Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

启用应用可见性(仅限 SRX)

请按照以下步骤启用应用感知安全服务。

瞻博网络应用安全性 (AppSecure) 功能是一套适用于瞻博网络® SRX 系列防火墙的应用感知安全服务。您可以通过 AppSecure 查看网络上的应用并了解其工作原理。您可以通过它观察他们的行为特征并评估他们的相对风险,从而使瞻博网络 Mist™ 云跟踪和报告通过该设备的应用。

开始之前

请参阅此列表,确保您拥有启用应用程序可见性所需的许可证和应用程序签名。

  • 您需要在 SRX 系列防火墙上拥有有效的 AppSecure 许可证,才能使用该功能。使用该 show system license 命令检查您的设备是否有许可证。有关许可证要求和安装的详细信息,请参阅《 瞻博网络许可用户指南》。

  • 建议使用最新版本的应用程序签名。要安装最新版本的应用程序签名,请在您的设备上运行以下命令:

    1. 在您的设备上下载应用程序签名包版本。该命令将下载软件包的最新版本。

    2. 在您的设备上安装应用程序签名包版本。

    3. 验证设备上安装的应用程序签名包版本。

    有关更多详细信息,请参阅 用于应用程序识别的预定义应用程序签名

    您可以在设备的瞻博网络 Mist 云门户的 “安全服务” 面板下查看应用签名版本。

    图 1:检查应用程序安全性 (AppSecure) 版本 Check Application Security (AppSecure) Version

在设备采用期间启用应用可见性

如果要载入新设备,则可以在正常设备采用工作流中启用应用可见性。此选项在站点分配设置中可用。

要在将设备分配到站点时启用应用可见性:

  1. 在左侧菜单中,单击组织>管理员>清单
  2. 单击“清单”(Inventory) 页面顶部的 WAN Edge 按钮。
  3. 单击页面右上角的采用 WAN 边缘按钮。
    图 2:WAN 边缘采用命令 WAN Edge Adoption Commands

    瞻博网络 Mist 会在“ WAN 边缘采用” 窗口中生成一个代码片段。

  4. 确保您已选择 SRX 选项,然后单击复制到剪贴板
  5. 关闭弹出窗口。
  6. 转到 SRX 系列防火墙的 CLI,进入配置模式,粘贴代码并提交配置。

    此代码将在 SRX 系列防火墙上创建以下设置:

    • 启用 SSH。

    • 创建瞻博网络 Mist 云用户。

    • 创建设备 ID 和凭据。

    • 设置出站 SSH 客户端和关联的计时器。

    在 SRX 系列防火墙上提交配置后,设备将显示在瞻博网络 Mist 门户的“清单”页面上。

  7. 在 Inventory 页面上,选中新添加的 SRX 系列防火墙的复选框,然后单击页面顶部的 More,然后单击 Assign to Site
  8. 在“分配网关”弹出窗口中,输入以下设置:
    1. 选择站点。
    2. 要在瞻博网络 Mist 中管理配置,请选中“管理配置”复选框。
    3. 选择适当的选项来描述您的 AppTrack 许可证。

      • 设备具有 App Track 许可证 - 设备上已启用应用可见性。

      • 设备没有应用跟踪许可证 — 设备没有应用安全许可证。

      • 将站点设置用于 App Track 许可证 - 在站点设置选项下启用应用程序可见性。

    4. 单击分配给站点
  9. 对于基于设备的许可证或无许可证 - 如果您在网关分配窗口中选择设备具有 App Track 许可证设备没有 App Track 许可证,请完成以下附加步骤。
    1. 在 Inventory 页面上,单击新分配的 SRX。
    2. 在设备详细信息页面上,向下滚动到“应用程序可见性”部分。
    3. 选择您在站点分配窗口中选择的同一许可证选项:设备具有 App Track 许可证设备没有 App Track 许可证
    4. 单击设备详细信息页面右上角的保存
  10. 对于基于站点的许可证 - 如果您在网关分配窗口中选择了将站点设置用于 App Track 许可证,请完成以下附加步骤。
    1. 从左侧菜单中,选择“组织”>“管理员>“站点配置”。
    2. 选择分配给新添加的 SRX 设备的站点。
    3. 向下滚动到 WAN Edge 高级安全性部分。
    4. 要启用应用可见性,请选中“我的 SRX 设备具有 App Track 许可证”复选框。
    5. 日志源接口框中,输入要用作日志消息源地址的接口的 IP 地址。
      此接口需要连接到云或互联网。它充当应用程序会话记录的日志消息的源地址。
    6. 保存站点配置。
您可以验证 /sites/site-id/setting 的 API 消息以查看以下选项,具体取决于您选择还是未选择 “我的 SRX 设备具有 App Track 许可证”:

    • “gateway_mgmt“: {“app_usage“: True} 消息指示已选中该复选框。

    • “gateway_mgmt“: {“app_usage“: False} 消息指示未选中该复选框。

    示例:

注意:

仅当在启用应用程序可见性时使用站点设置选项时,才会显示该 gateway_mgmt 部分。

在首次上线后启用应用可见性

如果要在以前采用到组织中并分配给站点的设备上启用应用程序可见性,请使用此过程。

要在已分配给站点的 SRX 系列防火墙上启用应用可见性:

  1. 从左侧菜单中,选择“组织”>“管理员>“站点配置”
  2. 选择站点。
  3. 向下滚动到 WAN Edge 高级安全性部分。
  4. 要启用应用可见性,请选中“我的 SRX 设备具有 App Track 许可证”复选框。
  5. 对于日志源接口,输入 SRX 系列防火墙上连接到云或互联网的接口的 IP 地址。
    此接口充当应用会话记录的日志消息的源地址。
  6. 点击保存
要查看应用程序详细信息,请单击 监控 > 服务级别。单击 见解 选项卡,然后向下滚动到 应用程序 部分,以获取有关应用程序使用情况的详细信息。