Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全策略应用程序和应用程序集

策略应用程序是存在协议标准的流量类型。策略应用程序集是一组策略应用程序。Junos OS 允许您管理少量的策略应用程序集,而不是管理大量单独的策略应用程序条目,从而简化了此过程。

安全策略将策略应用程序集称为数据包启动会话的匹配标准。Junos OS 允许您配置策略应用程序和应用程序集。您可以创建一个包含所有已批准应用程序的应用程序集。

安全策略应用程序概述

应用程序是存在协议标准的流量类型。每个应用程序都有一个与之关联的传输协议和目标端口号,例如用于 FTP 的 TCP/端口 21 和 Telnet 的 TCP/端口 23。创建策略时,必须为其指定应用程序。

您可以从应用程序手册中选择一个预定义的应用程序,或者您创建的自定义应用程序或应用程序集。您可以使用 CLI 命令查看可以在策略 show applications 中使用哪个应用程序。

注意:

每个预定义应用程序的源端口范围 1–65535为 ,其中包括整个有效端口号集。这可以防止潜在攻击者使用范围外的源端口进行访问。如果需要为任何预定义的应用程序使用不同的源端口范围,请创建自定义应用程序。有关信息,请参阅 了解自定义策略应用程序

安全策略应用程序集概述

创建策略时,必须指定应用程序或服务,以便指示该策略适用于该类型的流量。有时,相同的应用程序或其中的一个子集可能存在于多个策略中,因此难以管理。Junos OS 允许您创建称为应用程序集的应用程序组。应用程序集允许您管理少量应用程序集,而不是管理大量单独的应用程序条目,从而简化流程。

应用程序(或应用程序集)被安全策略称为数据包启动会话的匹配标准。如果数据包与策略指定的应用程序类型匹配,而所有其他标准匹配,则策略操作将应用于该数据包。

您可以在策略中指定应用程序集的名称。在这种情况下,如果所有其他标准都匹配,则应用程序集中的任何一个应用程序将用作有效的匹配标准: any 是默认应用程序名称,表示所有可能的应用程序。

应用程序在目录中创建 .../applications/application/application-name 。您无需为系统预定义的任何服务配置应用程序。

除了预定义的服务,您还可以配置自定义服务。创建自定义服务后,您可以在策略中引用它。

示例:配置安全策略应用程序和应用程序集

此示例说明如何配置应用程序和应用程序集。

要求

开始之前,配置所需的应用程序。请参阅 安全策略应用程序集概述

概述

您可以创建应用程序集并引用策略中该集的名称,而不是为策略创建或添加多个单独的应用程序名称。例如,对于一组员工,您可以创建一个包含所有已批准应用程序的应用程序集。

在此示例中,您将创建一个应用程序集,用于登录 ABC(内部网)区域中的服务器、访问数据库和传输文件。

  • 在配置的应用程序集中定义应用程序。

  • A 区的管理者和 B 区的经理人会使用这些服务。因此,请为应用程序集指定一个通用名称,如 MgrAppSet。

  • 为外部区域中的两个服务器交付的电子邮件和基于 Web 的应用程序创建应用程序集。

拓扑

配置

程序

逐步过程

要配置应用程序和应用程序集:

  1. 为管理器创建应用程序集。

  2. 为电子邮件和基于 Web 的应用程序创建另一个应用程序集。

  3. 完成设备配置后,提交配置。

验证

要验证配置是否工作正常,请在 show applications 配置模式下输入命令。

了解策略应用程序超时配置和查找

为应用程序设置的应用程序超时值决定了会话超时。您可以为预定义或自定义应用程序设置超时阈值;您可以使用应用程序默认超时,指定自定义超时,或者根本不使用超时。

应用程序超时值存储在基于根 TCP 和 UDP 端口的超时表中,以及基于协议的默认超时表中。设置应用程序超时值时,Junos OS 会使用这些新值更新这些表。应用程序条目数据库中也有默认的超时值,这些超时值来自预定义的应用程序。您可以设置超时,但不能更改默认值。

每个自定义应用程序都可以配置为自己的自定义应用程序超时。如果为多个自定义应用程序配置了自定义超时,则每个应用程序都将有各自的自定义应用程序超时。

如果与流量匹配的应用程序有一个超时值,则使用该超时值。否则,查找将按以下顺序进行,直到找到应用程序超时值:

  1. 搜索基于根 TCP 和 UDP 端口的超时表以查找超时值。

  2. 搜索基于协议的默认超时表以查找超时值。请参阅 表 1

    表 1:基于协议的默认超时

    协议

    默认超时(秒)

    Tcp

    1800

    Udp

    60

    Icmp

    60

    Ospf

    60

    其他

    1800

了解策略应用程序超时的突发情况

设置超时时,请注意以下突发情况:

  • 如果一个应用程序包含多个应用程序规则条目,则所有规则条目共享相同的超时。您只需定义一次应用程序超时。例如,如果创建具有两个规则的应用程序,以下命令会将这两条规则的超时设置为 20 秒:

  • 如果为多个自定义应用程序配置了自定义超时,则每个应用程序都将有各自的自定义应用程序超时。例如:

    使用此配置,Junos OS 对应用程序组中的目标端口 2121 应用 10 秒超时,对目标端口 2300 应用 20 秒超时。

示例:设置策略应用程序超时

此示例说明如何设置策略应用程序超时值。

要求

开始之前,了解策略应用程序超时。请参阅 了解策略应用程序超时配置和查找

概述

应用程序超时值存储在应用程序条目数据库中,以及相应的基于 vsys TCP 和 UDP 端口的超时表中。在此示例中,您将 FTP 预定义的应用程序的策略应用程序超时设备设置为 75 分钟(4500 秒)。

设置应用程序超时值时,Junos OS 会使用这些新值更新这些表。

配置

程序

逐步过程

要设置策略应用程序超时:

  1. 设置不活动超时值。

  2. 完成设备配置后提交配置。

验证

要验证配置是否工作正常,请输入 show applications 命令。