逻辑系统中的应用安全性
逻辑系统中的应用安全性可以识别遍历网络的应用流量,而不论使用何种端口、协议和加密,都可以从此提高网络流量控制的可见性。应用安全根据准确的应用信息设置和实施安全策略,从而控制网络流量。有关更多信息,请参阅以下主题:
了解逻辑系统 应用识别服务
预定义和自定义应用签名通过匹配会话前几个数据包中的模式来识别应用。识别应用具有以下优势:
允许入侵检测和防御 (IDP) 对运行在非标准端口上的应用应用相应的攻击对象。
通过缩小没有解码器的应用程序的攻击签名范围来提高性能。
允许您使用 AppTrack 在通过设备的应用程序上创建详细报告。
对于逻辑系统,预定义和自定义应用签名是所有逻辑系统共享的全局资源。主管理员负责下载和安装预定义的瞻博网络应用签名,并创建自定义应用和嵌套应用签名,以识别不属于预定义数据库的应用。
默认情况下,应用识别处于启用状态。
应用系统缓存 (ASC) 保存应用类型与相应目标 IP 地址、目标端口、协议类型和服务之间的映射。每个用户逻辑系统都有自己的 ASC。用户逻辑系统管理员可以使用命令 show services application-identification application-system-cache 显示其逻辑系统的 ASC 条目。用户逻辑系统管理员可以使用该 clear services application-identification application-system-cache 命令清除其逻辑系统的 ASC 条目。
从 Junos OS 18.2R1 版开始,ASC 的默认行为更改如下:
默认情况下,包括安全策略、应用防火墙 (AppFW)、应用跟踪 (AppTrack)、应用服务质量 (AppQoS) 瞻博网络 ATP 云、IDP和内容安全性在内的安全性服务不使用 ASC。
默认情况下,包括基于高级策略的路由 (APBR) 在内的其他服务都使用 ASC 进行应用识别。
有关详细信息,请参阅 为应用程序服务启用或禁用应用程序系统缓存。
主管理员可以显示或清除任何逻辑系统的 ASC 条目。主管理员还可以使用 和 clear services application-identification counter 命令show services application-identification counter显示或清除全局计数器。
应用程序签名包安装在全局级别,由所有用户逻辑系统共享。主逻辑系统管理员可以安装或卸载应用程序签名包。
从 Junos OS 18.3R1 版开始,对逻辑系统的应用识别 (AppID) 支持包括两个用于查看和清除逻辑系统统计信息和逻辑系统计数器统计信息的新选项。
主逻辑系统管理员可以显示或清除所有逻辑系统的统计信息,而用户逻辑系统的管理员可以显示或清除其自身逻辑系统的统计信息。
用户逻辑系统管理员可以查看AppID签名包的状态和版本。可以在使用逻辑系统安全策略中配置由主逻辑系统管理员配置的自定义签名。
您可以使用命令 show services application-identification status show services application-identification version和 查看有关 AppID 签名包状态和版本的状态和版本信息。
也可以看看
了解逻辑系统应用防火墙服务
应用防火墙使逻辑系统的管理员能够根据应用签名定义的应用标识为流量创建安全策略。应用防火墙提供额外的安全保护,可防止标准网络防火墙策略可能无法充分控制的动态应用流量防火墙策略。应用防火墙通过允许或阻止来自特定应用的流量来控制信息传输。
要配置应用防火墙,请定义一个规则集,其中包含指定要对已识别的动态应用执行的作的规则。规则集独立配置并分配给安全策略。每个规则集至少包含两个规则,一个匹配规则(由匹配标准和作组成)和一个默认规则。
匹配规则定义对匹配流量要执行的作。当流量与规则中指定的应用和其他条件匹配时,将根据规则中指定的作允许或阻止流量。
当流量与规则集中的任何其他规则不匹配时,将应用默认规则。
主管理员可以从瞻博网络安全性工程网站下载预定义的应用签名数据库,也可以使用 Junos OS 配置 CLI 定义应用签名。有关应用程序识别和应用程序签名的更多信息,请参阅 安全性 设备应用程序安全性用户指南。
在逻辑系统上配置应用防火墙的过程与在未配置逻辑系统的设备上配置应用防火墙的过程相同。但是,应用防火墙仅适用于为其配置的逻辑系统。主管理员可以在主逻辑系统和设备上的所有用户逻辑系统上配置、启用和监控应用防火墙。用户逻辑系统管理员只能在其有权访问的用户逻辑系统上配置、启用和监控应用防火墙。
也可以看看
示例:为主逻辑系统配置应用防火墙服务
此示例介绍如何由主管理员在主逻辑系统或根逻辑系统上配置应用防火墙服务。除了所有用户逻辑系统,只有主管理员可以配置、管理和查看主逻辑系统的配置。
配置应用防火墙规则集和规则后,主管理员可将应用防火墙规则集信息添加到主逻辑系统上的安全策略中。
有关在安全策略中配置应用防火墙的信息,请参阅 应用程序防火墙概述。
要求
开始之前:
验证是否已在主逻辑系统上配置所有接口、路由实例和安全区域。
请参阅 示例:为主逻辑系统配置安全性功能。
验证是否已在安全配置文件中分配应用防火墙资源(appfw-rule-set 和 appfw-rule),并通过 [
system security-profile] 命令绑定到主逻辑系统。对于应用防火墙资源,安全配置文件配置允许 0 到 10,000 个规则集和 0 到 10,000 个规则。注意:主管理员通过安全配置文件配置分配各种全局系统资源,然后将这些资源绑定到设备上的各个逻辑系统。主管理员拥有此功能,并为所有用户逻辑系统以及主逻辑系统配置安全配置文件。
有关更多信息,请参阅了解逻辑系统安全性配置文件(仅限主管理员)。
以主管理员身份登录到主逻辑系统。
有关主管理员角色功能的信息,请参阅 了解主逻辑系统和主管理员角色。
概述
在此示例中,您可以在名为 root-logical-system 的主逻辑系统上创建应用防火墙服务,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
此示例创建以下应用防火墙配置:
规则集 root-rs1,带有规则 r1 和 r2。当 r1 匹配时,允许 telnet 流量通过防火墙。当 r2 匹配时,允许 Web 流量通过防火墙。
规则集 root-rs2,带有规则 r1。当 r1 匹配时,防火墙会阻止 example2 流量。
所有规则集都需要一个默认规则,该规则指定是允许还是拒绝规则集的任何规则中未指定的流量。默认规则作(允许或拒绝)必须与为规则集中的其他规则指定的作相反。
拓扑结构
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r1 match dynamic-application junos:telnet set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r1 then permit set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r2 match dynamic-application-group junos:web set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r2 then permit set logical-systems root-logical-system security application-firewall rule-sets root-rs1 default-rule deny set logical-systems root-logical-system security application-firewall rule-sets root-rs2 rule r1 match dynamic-application junos:facebook set logical-systems root-logical-system security application-firewall rule-sets root-rs2 rule r1 then deny set logical-systems root-logical-system security application-firewall rule-sets root-rs2 default-rule permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要为主逻辑系统配置应用防火墙:
以主管理员身份登录到主逻辑系统。请参阅 示例:为逻辑系统配置 root 密码并 进入配置模式。
admin@host> configure admin@host#
为 root-logical-system 配置应用防火墙规则集。
[edit ] admin@host# set logical-systems security application-firewall rule-sets root-rs1
为此规则集配置规则,并指定该规则应匹配的动态应用程序和动态应用程序组。
[edit] admin@host# set logical-systems security application-firewall rule-sets root-rs1 rule r1 match dynamic-application telnet then permit
配置此规则集的默认规则,并指定在规则集的任何规则中未指定已识别的动态应用程序时要执行的作。
[edit] admin@host# set logical-systems security application-firewall rule-sets root-rs1 default-rule deny
如果需要,重复这些步骤以配置另一个规则集 root-rs2。
结果
在配置模式下,输入 show security application-firewall rule-sets 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
admin@host# show security application-firewall rule-sets all
...
application-firewall {
rule-sets root-rs1 {
rule r1 {
match {
dynamic-application [junos:telnet];
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets root-rs1 {
rule r2 {
match {
dynamic-application-group [junos:web];
}
then {
permit;
}
}
rule-sets root-rs2 {
rule r1 {
match {
dynamic-application [junos:FACEBOOK];
}
then {
deny;
}
}
default-rule {
permit;
}
}
如果完成设备配置,请从配置模式进入。commit
验证
确认配置工作正常。
验证应用防火墙配置
目的
查看主逻辑系统上的应用防火墙配置。
行动
在作模式下,输入命令 show security application-firewall rule-set logical-system root-logical-system rule-set all 。
admin@host> show security application-firewall rule-set logical-system root-logical-system rule-set all
Rule-set: root-rs1
Logical system: root-logical-system
Rule: r1
Dynamic Applications: junos:telnet
Action:permit
Number of sessions matched: 10
Default rule:deny
Number of sessions matched: 100
Number of sessions with appid pending: 2
Rule-set: root-rs1
Logical system: root-logical-system
Rule: r2
Dynamic Applications: junos:web
Action:permit
Number of sessions matched: 20
Default rule:deny
Number of sessions matched: 200
Number of sessions with appid pending: 4
Rule-set: root-rs2
Logical system: root-logical-system
Rule: r1
Dynamic Applications: junos:FACEBOOK
Action:deny
Number of sessions matched: 40
Default rule:permit
Number of sessions matched: 400
Number of sessions with appid pending: 10
了解逻辑系统应用跟踪服务
AppTrack 是一款应用跟踪工具,可提供用于分析网络带宽使用情况的统计数据。启用后,AppTrack 将收集指定区域中应用流的字节、数据包和持续时间统计数据。默认情况下,当每个会话关闭时,AppTrack 都会生成一条消息,提供会话的字节数、数据包计数和持续时间,并将其发送至主机设备。安全性威胁响应管理器 (STRM) 检索数据并提供基于流的应用可见性。
AppTrack 可以在任何逻辑系统中启用和配置。在逻辑系统中配置 AppTrack 与在未针对逻辑系统配置的设备上配置 AppTrack 相同。AppTrack 配置仅适用于配置它的逻辑系统。逻辑系统的名称将添加到 AppTrack 日志中。主管理员可以为任何逻辑系统配置 AppTrack,而用户逻辑系统管理员只能为他们登录的逻辑系统配置 AppTrack。
系统日志配置在设备上是全局的,必须由主管理员配置。用户逻辑系统管理员无法为逻辑系统配置系统日志记录。
计数器跟踪已发送的日志消息数和失败的日志数。AppTrack 计数器对设备是全局的。主管理员和用户逻辑系统管理员可以使用命令 show security application-tracking counters 查看 AppTrack 计数器。
也可以看看
示例:为用户逻辑系统配置应用防火墙服务
此示例介绍如何由用户逻辑系统管理员在用户逻辑系统上配置应用防火墙服务。用户逻辑系统管理员可以管理和监控自己的系统应用防火墙规则集和规则,并管理各自逻辑系统上允许或阻止的动态应用。
配置应用防火墙规则集和规则后,用户逻辑系统管理员可将应用防火墙规则集信息添加到其各自逻辑系统上的安全策略中。
有关在安全策略中配置应用防火墙的信息,请参阅 应用程序防火墙概述。
要求
开始之前:
验证是否已为用户逻辑系统配置安全区域。
验证主管理员是否已在绑定到用户逻辑系统的安全配置文件中分配应用防火墙资源(appfw-rule-set 和 appfw-rule)。
有关更多信息,请参阅了解逻辑系统安全性配置文件(仅限主管理员)。
以用户逻辑系统管理员身份登录到逻辑系统。
有关用户逻辑系统管理员角色功能的信息,请参阅 了解用户逻辑系统和用户逻辑系统管理员角色。
概述
在此示例中,您将在 ls-product-design 用户逻辑系统上配置应用防火墙服务,如示例所示: 创建用户逻辑系统、其管理员、用户和互连逻辑系统。
此示例创建以下应用防火墙配置:
规则集 ls-product-design-rs1,带有规则 r1 和 r2。当 r1 匹配时,允许 telnet 流量通过防火墙。当 r2 匹配时,允许 Web 流量通过防火墙。
规则集 ls-product-design-rs2,带有规则 r1。当 r1 匹配时,Facebook 流量将被防火墙阻止。
所有规则集都需要一个默认规则,该规则指定是允许还是拒绝规则集的任何规则中未指定的流量。默认规则作(允许或拒绝)必须与为规则集中的其他规则指定的作相反。
拓扑结构
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security application-firewall rule-sets ls-product-design-rs1 rule r1 match dynamic-application junos:telnet set security application-firewall rule-sets ls-product-design-rs1 rule r1 then permit set security application-firewall rule-sets ls-product-design-rs1 rule r2 match dynamic-application-group junos:web set security application-firewall rule-sets ls-product-design-rs1 rule r2 then permit set security application-firewall rule-sets ls-product-design-rs1 default-rule deny set security application-firewall rule-sets ls-product-design-rs2 rule r1 match dynamic-application junos:facebook set security application-firewall rule-sets ls-product-design-rs2 rule r1 then deny set security application-firewall rule-sets ls-product-design-rs2 default-rule permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要为用户逻辑系统配置应用防火墙:
以用户逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
为此逻辑系统配置应用防火墙规则集。
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1
为此规则集配置规则,并指定该规则应匹配的动态应用程序和动态应用程序组。
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1 rule r1 match dynamic-application telnet then permit
配置此规则集的默认规则,并指定在规则集的任何规则中未指定已识别的动态应用程序时要执行的作。
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1 default-rule deny
如果需要,重复这些步骤以配置另一个规则集 ls-product-design-rs2。
结果
在配置模式下,输入 show security application-firewall rule-set all 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
lsdesignadmin1@host:ls-product-design# show security application-firewall rule-set all
...
application-firewall {
rule-sets ls-product-design-rs1 {
rule r1 {
match {
dynamic-application [junos:telnet];
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets ls-product-design-rs1 {
rule r2 {
match {
dynamic-application-group [junos:web];
}
then {
permit;
}
}
rule-sets ls-product-design-rs2 {
rule r1 {
match {
dynamic-application [junos:FACEBOOK];
}
then {
deny;
}
}
default-rule {
permit;
}
}
如果完成设备配置,请从配置模式进入。commit
验证
确认配置工作正常。
验证应用防火墙配置
目的
查看用户逻辑系统上的应用防火墙配置。
行动
在作模式下,输入命令 show security application-firewall rule-set all 。
lsdesignadmin1@host:ls-product-design> show security application-firewall rule-set all
Rule-set: ls-product-design-rs1
Logical system: ls-product-design
Rule: r1
Dynamic Applications: junos:telnet
Action:permit
Number of sessions matched: 10
Default rule:deny
Number of sessions matched: 100
Number of sessions with appid pending: 2
Rule-set: ls-product-design-rs1
Logical system: ls-product-design
Rule: r2
Dynamic Applications: junos:web
Action:permit
Number of sessions matched: 20
Default rule:deny
Number of sessions matched: 200
Number of sessions with appid pending: 4
Rule-set: ls-product-design-rs2
Logical system: ls-product-design
Rule: r1
Dynamic Applications: junos:FACEBOOK
Action:deny
Number of sessions matched: 40
Default rule:permit
Number of sessions matched: 400
Number of sessions with appid pending: 10
示例:为用户逻辑系统配置 AppTrack
此示例说明如何配置 AppTrack 跟踪工具,以便您可以分析网络的带宽使用情况。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
(主管理员)在主逻辑系统中配置系统日志记录。请参阅 网络管理和监控指南。
概述
此示例说明如何在 ls-product-design 用户逻辑系统中为安全区域 ls-product-design-trust 启用应用程序跟踪,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
第一条消息在会话开始时生成,此后每 5 分钟发送一次更新消息,直到会话结束。在会话结束时发送最后一条消息。
拓扑结构
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security zones security-zone ls-product-design-trust application-tracking set security application-tracking first-update
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要为用户逻辑系统配置 AppTrack:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
为安全区域启用 AppTrack。
[edit security] lsdesignadmin1@host:ls-product-design# set zones security-zone ls-product-design-trust application-tracking
在会话开始时以 5 分钟的间隔生成更新消息。
[edit security] lsdesignadmin1@host:ls-product-design# set application-tracking first-update
结果
在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
lsdesignadmin1@host:ls-product-design# show security
...
application-tracking {
first-update;
}
...
zones {
security-zone ls-product-design-trust {
...
application-tracking;
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证安全性流会话统计信息
目的
将记录消息中的字节数和数据包计数与命令输出中的 show security flow session 会话统计信息进行比较。
行动
在作模式下,输入命令 show security flow session 。
验证应用程序系统缓存统计信息
目的
从命令输出中 show services application-identification application-system-cache 比较应用程序的缓存统计信息,例如 IP 地址、端口、协议和服务。
行动
在作模式下,输入命令 show services application-identification application-system-cache 。