安全性策略应用程序和应用程序集
策略应用是存在协议标准的流量类型。策略应用程序集是一组策略应用程序。Junos OS 允许您管理少量策略应用集,而不是管理大量单个策略应用条目,从而简化了流程。
安全策略将策略、应用或应用集称为发起会话的数据包的匹配标准。Junos OS 允许您配置策略应用和应用集。您可以创建包含所有已批准应用程序的应用程序集。
安全性策略应用概述
应用是存在协议标准的流量类型。每个应用都有一个与之关联的传输协议和目标端口号,例如,FTP 为 TCP/端口 21,Telnet 为 TCP/端口 23。创建策略时,必须为其指定应用程序。
您可以从应用程序手册中选择一个预定义的应用程序,也可以选择您创建的自定义应用程序或应用程序集。您可以使用 CLI 命令查看可在策略 show applications 中使用的应用程序。
每个预定义应用程序的源端口范围 1–65535均为 ,其中包括整组有效端口号。这可以防止潜在的攻击者通过使用范围之外的源端口进行访问。如果您需要为任何预定义的应用程序使用不同的源端口范围,请创建自定义应用程序。有关信息,请参阅 了解自定义策略应用程序。
也可以看看
安全性策略应用集概述
创建策略时,必须指定应用或服务,以便其指示策略适用于该类型的流量。有时,多个策略中可能存在相同的应用或应用的子集,因而难以管理。Junos OS 允许您创建称为应用集的应用组。应用程序集允许您管理少量应用程序集,而不是大量单个应用程序条目,从而简化了流程。
安全策略将应用(或应用集)称为发起会话的数据包的匹配标准。如果数据包与策略指定的应用类型匹配,并且所有其他条件都匹配,则将策略操作应用于数据包。
您可以在策略中指定应用程序集的名称。在这种情况下,如果所有其他条件都匹配,那么应用程序集中的任何一个应用程序都将用作有效的匹配标准; any 是指示所有可能应用程序的默认应用程序名称。
在目录中 .../applications/application/application-name 创建应用程序。无需为系统预定义的任何服务配置应用程序。
从版本 25.4 开始,不再支持将应用程序集与“任何”应用程序选项组合在一起的配置。
示例:
[edit]
user@host# set applications application-set <application-set-name> application any
user@host# set applications application-set <application-set-name> application <application-name>
如果您的设备当前使用此配置,建议您在升级到 Junos OS 25.4 或更高版本之前查看并更新应用集。提前进行这些调整可确保升级过程顺利进行,并防止任何意外的服务行为。
除了预定义的服务外,您还可以配置自定义服务。创建自定义服务后,可以在策略中引用它。
示例:配置安全性策略应用程序和应用程序集
此示例说明如何配置应用程序和应用程序集。
要求
开始之前,配置所需的应用程序。请参阅 安全性策略应用程序集概述。
概述
您可以创建一个应用程序集并在策略中引用该集的名称,而不是在策略中创建多个单独的应用程序名称或将其添加到策略中。例如,对于一组员工,您可以创建一个包含所有已批准应用程序的应用程序集。
在此示例中,您将创建一个应用程序集,用于登录到 ABC(Intranet)区域中的服务器、访问数据库和传输文件。
在配置的应用程序集中定义应用程序。
区域 A 的经理和区域 B 的经理使用这些服务。因此,请为应用程序集指定一个通用名称,例如 MgrAppSet。
为用于外部区域中的两台服务器传递的电子邮件和基于 Web 的应用程序创建应用程序集。
拓扑结构
配置
过程
分步程序
要配置应用程序和应用程序集:
为管理器创建应用程序集。
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
为电子邮件和基于 Web 的应用程序创建另一个应用程序集。
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请在配置模式中输入命令 show applications 。
了解策略、应用超时、配置和查找
您为应用程序设置的应用程序超时值决定了会话超时。您可以为预定义或自定义应用程序设置超时阈值;您可以使用应用程序默认超时、指定自定义超时或根本不使用超时。
应用超时值存储在基于根 TCP 和 UDP 端口的超时表以及基于协议的默认超时表中。设置应用程序超时值时,Junos OS 会使用新值更新这些表。应用程序条目数据库中也有缺省超时值,这些值取自预定义的应用程序。您可以设置超时,但不能更改默认值。
每个自定义应用程序都可以配置自己的自定义应用程序超时。如果多个自定义应用程序配置了自定义超时,则每个应用程序都有自己的自定义应用程序超时。
如果与流量匹配的应用程序具有超时值,则使用该超时值。否则,查找将按以下顺序进行,直到找到应用程序超时值:
在基于根 TCP 和 UDP 端口的超时表中搜索超时值。
在基于协议的默认超时表中搜索超时值。见 表 1.
表 1:基于协议的默认超时 协议
默认超时(秒)
TCP
1800
UDP
60
ICMP
60
OSPF
60
其他
1800
了解策略应用超时或有事件
设置超时时,请注意以下意外情况:
如果应用程序包含多个应用程序规则条目,则所有规则条目共享相同的超时。只需定义一次应用程序超时。例如,如果您创建一个包含两个规则的应用程序,则以下命令会将两个规则的超时设置为 20 秒:
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
如果多个自定义应用程序配置了自定义超时,则每个应用程序都有自己的自定义应用程序超时。例如:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
使用此配置时,Junos OS 将为应用程序组中的目标端口 2121 应用 10 秒超时,并为目标端口 2300 应用 20 秒超时。
示例:设置策略应用程序超时
此示例说明如何设置策略应用程序超时值。
要求
开始之前,请先了解策略应用超时。请参阅 了解策略应用程序超时配置和查找。
概述
应用程序超时值存储在应用程序条目数据库以及相应的基于 vsys TCP 和 UDP 端口的超时表中。在此示例中,您将 FTP 预定义应用程序的策略应用超时设备设置为 75 分钟(4500 秒)。
设置应用程序超时值时,Junos OS 会使用新值更新这些表。
配置
过程
分步程序
要设置策略应用程序超时:
设置非活动超时值。
[edit applications application ftp] user@host# set inactivity-timeout 4500
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show applications 命令。