Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

为 SRX 系列防火墙配置应用程序

应用程序表示流量目标。在瞻博网络® SRX 系列防火墙上,应用程序确定安全策略中使用的目标。

应用程序是您的网络用户将在瞻博网络 Mist WAN 保证设计中连接到的服务或应用程序。您可以在瞻博网络 Mist™ 云门户中手动定义这些应用程序。您可以通过选择类别(如社交媒体)或从列表中选择单个应用程序(如Microsoft Teams)来定义应用程序。另一种选择是使用预定义的常见流量类型列表。您还可以创建自定义应用程序来描述其他方式不可用的任何内容。

要让用户访问应用程序,必须首先定义应用程序,然后使用应用程序策略来允许或拒绝访问。也就是说,将这些应用程序与用户和网络相关联,然后分配流量导向策略和访问规则(允许或拒绝)。

配置应用程序

要配置应用程序:

  1. 在瞻博网络 Mist 门户中,单击组织> WAN >应用程序
    此时将显示现有应用程序的列表(如果有)。
  2. 单击右上角的 添加应用程序
    此时将显示“ 添加应用程序 ”窗口。
    提示:在配置屏幕上工作时,查找 VAR 指标。带有此指示符的字段允许站点变量。

    具有此标签的字段还会在您开始在其中键入特定变量时显示匹配变量(如果已配置)。此字段列出组织内所有站点的变量。

    可以使用 GET /api/v1/orgs/:org_id/vars/search?var=* 查看组织范围的变量列表。此列表在站点设置下添加变量时填充。

     表 1 总结了可以在应用程序配置中设置的选项。
    表 1:应用程序选项
    字段 说明
    名字 输入应用程序的唯一名称。您最多可以使用 32 个字符来命名应用程序,包括字母数字、下划线和短划线。
    描述 输入应用程序和上下文的说明。
    类型 选择应用程序类型:

    • 自定义应用程序

    • 预定义的应用程序

    • 网址类别

    • 自定义网址
    IP地址 (适用于定制应用)输入网络 IP 地址,包括应用程序的前缀(如果有)。
    域名 输入应用程序的域名。该域名在云突破配置文件中用于生成完全限定的域名 (FQDN)。云安全提供程序使用 FQDN 来识别 IPsec 隧道。例如,juniper.example.com。
    协议和端口范围 (适用于定制应用)输入有关应用程序正在使用的协议、协议号和端口范围(开始和结束端口)的详细信息。
    注意:

    单击蓝色的添加 (+) 图标以选择多个协议。
    流量类型 配置可选的高级流量类型设置,其中包括:
    • 流量类型
    • 故障转移策略
    • 流量类
    • 最大延迟
    • 最大抖动
  3. 根据使用自定义应用程序配置应用程序中提供的详细信息完成配置。
    如果要使用预定义的应用程序、URL 类别或自定义 URL 创建应用程序,请转到以下部分:

使用自定义应用程序配置应用程序

瞻博网络 Mist 云使您能够使用目标 IP 地址或域名定义自己的自定义应用程序。

定义自定义应用程序时,您可以:

  • 使用以逗号分隔的多个目标 IP 地址或域名来定义单个应用程序。

  • 选择协议(任意、TCP、UDP、ICMP、GRE 或自定义)和端口范围以缩小选择范围。此选项使系统能够在粒度级别标识目标。

  • 使用协议“any”定义前缀 0.0.0.0/0。协议为“any”的前缀 0.0.0.0/0 将解析为瞻博网络 Mist WAN 保证策略内 的任何主机

要定义自定义应用程序,请执行以下操作:
  1. 在瞻博网络 Mist 云门户的“添加应用程序”窗格下,选择“类型”作为“自定义应用程序”。
  2. 使用 IP 前缀创建自定义应用程序。根据使用自定义应用程序配置应用程序中提供的详细信息完成配置。
    表 2:自定义应用程序配置
    自定义应用程序 IP 地址 说明
    任何 0.0.0.0/0

    通配符 IP 地址。IP 地址 0.0.0.0 也用作占位符地址。
    辐射-LAN1 10.0.0.0/8 企业 VPN 内所有 IP 地址的匹配标准。
    集线器1-LAN1 10.66.66.0/24

    在 Hub1 设备的 LAN 接口上连接的所有 IP 地址的匹配标准。

    集线器2-LAN1 10.55.55.0/24

    Hub2 设备的 LAN 接口上连接的所有 IP 地址的匹配标准。

    配置应用程序时使用 IP 前缀。确保将应用程序和应用程序标识的配置分开(稍后阶段可能需要)。

    提示:

    瞻博网络 Mist 云门户直接或间接为中心辐射型的所有 LAN 接口分配一个 IP 地址。一开始,您只能使用几个 IP 前缀,例如 10.77.77.0/24 + 10.88.88.0/24 + 10.99.99.0/24。您可能只想为这些地址创建自定义应用程序。但在稍后阶段,您可能会有更多的接口。因此,最好使用通配符匹配条件 IP 前缀(如 10.0.0.8)创建应用程序。通配符匹配允许轻松扩展,而无需更改环境中的规则集。
  3. 单击保存。“应用程序”页面显示您创建的所有应用程序的列表。

使用预定义应用程序配置应用程序

瞻博网络 Mist 云提供了可用于定义应用程序的已知应用程序列表。

要配置预定义的应用程序:

  1. 在 Mist 门户的“添加应用程序”窗格中,选择“类型”作为“应用”。
  2. 单击添加 (+) 图标以显示可用预定义应用程序的列表。
    图 1:预定义的应用程序 Predefined Applications
    仅特定于 SRX 系列设备的应用程序标记为“仅 SRX”。
  3. 从下拉菜单中选择一个或多个应用程序。
  4. 单击添加以保存更改。

使用 URL 类别配置应用程序

瞻博网络 Mist 云根据类型(例如:购物、体育)提供 URL 类别列表,并按严重性(全部、标准、严格)分组。您可以使用 URL 类别来定义应用程序。URL 类别为应用程序创建提供精细筛选。您可以为应用程序选择一个或多个 URL 类别。

要定义网址类别,请执行以下操作:

  1. 在 Mist 门户的“添加应用程序”窗格中,选择“类型”作为“URL 类别”。
    1. 单击添加 (+) 图标以显示可用 URL 类别的列表。
      图 2:URL 类别 URL Categories
      选择一个或多个网址类别组或网址类别。
  2. 单击添加以保存更改。

使用自定义 URL 配置应用程序

瞻博网络 Mist 允许您创建基于 URL 的自定义应用程序。使用自定义 URL,您可以创建通配符域列表,该列表可用于允许或阻止流量。

要定义自定义 URL,请执行以下操作:

  1. 在 Mist 门户的“添加应用程序”窗格中,选择“类型”作为“自定义 URL”。
  2. 输入自定义网址。如果需要指定多个 URL,请使用逗号分隔符。

    Mist 仅支持星号( * ) 通配符模式。您最多可以为应用程序指定 15 个 URL 模式。您可以通过将鼠标悬停在工具提示图标上来查看支持的模式。请注意,您只能对 https://abc.com SRX 系列设备使用该模式。

    图 3:自定义 URL Custom URLs
  3. 单击添加以保存更改。
    注意:

    您还可以编辑现有应用程序以包含自定义 URL 模式。

参见