统一策略概述

通过将动态应用添加到匹配标准中，可根据第 7 层应用检测结果对数据流量进行分类。应用 ID （AppID） 用于识别动态或实时的第 4 层到第 7 层应用。在识别出应用并找到匹配策略后，将根据策略应用允许、拒绝、拒绝或拒绝和重定向等作。

统一策略利用来自 AppID 的信息来匹配应用，并按照防火墙策略中指定的方式执行作。在统一策略配置中，可以使用应用标识签名包中的预定义动态应用或用户定义的自定义应用作为匹配条件。

注意：

在安全策略中将动态应用配置为匹配标准并非必需条件。

您可以使用动态应用程序选项（如无、包括任何服务和包括特定）配置统一策略。如果为动态应用程序配置除 none 之外的值，则 service 的默认值为 junos-defaults。

junos-defaults 组包含预配置的语句，这些语句包括常见应用程序的预定义值。由于默认协议和端口继承自 junos-defaults，因此无需显式配置端口和协议，从而简化安全策略配置。如果应用程序不包含默认端口和协议，则应用程序将使用依赖应用程序的默认端口和协议。junos-defaults 选项必须与动态应用程序一起配置。如果在配置 junos-defaults 选项时未指定任何动态应用程序，则会显示一条错误消息。

可以在统一策略中配置重定向配置文件。当策略通过拒绝和拒绝作阻止 HTTP 或 HTTPS 流量时，您可以在统一策略中定义响应以通知连接的客户端。配置重定向选项时，可以指定自定义消息或客户端重定向到的 URL。

从 Junos Space Security Director 19.3R1 版开始，您可以将 IPS 策略分配给统一防火墙策略规则。系统会为 IPS 策略生成 CLI，以及 Junos OS 18.2 及更高版本的设备的统一防火墙策略（分配了 IPS 策略）。IPS 策略名称直接用于防火墙策略规则，因此 [edit security idp active-policy policy-name] 语句在 Junos OS 18.2 及更高版本中已被弃用。您可以从 Security Director 导入已弃用的活动策略 CLI 并将其转换为新的 CLI。您可以为已弃用的 Junos OS 18.2 及更高版本的主动策略导入 IPS 策略。导入 IPS 策略后，与设备的防火墙策略关联的规则将使用 IPS 策略详细信息进行更新。在 Security Director 的后续更新中，您可以看到用于附加 IDP 的新防火墙策略 CLI（预览版），并且可以将其更新到设备。

注意：

• 在装有 Junos OS 18.2 版的设备中，您必须为防火墙策略中的所有规则分配相同的 IPS 策略，否则提交失败。

• 在安装了 Junos OS 18.3 及更高版本的设备中，您可以为防火墙策略中的规则分配不同的 IPS 策略。您必须设置默认 IDP 策略，否则提交失败。