安全策略应用程序和应用程序集
策略应用程序是存在协议标准的流量类型。策略应用程序集是一组策略应用程序。Junos OS 允许您管理少量策略应用程序集,而不是管理大量单个策略应用程序条目,从而简化了该过程。
策略应用程序或应用程序集被安全策略称为启动会话的数据包的匹配标准。Junos OS 允许您配置策略应用程序和应用程序集。您可以创建包含所有已批准应用程序的应用程序集。
安全策略应用程序概述
应用程序是存在协议标准的流量类型。每个应用程序都有一个与之关联的传输协议和目标端口号,例如 FTP 的 TCP/端口 21 和 Telnet 的 TCP/端口 23。创建策略时,必须为其指定应用程序。
您可以从应用程序手册中选择一个预定义的应用程序,也可以选择您创建的自定义应用程序或应用程序集。您可以使用 CLI 命令查看 show applications 可以在策略中使用的应用程序。
每个预定义应用程序的源端口范围 1–65535为 ,其中包括整组有效端口号。这可以防止潜在攻击者使用范围之外的源端口获得访问权限。如果需要对任何预定义应用程序使用不同的源端口范围,请创建自定义应用程序。有关信息,请参阅 了解自定义策略应用程序。
参见
安全策略应用程序集概述
创建策略时,必须指定应用程序或服务,以指示策略适用于该类型的流量。有时,相同的应用程序或其子集可能存在于多个策略中,因此难以管理。Junos OS 允许您创建称为应用程序集的应用程序组。应用程序集允许您管理少量应用程序集,而不是大量单个应用程序条目,从而简化了该过程。
应用程序(或应用程序集)被安全策略称为启动会话的数据包的匹配标准。如果数据包与策略指定的应用程序类型匹配,并且所有其他条件匹配,则策略操作将应用于数据包。
您可以在策略中指定应用程序集的名称。在这种情况下,如果所有其他条件都匹配,则应用程序集中的任何一个应用程序都将用作有效的匹配条件; any 是指示所有可能的应用程序的默认应用程序名称。
应用程序在目录中创建 .../applications/application/application-name 。您无需为系统预定义的任何服务配置应用程序。
除了预定义服务之外,您还可以配置自定义服务。创建自定义服务后,您可以在策略中引用该服务。
示例:配置安全策略应用程序和应用程序集
此示例说明如何配置应用程序和应用程序集。
要求
在开始之前,请配置所需的应用程序。请参阅 安全策略应用程序集概述。
概述
您可以创建一个应用程序集并在策略中引用该集的名称,而不是创建或向策略添加多个单独的应用程序名称。例如,对于一组员工,可以创建包含所有已批准应用程序的应用程序集。
在此示例中,您将创建一个应用程序集,该应用程序集用于登录到 ABC(内部网)区域中的服务器、访问数据库和传输文件。
在配置的应用程序集中定义应用程序。
区域 A 中的经理和区域 B 中的经理使用这些服务。因此,请为应用程序集指定一个通用名称,如 MgrAppSet。
为用于由外部区域中的两台服务器传递的电子邮件和基于 Web 的应用程序创建应用程序集。
拓扑
配置
程序
分步过程
要配置应用程序和应用程序集,请执行以下操作:
为管理器创建应用程序集。
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
为电子邮件和基于 Web 的应用程序创建另一个应用程序集。
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请在配置模式下输入 show applications 命令。
了解策略应用程序超时配置和查找
为应用程序设置的应用程序超时值决定了会话超时。您可以为预定义或自定义应用程序设置超时阈值;您可以使用应用程序默认超时、指定自定义超时或根本不使用超时。
应用程序超时值存储在根 TCP 和 UDP 基于端口的超时表以及基于协议的默认超时表中。设置应用程序超时值时,Junos OS 会使用新值更新这些表。应用程序条目数据库中也有默认超时值,这些值取自预定义的应用程序。您可以设置超时,但不能更改默认值。
每个自定义应用程序都可以配置其自己的自定义应用程序超时。如果为多个自定义应用程序配置了自定义超时,则每个应用程序将具有自己的自定义应用程序超时。
如果与流量匹配的应用程序具有超时值,则使用该超时值。否则,查找将按以下顺序继续,直到找到应用程序超时值:
在基于 TCP 和 UDP 端口的根超时表中搜索超时值。
将搜索基于协议的默认超时表以获取超时值。参见 表1。
表 1:基于协议的默认超时 协议
默认超时(秒)
Tcp
1800
Udp
60
Icmp
60
Ospf
60
其他
1800
了解策略应用程序超时意外情况
设置超时时,请注意以下意外情况:
如果应用程序包含多个应用程序规则条目,则所有规则条目共享相同的超时。只需定义一次应用程序超时。例如,如果使用两个规则创建应用程序,则以下命令会将两个规则的超时设置为 20 秒:
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
如果为多个自定义应用程序配置了自定义超时,则每个应用程序将具有自己的自定义应用程序超时。例如:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
使用此配置,Junos OS 将对应用程序组中的目标端口 2121 应用 10 秒超时,对目标端口 2300 应用 20 秒超时。
示例:设置策略应用程序超时
此示例说明如何设置策略应用程序超时值。
要求
在开始之前,请了解策略应用程序超时。请参阅 了解策略应用程序超时配置和查找。
概述
应用程序超时值存储在应用程序入口数据库中以及相应的 vsys TCP 和 UDP 基于端口的超时表中。在此示例中,您将 FTP 预定义应用程序的策略应用程序超时设备设置为 75 分钟(4500 秒)。
设置应用程序超时值时,Junos OS 会使用新值更新这些表。
配置
程序
分步过程
要设置策略应用程序超时,请执行以下操作:
设置非活动超时值。
[edit applications application ftp] user@host# set inactivity-timeout 4500
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show applications 命令。