Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加应用程序签名

你在这里: 安全策略和对象 > 动态应用程序

添加应用程序签名:

  1. 单击动态应用页面右上角的 创建 > 签名

    此时将显示“创建应用程序签名”页。

  2. 根据 表 1 中提供的指南完成配置。
  3. 单击 “确定 ”保存更改。如果要放弃更改,请单击 “取消”。
表 1:添加应用程序签名页面上的字段

领域

行动

名字

输入应用程序签名名称。

描述

输入应用程序签名说明。

输入自定义应用程序的顺序。

顺序越低具有较高的优先级。

范围为 1 到 50,000。

优先

输入优先于其他签名应用程序的优先级。

从列表中选择一个选项:

从 Junos OS 20.2R1 版开始,默认情况下,自定义应用程序的优先级设置为 “低”。这允许预定义的应用程序优先。如果要覆盖预定义的应用程序,则必须将优先级设置为 “高”。

风险

将风险输入为严重、高、中、低或不安全。

应用程序标识匹配标准

从列表中选择一个或多个选项:

  • ICMP 映射

  • IP 协议映射

  • 地址映射

  • L7 签名

ICMP 映射

从列表中选择一个值。

  • ICMP 类型 - 选择 ICMP 类型的数值。该类型标识 ICMP 消息,例如“未分配”或“目标不可达”。

    范围为 0 到 254。

  • 选择 ICMP 代码的数值。代码字段提供有关关联类型字段的更多信息(例如 RFC)。

    范围为 0 到 254。

IP 协议映射

选择 ICMP 类型的数值。该类型标识 ICMP 消息,例如“未分配”或“目标不可达”。

范围为 0 到 254。

地址映射

要添加新的地址映射:

  1. 单击 “添加”。

    此时将显示“添加地址映射”页面。

    输入以下详细信息:

    • 名称 - 输入地址映射的名称。

    • IP 地址 - 输入 IPv4 或 IPv6 地址。

    • CIDR 范围 — 输入用于无类别 IP 寻址的 IPv4 或 IPV6 地址前缀。

    • TCP 端口范围 - 输入应用程序的 TCP 端口范围。

    • UDP 端口范围 — 输入应用程序的 UDP 端口范围。

  2. 单击地址映射表右上角的铅笔图标。然后,编辑地址映射并单击 确定

  3. 要删除现有地址映射,请选择它并单击删除图标,或右键单击它并单击 删除

L7 签名

缓存

仅当在自定义签名中配置 L7 签名时,才将此选项设置为 True 。基于地址、基于 IP 协议和基于 ICMP 的自定义应用程序签名不支持此选项。

添加 L7 签名

单击 添加 L7 签名 列表,然后从以下选项中选择一个选项:

  • 通过 HTTP

  • 通过 SSL

  • 通过 TCP

  • 通过 UDP

此时将显示“添加签名”页面。

添加签名

通过协议

显示与应用程序协议匹配的签名。

示例:HTTP

签名名称

输入由字母数字字符、冒号、句点、短划线和下划线组成的字符串的唯一名称。不允许使用空格,最大长度为 63 个字符。

端口范围

输入应用程序的端口范围。

范围为 0-65535。

添加成员

自定义签名可以包含定义应用程序属性的多个成员。支持的成员名称范围为 m01 到 m15。

+

单击 + 创建成员。

上下文(通过 HTTP)

从以下列表中选择特定于服务的上下文:

  • http-get-url-parsed-param-parsed

  • http-header-content-type

  • http-header-cookie

  • http-header-host

  • http-header-user-agent

  • http-post-url-parsed-param-parsed

  • http-post-variable-parsed

  • http-url-parsed

  • http-url-parsed-param-parsed

上下文(通过 SSL)

选择特定于服务的上下文作为 ssl-服务器名称。

上下文(通过 TCP)

选择特定于服务的上下文作为流。

上下文(通过 UDP)

选择特定于服务的上下文作为流。

方向

选择数据包流的方向以匹配签名:

  • any — 数据包流的方向可以从客户端到服务器端,也可以是从服务器端到客户端。

  • 客户端到服务器 — 数据包流的方向是从客户端到服务器端。

  • 服务器到客户端 — 数据包流的方向是从服务器端到客户端。

深度

输入要检查上下文匹配的最大字节数。使用 AppID 的字节限制标识通过 TCP 或 UDP 或第 7 层应用程序运行的应用程序的自定义应用程序模式。

范围为 1 到 8000。如果未显式配置,则默认情况下深度设置为 1000。

注意:

从 Junos OS 20.2R1 版开始,支持深度选项。

模式

输入与上下文匹配的确定性有限自动机 (DFA) 模式。DFA 模式指定要与签名匹配的模式。最大长度为 128。

版本历史记录表
释放
描述
20.2R1
从 Junos OS 20.2R1 版开始,支持深度选项。