统一策略概述

通过将动态应用添加到匹配标准中，将根据第 7 层应用检测结果对数据流量进行分类。应用 ID （AppID） 标识动态或实时的第 4 层至第 7 层应用。识别应用并找到匹配策略后，将根据策略应用允许、拒绝、拒绝或拒绝和重定向等作。

统一策略利用来自 AppID 的信息来匹配应用，并按照防火墙策略中的规定执行作。在统一策略配置中，您可以使用预定义的动态应用或应用标识签名包中用户定义的自定义应用作为匹配条件。

注意：

在安全策略中将动态应用配置为匹配条件并非必需。

您可以使用动态应用程序选项（如无“、”包括任何服务“和”包括特定服务“）配置统一策略。为动态应用程序配置除 none 以外的值时，service 的缺省值为 junos-defaults。

junos-defaults 组包含预配置的语句，这些语句包括常见应用程序的预定义值。由于默认协议和端口继承自 junos-defaults，因此无需显式配置端口和协议，从而简化了安全策略配置。如果应用程序不包括默认端口和协议，则应用程序将使用相关应用程序的默认端口和协议。junos-defaults 选项必须与动态应用程序一起配置。如果在配置 junos-defaults 选项时未指定任何动态应用程序，则会显示一条错误消息。

可以在统一策略中配置重定向配置文件。当策略通过拒绝和拒绝作阻止 HTTP 或 HTTPS 流量时，您可以在统一策略中定义响应以通知连接的客户端。配置重定向选项时，可以指定自定义消息或客户端重定向到的 URL。

从 Junos Space Security Director 19.3R1 版开始，您可以将 IPS 策略分配给统一防火墙策略规则。系统会为 Junos OS 18.2 及更高版本的设备生成 IPS 策略的 CLI 以及统一防火墙策略（将 IPS 策略分配到该策略）。IPS 策略名称直接用于防火墙策略规则中，因此在 Junos OS 18.2 及更高版本中弃用 [edit security idp active-policy policy-name] 语句。您可以从 Security Director 导入已弃用的活动策略 CLI 并将其转换为新的 CLI。您可以为 Junos OS 版本 18.2 及更高版本的已弃用活动策略导入 IPS 策略。导入 IPS 策略后，将使用 IPS 策略详细信息更新与设备防火墙策略关联的规则。在 Security Director 的后续更新中，您可以看到新的防火墙策略 CLI（预览版），用于附加 IDP，并且可以将其更新到设备。

注意：

• 在运行 Junos OS 18.2 版的设备中，必须为防火墙策略中的所有规则分配相同的 IPS 策略，否则提交将失败。

• 在运行 Junos OS 18.3 及更高版本的设备中，您可以为防火墙策略中的规则分配不同的 IPS 策略。您必须设置默认 IDP 策略，否则提交将失败。