预定义的策略应用程序
预定义策略允许您选择要允许或拒绝的应用程序。您可以根据网络要求为策略指定预定义的应用程序。
了解微软预定义策略应用程序
创建策略时,可以为策略指定预定义的 Microsoft 应用程序。
表 2 列出了预定义的 Microsoft 应用程序、与每个应用程序关联的参数以及每个应用程序的简要说明。参数包括通用唯一标识符 (UUID) 以及 TCP/UDP 源端口和目标端口。UUID 是从硬件地址、时间戳和种子值生成的 128 位唯一编号。
应用 |
参数/UUID |
描述 |
|---|---|---|
Junos MS-RPC-EPM |
135 E1AF8308-5D1F-11C9-91A4-08002B14A0FA |
Microsoft 远程过程调用 (RPC) 终结点映射器 (EPM) 协议。 |
Junos MS-RPC |
— |
任何 Microsoft 远程过程调用 (RPC) 应用程序。 |
Junos MS-RPC-MSEXCHANGE |
3 成员 |
Microsoft Exchange 应用程序组包括:
|
Junos-MS-RPC-MSEXCHANGE-DATABASE |
1a190310-bb9c-11cd-90f8-00aa00466520 |
Microsoft Exchange 数据库应用程序。 |
Junos-MS-RPC-MSEXCHANGE-DIRECTORY |
传真5CC5A18-4264-101A-8C59-08002B2F8426 f5cc5a7c-4264-101a-8c59-08002b2f8426 F5cc59B4-4264-101A-8C59-08002B2F8426 |
Microsoft Exchange Directory 应用程序。 |
Junos-MS-RPC-MSEXCHANGE-INFO-STORE |
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde 1453C42C-0FA6-11D2-A910-00C04F990F3B 10F24E8E-0FA6-11D2-A910-00C04F990F3B 1544f5e0-613c-11d1-93df-00c04fd7bd09 |
Microsoft Exchange 信息存储应用程序。 |
Junos-MS-RPC-TCP |
— |
Microsoft 传输控制协议 (TCP) 应用程序。 |
Junos-MS-RPC-UDP |
— |
Microsoft 用户数据报协议 (UDP) 应用程序。 |
Junos-MS-SQL |
— |
Microsoft 结构化查询语言 (SQL)。 |
Junos-MSN |
— |
Microsoft Network Messenger 应用程序。 |
了解动态路由协议预定义策略应用程序
创建策略时,可以为策略指定预定义的动态路由协议应用程序。
根据您的网络要求,您可以选择允许或拒绝从这些动态路由协议生成的消息以及这些动态路由协议的数据包。 表 3 按名称、端口和说明列出了每种受支持的动态路由协议。
动态路由协议 |
港口 |
描述 |
|---|---|---|
把 |
520 |
RIP 是一种常见的距离矢量路由协议。 |
Ospf |
89 |
OSPF 是一种常见的链路状态路由协议。 |
Bgp |
179 |
BGP 是一种外部/域间路由协议。 |
了解流视频预定义策略应用程序
创建策略时,可以为策略指定预定义的流视频应用程序。
表 4 按名称列出了每个受支持的流视频应用程序,并包括默认端口和说明。根据您的网络要求,您可以选择允许或拒绝任何或所有这些应用程序。
应用 |
港口 |
描述 |
|---|---|---|
H.323 |
TCP 源 1-65535;TCP 目标 1720、1503、389、522、1731 UDP 源 1-65535;UDP 源 1719 |
H.323 是国际电信联盟 (ITU) 批准的一项标准,用于定义视听会议数据如何跨网络传输。 |
网络会议 |
TCP 源 1-65535;TCP 目标 1720、1503、389、522 UDP 源 1719 |
Microsoft NetMeeting 使用 TCP 通过 Internet 提供电话会议(视频和音频)应用程序。 |
真实媒体 |
TCP 源 1-65535;TCP 目标 7070 |
Real Media是流媒体视频和音频技术。 |
RTSP |
554 |
实时流协议 (RTSP) 适用于流媒体应用程序 |
Sip |
5056 |
会话初始协议 (SIP) 是一种用于创建、修改和终止会话的应用层控制协议。 |
威迪欧直播 |
TCP 源 1-65535;TCP 目标 7000-7010 |
VDOLive 是一种可扩展的视频流技术。 |
了解 Sun RPC 预定义策略应用程序
创建策略时,可以为策略指定预定义的 Sun RPC 应用程序。
表 5 列出了每个 Sun 远程过程调用应用程序层网关 (RPC ALG) 应用程序名称、参数和全名。
应用 |
计划编号 |
全名 |
|---|---|---|
SUN-RPC-PORTMAPPER |
111100000 |
Sun RPC 端口映射器协议 |
SUN-RPC-ANY |
任何 |
任何 Sun RPC 应用程序 |
SUN-RPC-PROGRAM-MOUNTD |
100005 |
太阳 RPC 山守护进程 |
SUN-RPC-PROGRAM-NFS |
100003 100227 |
Sun RPC 网络文件系统 |
SUN-RPC-PROGRAM-NLOCKMGR |
100021 |
Sun RPC 网络锁管理器 |
SUN-RPC-PROGRAM-RQUOTAD |
100011 |
Sun RPC 远程配额守护程序 |
SUN-RPC-PROGRAM-RSTATD |
100001 |
Sun RPC 远程状态守护程序 |
SUN-RPC-PROGRAM-RUSERD |
100002 |
Sun RPC 远程用户守护程序 |
SUN-RPC-PROGRAM-SADMIND |
100232 |
Sun RPC 系统管理守护程序 |
SUN-RPC-PROGRAM-SPRAYD |
100012 |
Sun RPC Spray 守护程序 |
SUN-RPC-PROGRAM-STATUS |
100024 |
Sun RPC 状态 |
SUN-RPC-PROGRAM-WALLD |
100008 |
Sun RPC Wall Daemon |
SUN-RPC-PROGRAM-YPBIND |
100007 |
SUN RPC 黄页绑定应用 |
了解安全和隧道预定义策略应用程序
创建策略时,可以为策略指定预定义的安全和隧道应用程序。
表 6 列出了每个受支持的应用程序,并给出了默认端口和每个条目的说明。
应用 |
港口 |
描述 |
|---|---|---|
艾克 |
UDP 源 1-65535;UDP 目标 500 |
互联网密钥交换是在 IPsec 协议套件中建立安全关联的协议。 互联网密钥协议 (IKE) 是一种协议,用于获取经过身份验证的密钥材料以用于 ISAKMP。 |
IKE-NAT |
4500 |
IKE 网络地址转换 (NAT) 对 S2C IKE 流量执行第 3 层 NAT。 |
L2tp |
1701 |
L2TP 将 PPTP 与第 2 层转发 (L2F) 相结合,可实现远程访问。 |
PPTP |
1723 |
点对点隧道协议允许公司通过公共互联网上的专用 隧道 扩展自己的专用网络。 |
了解即时消息预定义策略应用程序
创建策略时,可以为策略指定预定义的即时消息应用程序。
表 8 列出了预定义的因特网消息传递应用程序。每个条目都包含应用程序的名称、默认或分配的端口以及应用程序的说明。
应用 |
港口 |
描述 |
|---|---|---|
格努泰拉 |
6346(默认) |
Gnutella是一种在分布式网络上运行的公共领域文件共享协议。您可以分配任何端口,但默认值为 6346。 |
Msn |
1863 |
微软网络信使是一个实用程序,允许您发送即时消息和在线交谈。 |
NNTP |
119 |
网络新闻传输协议是用于发布、分发和检索 USENET 消息的协议。 |
Smb |
445 |
IP 上的服务器消息块 (SMB) 是一种协议,允许您在网络上的服务器上读取和写入文件。 |
长城社区信息学 |
5010 |
Yahoo! Messenger是一个实用程序,允许您检查其他人何时在线,发送即时消息和在线交谈。 |
了解管理预定义策略应用程序
创建策略时,可以为策略指定预定义的管理应用程序。
表 9 列出了预定义的管理应用程序。每个条目都包含应用程序的名称、默认或分配的端口以及应用程序的说明。
应用 |
港口 |
描述 |
|---|---|---|
NBNAME |
137 |
NetBIOS 名称应用程序显示在 UDP 端口 137 上发送的所有 NetBIOS 名称数据包。 |
NDBDS |
138 |
IBM 发布的 NetBIOS 数据报应用程序向与广播媒体连接的 PC 提供无连接(数据报)应用程序,以查找资源、启动会话和终止会话。它不可靠,数据包未排序。 |
Nfs |
— |
网络文件系统使用 UDP 允许网络用户访问存储在不同类型的计算机上的共享文件。SUN RPC 是 NFS 的构建块。 |
NS 全球 |
— |
NS-Global 是瞻博网络防火墙/VPN 设备的集中管理协议。 |
NS 全球专业版 |
— |
NS Global-PRO 是适用于瞻博网络防火墙/VPN 设备系列的可扩展监控系统。 |
NSM |
— |
网络和安全管理器 |
Ntp |
123 |
网络时间协议为计算机提供了一种同步到时间参考的方法。 |
登录 |
513 |
RLOGIN 在远程主机上启动终端会话。 |
Rsh |
514 |
RSH 在远程主机上执行 shell 命令。 |
Snmp |
161 |
简单网络管理协议是一组用于管理复杂网络的协议。 |
SQL*Net V1 |
66 |
SQL*Net 版本 1 是一种数据库语言,允许创建、访问、修改和保护数据。 |
SQL*Net V2 |
66 |
SQL*Net 版本 2 是一种数据库语言,允许创建、访问、修改和保护数据。 |
MSSQL |
1433(默认实例) |
Microsoft SQL 是一种专有的数据库服务器工具,允许创建、访问、修改和保护数据。 |
Ssh |
22 |
SSH 是一种通过强身份验证和不安全通道上的安全通信通过网络登录到另一台计算机的程序。 |
Syslog |
514 |
系统日志是一个 UNIX 程序,用于将消息发送到系统记录器。 |
说话 |
517-518 |
Talk是一种视觉通信程序,可将线路从您的终端复制到其他用户的终端。 |
Telnet |
23 |
Telnet 是一个 UNIX 程序,它提供了一种将终端设备和面向终端的进程相互连接的标准方法。 |
WinFrame |
— |
WinFrame是一种允许非Windows机器上的用户运行Windows应用程序的技术。 |
X-视窗 |
— |
X-Windows是Motif和OpenLook所基于的窗口和图形系统。 |
了解邮件预定义策略应用程序
创建策略时,可以为策略指定预定义的邮件应用程序。
表 10 列出了预定义的邮件应用程序。每个都包括应用程序的名称、默认或分配的端口号以及应用程序的说明。
应用 |
港口 |
描述 |
|---|---|---|
Imap |
143 |
因特网消息访问协议用于检索消息。 |
邮件 (SMTP) |
25 |
简单邮件传输协议用于在服务器之间发送邮件。 |
持久性有机污染物3 |
110 |
邮局协议用于检索电子邮件。 |
了解 UNIX 预定义策略应用程序
创建策略时,可以为策略指定预定义的 UNIX 应用程序。
表 11 列出了预定义的 UNIX 应用程序。每个条目都包含应用程序的名称、默认或分配的端口以及应用程序的说明。
应用 |
港口 |
描述 |
|---|---|---|
手指 |
79 |
Finger是一个UNIX程序,提供有关用户的信息。 |
UUCP |
117 |
UNIX 到 UNIX 复制协议 (UUCP) 是一种 UNIX 实用程序,它支持通过直接串行或调制解调器连接在两台计算机之间进行文件传输。 |
了解其他预定义策略应用程序
创建策略时,可以为策略指定其他预定义应用程序。
表 12 列出了预定义的杂项应用程序。每个条目都包含应用程序名称、默认或分配的端口以及应用程序的说明。
应用 |
港口 |
描述 |
|---|---|---|
收费 |
19 |
字符生成器协议是一种基于 UDP 或 TCP 的调试和测量工具。 |
丢弃 |
9 |
丢弃协议是一种应用层协议,用于描述丢弃发送到端口 9 的 TCP 或 UDP 数据的过程。 |
识别 |
113 |
识别协议是用于 TCP 客户端身份验证的 TCP/IP 应用层协议。 |
Lpr |
515 听; 721-731 源范围(含) |
行式打印机守护程序协议是一种基于 TCP 的协议,用于打印应用程序。 |
半径 |
1812 |
远程认证拨入用户服务应用程序是用于身份验证和记帐目的的服务器程序。 |
乐迪记账 |
1813 |
RADIUS 记帐服务器接收有关登录或注销 LAN 的用户的统计数据。 |
SQLMON |
1434(SQL 监视器端口) |
SQL Monitor (Microsoft) |
Vnc |
5800 |
虚拟网络计算有助于查看连接到互联网的另一台计算机或移动瞻博网络设备并与之交互。 |
Whois |
43 |
网络目录应用程序协议是一种查找域名的方法。 |
短链氯化石蜡 |
2000 |
思科站呼叫控制协议 (SCCP) 使用信令连接控制端口来提供高可用性和流量控制。 |
了解 ICMP 预定义策略应用程序
创建策略时,可以为策略指定 ICMP 预定义应用程序。
互联网控制消息协议 (ICMP) 是 IP 的一部分,提供了一种查询网络(ICMP 查询消息)和从网络接收错误模式反馈(ICMP 错误消息)的方法。但是,ICMP 不保证错误消息传递或报告所有丢失的数据报;而且它不是一个可靠的协议。ICMP 代码和类型代码描述 ICMP 查询消息和 ICMP 错误消息。
您可以选择允许或拒绝任何或特定类型的 ICMP 消息以提高网络安全性。某些类型的 ICMP 消息可被利用来获取可能危及安全性的网络信息。例如,可以构造 ICMP、TCP 或 UDP 数据包以返回包含有关网络的信息(如其拓扑和访问列表过滤特征)的 ICMP 错误消息。 表 13 列出了 ICMP 消息名称、相应的代码、类型和说明。
ICMP 消息名称 |
类型 |
代码 |
描述 |
|---|---|---|---|
ICMP-ANY |
所有 |
所有 |
ICMP-ANY 影响使用 ICMP 的任何协议。 拒绝 ICMP-ANY 会损害使用 ICMP 对网络进行 ping 或监视的任何尝试。 允许 ICMP-ANY 允许所有 ICMP 消息。 |
ICMP-ADDRESS-MASK
|
17 18 |
0 0 |
ICMP 地址掩码查询用于需要引导服务器提供的本地子网掩码的系统。 拒绝 ICMP 地址掩码请求消息可能会对无盘系统产生不利影响。 允许 ICMP 地址掩码请求消息可能允许其他人对您网络中主机的操作系统进行指纹识别。 |
ICMP-DEST-UNREACH |
3 |
0 |
ICMP 目标无法访问错误消息指示目标主机配置为拒绝数据包。 代码 0、1、4 或 5 可以来自网关。代码 2 或 3 可以来自主机 (RFC 792)。 拒绝 ICMP 目标无法访问的错误消息可以消除主机已在 SRX 系列防火墙后面启动并运行的假设。 允许 ICMP 目标无法访问错误消息可以允许对网络做出一些假设,例如安全筛选。 |
需要 ICMP 片段 |
3 |
4 |
ICMP 分段错误消息指示需要分段,但设置了不分段标志。 我们建议拒绝这些来自互联网的邮件发送到内部网络。 |
ICMP 片段重组 |
11 |
1 |
ICMP 片段重组超出时间错误表示重新组装分段消息的主机用完了时间并丢弃了数据包。有时会发送此消息。 我们建议拒绝从 Internet(外部)发送到受信任(内部)网络的这些邮件。 |
ICMP-HOST-UNREACH |
3 |
1 |
ICMP 主机无法访问错误消息表示路由表条目未列出或列为无限特定主机。有时,此错误是由网关发送的,当收到需要分段的数据包时,网关无法分段。 我们建议拒绝这些来自互联网的邮件发送到受信任的网络。 允许这些消息允许其他人能够通过消除过程确定您的内部主机 IP 地址,或对网关和分段做出假设。 |
ICMP-INFO
|
15 16 |
0 0 |
ICMP-INFO 查询消息允许无盘主机系统查询网络并自行配置。 拒绝 ICMP 地址掩码请求消息可能会对无盘系统产生不利影响。 允许 ICMP 地址掩码请求消息可能允许其他人将信息查询广播到网段以确定计算机类型。 |
ICMP 参数问题 |
12 |
0 |
当存在不正确的标头参数并导致数据包被丢弃时,ICMP 参数问题错误消息会通知您 我们建议拒绝这些来自互联网的邮件发送到受信任的网络。 允许 ICMP 参数问题错误消息允许其他人对您的网络做出假设。 |
ICMP-PORT-UNREACH |
3 |
3 |
ICMP 端口无法访问错误消息表示处理请求某些端口的数据报的网关在网络中不可用或不受支持。 我们建议拒绝这些来自互联网的邮件发送到受信任的网络。 允许 ICMP 端口无法访问错误消息可以允许其他人确定您用于某些协议的端口。 |
ICMP-PROTOCOL-UNREACH |
3 |
2 |
ICMP 协议无法访问错误消息表示处理请求某些协议的数据报的网关在网络中不可用或不受支持。 我们建议拒绝这些来自互联网的邮件发送到受信任的网络。 允许 ICMP 协议无法访问错误消息可以允许其他人确定您的网络正在运行的协议。 |
ICMP-重定向 |
5 |
0 |
ICMP 重定向网络错误消息由 SRX 系列防火墙发送。 我们建议拒绝这些来自互联网的邮件发送到受信任的网络。 |
ICMP-REDIRECT-HOST |
5 |
1 |
ICMP 重定向消息指示要沿另一路径发送至指定主机的数据报。 |
ICMP-REDIRECT-TOS-HOST |
5 |
3 |
ICMP 重定向类型的服务 (TOS) 和主机错误是一种消息类型。 |
ICMP-REDIRECT-TOS-NET |
5 |
2 |
ICMP 重定向 TOS 和网络错误是一种消息。 |
ICMP-源-淬火 |
4 |
0 |
ICMP 源抑制错误消息表示设备没有可用的缓冲区空间来接受、排队数据包并将其发送到下一跃点。 拒绝这些消息不会帮助或损害内部网络性能。 允许这些消息可以让其他人知道设备拥塞,使其成为可行的攻击目标。 |
ICMP-SOURCE-ROUTE-FAIL |
3 |
5 |
ICMP 源路由失败错误消息 我们建议拒绝来自互联网(外部)的这些邮件。 |
ICMP 超时 |
11 |
0 |
ICMP 生存时间 (TTL) 超出错误消息指示数据包的 TTL 设置在数据包到达其目标之前已达到零。这可确保在处理重新发送的数据包之前丢弃较旧的数据包。 我们建议拒绝这些来自受信任网络的邮件发送到互联网。 |
ICMP 时间戳
|
13 14 |
0 0 |
ICMP-TIMESTAMP 查询消息提供了在大型多样化网络中同步时间和协调时间分配的机制。 |
Ping (ICMP ECHO) |
8 |
0 |
Ping 是一个实用程序,用于确定特定主机是否可通过其 IP 地址访问。 拒绝 ping 功能将使您无法检查主机是否处于活动状态。 允许 ping 可以允许其他人执行拒绝服务 (DoS) 或 Smurf 攻击。 |
ICMP-ECHO-FRAGMENT-ASSEMBLY-EXPIRE |
11 |
1 |
ICMP 片段回显重组时间已过期错误消息指示已超过重组时间。 我们建议拒绝这些消息。 |
路由跟踪
|
30 30 |
0 1 |
跟踪路由是一个实用程序,用于指示访问特定主机的路径。 我们建议从 Internet(外部)拒绝此实用程序到受信任的网络(内部)。 |
ICMP 无法访问错误的默认行为
对于不同的安全级别,ICMP 无法访问错误的默认行为按如下方式处理:
仅当满足以下条件时,才会关闭 ICMP 类型 3、代码 0、代码 1、代码 2 和代码 3 消息的会话:
在服务器到客户端方向接收 ICMP 不可达消息。
在服务器到客户端方向上未收到正常数据包。
否则,会话不会关闭。
对于 ICMP 类型 3、代码 4 消息,会话不会关闭。
示例:定义自定义 ICMP 应用程序
此示例说明如何定义自定义 ICMP 应用程序。
要求
准备工作:
了解自定义策略应用。请参阅 了解自定义策略应用程序。
了解 ICMP 预定义的策略应用程序。请参阅 了解 ICMP 预定义的策略应用程序。
概述
Junos OS 支持 ICMP 以及多个 ICMP 消息作为预定义或自定义应用程序。配置自定义 ICMP 应用程序时,需要定义类型和代码。
ICMP 中有不同的消息类型。例如:
类型 0 = 回显请求消息
类型 3 = 无法到达的目标消息
ICMP 消息类型也可以具有消息代码。该代码提供有关消息的更具体信息,如 表 14 所示。
表 14:消息说明 消息类型
消息代码
5 = 重定向
0 = 重定向网络(或子网)的数据报
1 = 重定向主机的数据报
2 = 针对应用程序和网络类型重定向数据报
3 = 应用程序和主机类型的重定向数据报
11 = 超时代码
0 = 在传输过程中超过生存时间
1 = 超出片段重组时间
Junos OS 支持到 55 .0
在此示例中,您将使用 ICMP 作为传输协议定义一个名为 host-unreachable 的自定义应用程序。类型为 3(表示无法访问的目标),代码为 1(表示主机无法访问)。将超时值设置为 4 分钟。
有关 ICMP 类型和代码的详细信息,请参阅 RFC 792, 互联网控制消息协议。
配置
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要定义自定义 ICMP 应用程序,请执行以下操作:
设置应用程序类型和代码。
[edit applications application host-unreachable] user@host# set icmp-type 5 icmp-code 0
设置非活动超时值。
[edit applications application host-unreachable] user@host# set inactivity-timeout 4
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show applications 命令。