安全策略应用程序和应用程序集
策略应用程序是存在协议标准的流量类型。策略应用程序集是一组策略应用程序。Junos OS 允许您管理少量的策略应用程序集,而不是管理大量单独的策略应用程序条目,从而简化了此过程。
安全策略将策略应用程序集称为数据包启动会话的匹配标准。Junos OS 允许您配置策略应用程序和应用程序集。您可以创建一个包含所有已批准应用程序的应用程序集。
安全策略应用程序概述
应用程序是存在协议标准的流量类型。每个应用程序都有一个与之关联的传输协议和目标端口号,例如用于 FTP 的 TCP/端口 21 和 Telnet 的 TCP/端口 23。创建策略时,必须为其指定应用程序。
您可以从应用程序手册中选择一个预定义的应用程序,或者您创建的自定义应用程序或应用程序集。您可以使用 CLI 命令查看可以在策略 show applications
中使用哪个应用程序。
每个预定义应用程序的源端口范围 1–65535
为 ,其中包括整个有效端口号集。这可以防止潜在攻击者使用范围外的源端口进行访问。如果需要为任何预定义的应用程序使用不同的源端口范围,请创建自定义应用程序。有关信息,请参阅 了解自定义策略应用程序。
另请参阅
安全策略应用程序集概述
创建策略时,必须指定应用程序或服务,以便指示该策略适用于该类型的流量。有时,相同的应用程序或其中的一个子集可能存在于多个策略中,因此难以管理。Junos OS 允许您创建称为应用程序集的应用程序组。应用程序集允许您管理少量应用程序集,而不是管理大量单独的应用程序条目,从而简化流程。
应用程序(或应用程序集)被安全策略称为数据包启动会话的匹配标准。如果数据包与策略指定的应用程序类型匹配,而所有其他标准匹配,则策略操作将应用于该数据包。
您可以在策略中指定应用程序集的名称。在这种情况下,如果所有其他标准都匹配,则应用程序集中的任何一个应用程序将用作有效的匹配标准: any
是默认应用程序名称,表示所有可能的应用程序。
应用程序在目录中创建 .../applications/application/application-name
。您无需为系统预定义的任何服务配置应用程序。
除了预定义的服务,您还可以配置自定义服务。创建自定义服务后,您可以在策略中引用它。
示例:配置安全策略应用程序和应用程序集
此示例说明如何配置应用程序和应用程序集。
要求
开始之前,配置所需的应用程序。请参阅 安全策略应用程序集概述。
概述
您可以创建应用程序集并引用策略中该集的名称,而不是为策略创建或添加多个单独的应用程序名称。例如,对于一组员工,您可以创建一个包含所有已批准应用程序的应用程序集。
在此示例中,您将创建一个应用程序集,用于登录 ABC(内部网)区域中的服务器、访问数据库和传输文件。
在配置的应用程序集中定义应用程序。
A 区的管理者和 B 区的经理人会使用这些服务。因此,请为应用程序集指定一个通用名称,如 MgrAppSet。
为外部区域中的两个服务器交付的电子邮件和基于 Web 的应用程序创建应用程序集。
拓扑
配置
程序
逐步过程
要配置应用程序和应用程序集:
为管理器创建应用程序集。
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
为电子邮件和基于 Web 的应用程序创建另一个应用程序集。
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
完成设备配置后,提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请在 show applications
配置模式下输入命令。
了解策略应用程序超时配置和查找
为应用程序设置的应用程序超时值决定了会话超时。您可以为预定义或自定义应用程序设置超时阈值;您可以使用应用程序默认超时,指定自定义超时,或者根本不使用超时。
应用程序超时值存储在基于根 TCP 和 UDP 端口的超时表中,以及基于协议的默认超时表中。设置应用程序超时值时,Junos OS 会使用这些新值更新这些表。应用程序条目数据库中也有默认的超时值,这些超时值来自预定义的应用程序。您可以设置超时,但不能更改默认值。
每个自定义应用程序都可以配置为自己的自定义应用程序超时。如果为多个自定义应用程序配置了自定义超时,则每个应用程序都将有各自的自定义应用程序超时。
如果与流量匹配的应用程序有一个超时值,则使用该超时值。否则,查找将按以下顺序进行,直到找到应用程序超时值:
搜索基于根 TCP 和 UDP 端口的超时表以查找超时值。
搜索基于协议的默认超时表以查找超时值。请参阅 表 1。
表 1:基于协议的默认超时 协议
默认超时(秒)
Tcp
1800
Udp
60
Icmp
60
Ospf
60
其他
1800
了解策略应用程序超时的突发情况
设置超时时,请注意以下突发情况:
如果一个应用程序包含多个应用程序规则条目,则所有规则条目共享相同的超时。您只需定义一次应用程序超时。例如,如果创建具有两个规则的应用程序,以下命令会将这两条规则的超时设置为 20 秒:
user@host# set applications application test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
如果为多个自定义应用程序配置了自定义超时,则每个应用程序都将有各自的自定义应用程序超时。例如:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
使用此配置,Junos OS 对应用程序组中的目标端口 2121 应用 10 秒超时,对目标端口 2300 应用 20 秒超时。
示例:设置策略应用程序超时
此示例说明如何设置策略应用程序超时值。
要求
开始之前,了解策略应用程序超时。请参阅 了解策略应用程序超时配置和查找。
概述
应用程序超时值存储在应用程序条目数据库中,以及相应的基于 vsys TCP 和 UDP 端口的超时表中。在此示例中,您将 FTP 预定义的应用程序的策略应用程序超时设备设置为 75 分钟(4500 秒)。
设置应用程序超时值时,Junos OS 会使用这些新值更新这些表。
配置
程序
逐步过程
要设置策略应用程序超时:
设置不活动超时值。
[edit applications application ftp] user@host# set inactivity-timeout 4500
完成设备配置后提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show applications
命令。