessions matched: 10 Default rule:deny Number of sessions matched: 100 Number of sessions with appid pending: 2 Rule-set: root-rs1 Logical system: root-logical-system Rule: r2 Dynamic Applications: junos:web Action:permit Number of sessions matched: 20 Default rule:deny Number of sessions matched: 200 Number of sessions with appid pending: 4 Rule-set: root-rs2 Logical system: root-logical-system Rule: r1 Dynamic Applications: junos:FACEBOOK Action:deny Number of sessions matched: 40 Default rule:permit Number of sessions matched: 400 Number of sessions with appid pending: 10
了解逻辑系统应用程序跟踪服务
AppTrack 是一款应用程序跟踪工具,提供用于分析网络带宽使用情况的统计数据。启用后,AppTrack 会收集指定区域中应用程序流的字节、数据包和持续时间统计信息。默认情况下,当每个会话关闭时,AppTrack 都会生成一条消息,提供该会话的字节、数据包计数和持续时间,并将其发送至主机设备。安全威胁响应管理器 (STRM) 可以检索数据并提供基于流的应用程序可见性。
可以在任何逻辑系统中启用和配置 AppTrack。在逻辑系统中配置 AppTrack 与在未为逻辑系统配置的设备上配置 AppTrack 相同。AppTrack 配置仅适用于配置该配置的逻辑系统。逻辑系统的名称会添加到 AppTrack 日志中。主管理员可以为任何逻辑系统配置 AppTrack,而用户逻辑系统管理员只能为其登录的逻辑系统配置 AppTrack。
系统上的系统日志配置是全局的,必须由主管理员进行配置。用户逻辑系统管理员不能为逻辑系统配置系统日志记录。
计数器会跟踪发送的日志消息数和失败的日志数。AppTrack 计数器对设备具有全局性。主管理员和用户逻辑系统管理员可以使用命令查看 AppTrack 计数器 show security application-tracking counters
。
另请参阅
示例:为用户逻辑系统配置应用程序防火墙服务
此示例介绍如何由用户逻辑系统管理员在用户逻辑系统上配置应用程序防火墙服务。用户逻辑系统管理员可以管理和监控自己的系统应用程序防火墙规则集和规则,并管理各自逻辑系统上允许或阻止的动态应用程序。
配置应用程序防火墙规则集和规则后,用户逻辑系统管理员会将应用程序防火墙规则集信息添加到其各个逻辑系统上的安全策略中。
有关在安全策略中配置应用程序防火墙的信息,请参阅 应用程序防火墙概述。
要求
开始之前:
验证是否已为用户逻辑系统配置安全区域。
验证主管理员是否已在绑定到用户逻辑系统的安全配置文件中分配了应用程序防火墙资源(appfw 规则集和 appfw 规则)。
有关更多信息,请参阅了解逻辑系统安全配置文件(仅限主管理员)。
以用户逻辑系统管理员身份登录逻辑系统。
有关用户逻辑系统管理员角色功能的信息,请参阅 了解用户逻辑系统和用户逻辑系统管理员角色。
概述
在此示例中,您可以在 示例:创建用户逻辑系统、其管理员、用户和互连逻辑系统中所示的 ls-product-design 用户逻辑系统上配置应用程序防火墙服务。
此示例将创建以下应用程序防火墙配置:
规则集,ls-product-design-rs1,带规则 r1 和 r2。匹配 r1 时,将允许通过防火墙的 telnet 流量。匹配 r2 后,将允许 Web 流量通过防火墙。
规则集,ls-product-design-rs2,带规则 r1。匹配 r1 后,防火墙会阻止 Facebook 流量。
所有规则集都需要一个默认规则,用于指定是允许还是拒绝未在规则集的任何规则中指定的流量。默认规则操作(允许或拒绝)必须与为规则集中的其他规则指定的操作相反。
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set security application-firewall rule-sets ls-product-design-rs1 rule r1 match dynamic-application junos:telnet set security application-firewall rule-sets ls-product-design-rs1 rule r1 then permit set security application-firewall rule-sets ls-product-design-rs1 rule r2 match dynamic-application-group junos:web set security application-firewall rule-sets ls-product-design-rs1 rule r2 then permit set security application-firewall rule-sets ls-product-design-rs1 default-rule deny set security application-firewall rule-sets ls-product-design-rs2 rule r1 match dynamic-application junos:facebook set security application-firewall rule-sets ls-product-design-rs2 rule r1 then deny set security application-firewall rule-sets ls-product-design-rs2 default-rule permit
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要为用户逻辑系统配置应用程序防火墙,
以用户逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
为此逻辑系统配置应用程序防火墙规则集。
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1
为此规则集配置一个规则,并指定该规则应匹配的动态应用程序和动态应用程序组。
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1 rule r1 match dynamic-application telnet then permit
配置此规则集的默认规则,并指定在规则集的任何规则中未指定标识的动态应用程序时要执行的操作。
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1 default-rule deny
如果需要,重复这些步骤以配置其他规则集 ls-product-design-rs2。
结果
在配置模式下,输入命令以确认 show security application-firewall rule-set all
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起想,此命令 show
输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit] lsdesignadmin1@host:ls-product-design# show security application-firewall rule-set all ... application-firewall { rule-sets ls-product-design-rs1 { rule r1 { match { dynamic-application [junos:telnet]; } then { permit; } } default-rule { deny; } } rule-sets ls-product-design-rs1 { rule r2 { match { dynamic-application-group [junos:web]; } then { permit; } } rule-sets ls-product-design-rs2 { rule r1 { match { dynamic-application [junos:FACEBOOK]; } then { deny; } } default-rule { permit; } }
完成设备配置后,请从配置模式进入 commit
。
验证
确认配置工作正常。
验证应用程序防火墙配置
目的
查看用户逻辑系统上的应用程序防火墙配置。
行动
在操作模式下,输入 show security application-firewall rule-set all
命令。
lsdesignadmin1@host:ls-product-design> show security application-firewall rule-set all Rule-set: ls-product-design-rs1 Logical system: ls-product-design Rule: r1 Dynamic Applications: junos:telnet Action:permit Number of sessions matched: 10 Default rule:deny Number of sessions matched: 100 Number of sessions with appid pending: 2 Rule-set: ls-product-design-rs1 Logical system: ls-product-design Rule: r2 Dynamic Applications: junos:web Action:permit Number of sessions matched: 20 Default rule:deny Number of sessions matched: 200 Number of sessions with appid pending: 4 Rule-set: ls-product-design-rs2 Logical system: ls-product-design Rule: r1 Dynamic Applications: junos:FACEBOOK Action:deny Number of sessions matched: 40 Default rule:permit Number of sessions matched: 400 Number of sessions with appid pending: 10
示例:为用户逻辑系统配置 AppTrack
此示例说明如何配置 AppTrack 跟踪工具,以便分析网络的带宽使用情况。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
(主管理员)在主逻辑系统中配置系统日志记录。请参阅 网络管理和监控指南。
概述
此示例说明如何在 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中的 ls-product-design-trust 中对安全区域 ls-product-design-trust 启用应用程序跟踪。
第一条消息在会话开始时生成,更新消息每 5 分钟发送一次,或直到会话结束。会话结束时会发送最终消息。
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set security zones security-zone ls-product-design-trust application-tracking set security application-tracking first-update
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要为用户逻辑系统配置 AppTrack,
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
为安全区域启用 AppTrack。
[edit security] lsdesignadmin1@host:ls-product-design# set zones security-zone ls-product-design-trust application-tracking
在会话开始时,每 5 分钟生成一次更新消息。
[edit security] lsdesignadmin1@host:ls-product-design# set application-tracking first-update
结果
在配置模式下,输入命令以确认 show security
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起想,此命令 show
输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit] lsdesignadmin1@host:ls-product-design# show security ... application-tracking { first-update; } ... zones { security-zone ls-product-design-trust { ... application-tracking; } }
完成设备配置后,请从配置模式进入 commit
。
验证
要确认配置工作正常,请执行以下任务:
验证安全流会话统计信息
目的
将已记录消息中的字节和数据包计数与命令输出中的 show security flow session
会话统计信息进行比较。
行动
在操作模式下,输入 show security flow session
命令。
验证应用程序系统缓存统计信息
目的
从 show services application-identification application-system-cache
命令输出中比较应用程序的 IP 地址、端口、协议和服务等缓存统计信息。
行动
在操作模式下,输入 show services application-identification application-system-cache
命令。