Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

启用应用可见性(仅限 SRX)

请按照以下步骤启用应用感知安全服务。

瞻博网络应用安全 (AppSecure) 功能是一套适用于瞻博网络® SRX 系列防火墙的应用感知安全服务。借助 AppSecure,您可以查看网络上的应用并了解其工作原理。您可以通过它观察他们的行为特征并评估他们的相对风险,从而让Juniper Mist™云跟踪和报告通过设备的应用。

准备工作

请参阅此列表,以确保您具有启用应用程序可见性所需的许可证和应用程序签名。

  • 您需要在 SRX 系列防火墙上安装有效的 AppSecure 许可证才能使用该功能。 show system license 使用命令检查您的设备是否具有许可证。有关许可证要求和安装的详细信息,请参阅 瞻博网络许可用户指南

  • 建议使用最新版本的应用程序签名。若要安装最新版本的应用程序签名,请在设备上运行以下命令:

    1. 在设备上下载应用程序签名包版本。命令将下载最新版本的软件包。

    2. 在设备上安装应用程序签名包版本。

    3. 验证设备上安装的应用程序签名包版本。

    有关详细信息,请参阅 用于应用程序标识的预定义应用程序签名

    您可以在设备Juniper Mist云门户的 “安全服务 ”面板下查看应用程序签名版本。

    图 1:检查应用程序安全性 (AppSecure) 版本 Check Application Security (AppSecure) Version

在设备采用期间启用应用可见性

如果要载入新设备,可以在正常设备采用工作流程中启用应用可见性。此选项在站点分配设置中可用。

要在将设备分配给站点时启用应用程序可见性,请执行以下作:

  1. 在左侧菜单中,单击“组织”>“管理员>库存”
  2. 单击 Inventory (清单) 页面顶部的 WAN Edge 按钮。
  3. 单击页面右上角的采用 WAN Edge 按钮。
    图 2:WAN 边缘采用命令 WAN Edge Adoption Commands

    Juniper Mist会在 WAN Edge Adoption 窗口 中生成代码片段。

  4. 确保已选择“SRX”选项,然后单击“复制到剪贴板”。
  5. 关闭弹出窗口。
  6. 转到 SRX 系列防火墙的 CLI,进入配置模式,粘贴代码,然后提交配置。

    此代码将在 SRX 系列防火墙上创建以下设置:

    • 启用 SSH。

    • 创建Juniper Mist云用户。

    • 创建设备 ID 和凭据。

    • 设置出站 SSH 客户端和关联的计时器。

    在 SRX 系列 防火墙上提交配置后,设备将显示在 Juniper Mist 门户的清单页面上。

  7. 在“清单”页上,选中新添加的 SRX 系列防火墙的复选框,然后单击页面顶部的“更多”,然后单击“分配给站点”。
  8. 在“分配网关”弹出窗口中,输入以下设置:
    1. 选择站点。
    2. 若要在 Juniper Mist 中管理配置,请选中“管理配置”复选框。
    3. 选择相应的选项来描述您的 AppTrack 许可证。

      • 设备具有 App Track 许可证 - 设备上已启用应用可见性。

      • 设备没有 App Track 许可证 - 设备没有应用安全许可证。

      • 将站点设置用于 App 跟踪许可证 - 在站点设置选项下启用应用可见性。

    4. 单击“Assign to Site”
  9. 对于基于设备的许可证或无许可证 - 如果您在网关分配窗口中选择了“设备具有 App Track 许可证”或“设备没有 App Track 许可证”,请完成这些附加步骤。
    1. 在 Inventory 页面上,单击新分配的 SRX。
    2. 在设备详细信息页面上,向下滚动到“应用程序可见性”部分。
    3. 选择您在站点分配窗口中选择的相同许可证选项:“设备具有 App 跟踪许可证”或“设备没有 App 跟踪”许可证
    4. 单击设备详细信息页面右上角的保存
  10. 对于基于站点的许可证 - 如果您在网关分配窗口中为 App 跟踪许可证选择了使用站点设置,请完成这些附加步骤。
    1. 从左侧菜单中,选择“组织”>“管理员”>“站点配置”。
    2. 选择分配给新添加的 SRX 设备的站点。
    3. 向下滚动到 WAN Edge 高级安全性部分。
    4. 要启用应用可见性,请选中“我的 SRX 设备是否具有应用跟踪许可证”复选框。
    5. 日志源接口框中,输入要用作日志消息源地址的接口的 IP 地址。
      此接口需要连接到云或互联网。它充当应用程序会话记录的日志消息的源地址。
    6. 保存站点配置。
您可以验证 /sites/site-id/setting 的 API 消息以查看以下选项,具体取决于您是选择还是未选择 “我的 SRX 设备是否具有应用跟踪许可证”:

    • “gateway_mgmt“: {“app_usage“: True} 消息指示选中该复选框。

    • “gateway_mgmt“: {“app_usage“: False} 消息指示未选中该复选框。

    例:

注意:

仅当在启用应用程序可见性时使用站点设置选项时,才会显示该 gateway_mgmt 部分。

在初始上线后启用应用可见性

如果要在以前在组织中采用并分配给站点的设备上启用应用程序可见性,请使用此过程。

要在已分配给站点的 SRX 系列防火墙上启用应用可见性,请执行以下作:

  1. 从左侧菜单中,选择“组织”>“管理员”>“站点配置”。
  2. 选择站点。
  3. 向下滚动到 WAN Edge 高级安全性部分。
  4. 要启用应用可见性,请选中“我的 SRX 设备有 App Track 许可证”复选框。
  5. 对于 Log Source Interface (日志源接口),输入 SRX 系列防火墙上可连接到云或互联网的接口的 IP 地址。
    此接口用作应用程序会话记录的日志消息的源地址。
  6. 点击保存
若要查看应用程序详细信息,请单击 “监视 > 服务级别”。单击 “见解 ”选项卡,然后向下滚动到“ 应用程序 ”部分,以获取有关应用程序使用情况的详细信息。