Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置 SRX 系列防火墙的应用程序

应用表示流量目标。在瞻®博网络 SRX 系列防火墙上,应用确定安全策略中使用的目标。

应用是您的网络用户将在瞻博网络 Mist WAN 保证设计中连接到的服务或应用。您可以在 Juniper Mist™ 云门户中手动定义这些应用程序。您可以通过选择类别(如社交媒体)或从列表中选择单个应用程序(如 Microsoft Teams)来定义应用程序。另一种选择是使用常见流量类型的预定义列表。您还可以创建自定义应用程序来描述其他方式不可用的任何内容。

要让用户访问应用程序,必须先定义应用程序,然后使用应用程序策略允许或拒绝访问。也就是说,将这些应用与用户和网络相关联,然后分配流量定向策略和访问规则(允许或拒绝)。

配置应用程序

要配置应用程序,请执行以下操作:

  1. 在Juniper Mist门户中,单击“组织”>“WAN> 应用程序”。
    此时将显示现有应用程序的列表(如果有)。
  2. 单击右上角 的添加应用程序
    此时将显示 “Add Application”(添加应用程序 )窗口。
    提示:在配置屏幕上工作时,请查找 VAR 指示器。带有此指示符的字段允许站点变量。

    当您开始在其中键入特定变量时,带有此标签的字段还会显示匹配的变量(如果已配置)。此字段列出组织内所有站点的变量。

    可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。当在站点设置下添加变量时,将填充此列表。

     表 1 总结了可以在应用程序配置中设置的选项。
    表 1:应用选项
    字段 说明
    名字 输入应用程序的唯一名称。您最多可以使用 32 个字符来命名应用程序,包括字母数字、下划线和破折号。
    描述 输入应用程序和上下文的描述。
    类型 选择应用程序类型:

    • 自定义应用程序

    • 预定义的应用程序

    • URL 类别

    • 自定义 URL
    IP地址 (对于自定义应用程序)输入网络 IP 地址,包括应用程序的前缀(如果有)。
    域名 输入应用程序的域名。该域名在云分支配置文件中用于生成完全限定的域名 (FQDN)。云安全提供商使用 FQDN 来识别 IPsec 隧道。例如,juniper.example.com。
    协议和端口范围 (对于自定义应用程序)输入有关应用程序正在使用的协议、协议号和端口范围(开始和结束端口)的详细信息。
    注意:

    单击蓝色的添加 (+) 图标以选择多个协议。
    流量类型 配置可选的高级流量类型设置,包括:
    • 流量类型
    • 故障转移策略
    • 流量类
    • 最大延迟
    • 最大抖动
  3. 根据使用自定义应用程序配置应用程序中提供的详细信息完成配置。
    如果要使用预定义的应用程序、URL 类别或自定义 URL 创建应用程序,请转到以下部分:

使用自定义应用程序配置应用程序

Juniper Mist云允许您使用目标 IP 地址或域名定义自己的自定义应用程序。

定义自定义应用程序时,您可以:

  • 使用用逗号分隔的多个目标 IP 地址或域名来定义单个应用程序。

  • 选择协议(任意、TCP、UDP、ICMP、GRE 或自定义)和端口范围以缩小选择范围。此选项使系统能够精细地识别目标。

  • 使用协议“any”定义前缀 0.0.0.0/0。协议“any”的前缀 0.0.0.0/0 将解析为瞻博网络 Mist WAN 保证策略中 的任何主机

要定义自定义应用程序,请执行以下操作:
  1. 在Juniper Mist云门户中,在“添加应用程序”窗格下,选择“类型自定义应用”。
  2. 使用 IP 前缀创建自定义应用程序。根据使用自定义应用程序配置应用程序中提供的详细信息完成配置。
    表 2:自定义应用程序配置
    自定义应用 IP 地址 说明
    任何 0.0.0.0/0

    通配符 IP 地址。IP 地址 0.0.0.0 也用作占位符地址。
    分支-LAN1 10.0.0.0/8 企业 VPN 内所有 IP 地址的匹配标准。
    HUB1-LAN1 10.66.66.0/24

    Hub1 设备的 LAN 接口上连接的所有 IP 地址的匹配标准。

    HUB2-LAN1 10.55.55.0/24

    Hub2 设备的 LAN 接口上连接的所有 IP 地址的匹配标准。

    配置应用程序时使用 IP 前缀。确保将配置分开用于应用程序和应用程序标识(稍后阶段可能需要)。

    提示:

    Juniper Mist云门户直接或间接地将 IP 地址分配给中心辐射型的所有 LAN 接口。一开始,您可能只使用几个 IP 前缀,如 10.77.77.0/24 + 10.88.88.0/24 + 10.99.99.0/24。您可能只想为这些地址创建自定义应用程序。但在以后的阶段,您可能会有更多的接口。因此,作为一种良好做法,使用通配符匹配条件 IP 前缀(例如 10.0.0.8)创建应用程序。通配符匹配允许轻松扩展,而无需更改环境中的规则集。
  3. 点击保存“应用程序”页面显示您创建的所有应用程序的列表。

使用预定义应用程序配置应用程序

Juniper Mist云提供了可用于定义应用的已知应用列表。

要配置预定义的应用程序,请执行以下操作:

  1. 在Mist门户的“添加应用程序”窗格中,选择“类型应用”
  2. 单击添加 (+) 图标以显示可用预定义应用程序的列表。
    图 1:预定义应用程序 Predefined Applications
    特定于 SRX 系列设备的应用程序将被标记为“仅 SRX”。
  3. 从下拉菜单中选择一个或多个应用程序。
  4. 单击“添加”以保存更改。

使用 URL 类别配置应用程序

Juniper Mist云提供基于类型(例如:购物、体育)并按严重性(全部、标准、严格)分组的 URL 类别列表。您可以使用 URL 类别来定义应用程序。URL 类别为应用程序创建提供精细筛选。您可以为应用程序选择一个或多个 URL 类别。

要定义 URL 类别,请执行以下操作:

  1. 在Mist门户的“添加应用程序”窗格中,选择“类型 URL 类别”。
    1. 单击添加 (+) 图标以显示可用 URL 类别的列表。
      图 2:URL 类别 URL Categories
      选择一个或多个 URL 类别组或 URL 类别。
  2. 单击“添加”以保存更改。

使用自定义 URL 配置应用程序

Juniper Mist允许您创建基于 URL 的自定义应用程序。使用自定义 URL,您可以创建通配符域列表,该列表可用于允许或阻止流量。

要定义自定义 URL,请执行以下操作:

  1. 在Mist门户的“添加应用程序”窗格中,选择“类型自定义 URL”
  2. 输入自定义 URL。如果需要指定多个 URL,请使用逗号分隔符。

    Mist仅支持星号 ( * ) 通配符模式。您最多可以为应用程序指定 15 个 URL 模式。您可以通过将鼠标悬停在工具提示图标上来查看支持的模式。请注意,只能对 SRX 系列设备使用该 https://abc.com 模式。

    图 3:自定义 URL Custom URLs
  3. 单击“添加”以保存更改。
    注意:

    您还可以编辑现有应用程序以包含自定义 URL 模式。

另见