AUF DIESER SEITE
Anwendungsidentifizierung Unterstützung für einheitliche Richtlinien
Einheitliche Richtlinien für Sicherheitsgeräte verstehen
Mit der wachsenden Popularität von Webanwendungen und aufgrund der Verlagerung von traditionellen, vollständig clientbasierten Anwendungen zum Web wird immer mehr Datenverkehr über HTTP übertragen. Anwendungen wie Instant Messaging, Peer-to-Peer-Dateifreigabe, Webmail, Social Networking sowie IP-Sprach- und Videozusammenarbeit umgehen Sicherheitsmechanismen, indem sie Kommunikationsports und Protokolle ändern. Die Verwaltung von Änderungen im Anwendungsverhalten erfordert eine ständige Änderung der Sicherheitsregeln, und die Wartung der Sicherheitsrichtlinienregeln stellt eine große Herausforderung dar. Um solche Änderungen des Anwendungsverhaltens zu bewältigen, benötigen Sie Sicherheitsrichtlinien für die Verwaltung dynamischer Anwendungen.
Als Reaktion auf diese Herausforderung unterstützen die Firewalls der SRX-Serie und die virtuelle Firewall vSRX vSRX von Juniper Networks ab Junos OS Version 18.2R1 einheitliche Richtlinien und ermöglichen so eine granulare Steuerung und Durchsetzung dynamischer Layer-7-Anwendungen innerhalb der Sicherheitsrichtlinie. Einheitliche Richtlinien sind Sicherheitsrichtlinien, die es Ihnen ermöglichen, dynamische Anwendungen als Teil der vorhandenen 5-Tupel- oder 6-Tupel-Übereinstimmungsbedingungen (5-Tupel mit Benutzer-Firewall) zu verwenden, um Anwendungsänderungen im Laufe der Zeit zu erkennen.
Eine einheitliche Richtlinie nutzt die aus dem AppID-Modul (Application Identification) ermittelten Informationen zur Anwendungsidentität. Nachdem eine bestimmte Anwendung identifiziert wurde, wird eine Aktion wie Zulassen, Verweigern, Ablehnen oder Umleiten auf den Datenverkehr gemäß der auf dem Gerät konfigurierten Richtlinie angewendet.
Jeglicher Datenverkehr, der von der Sicherheitsrichtlinie basierend auf Layer-3- oder Layer-4-Kriterien abgelehnt oder abgelehnt wird, wird sofort gelöscht. Der von der Sicherheitsrichtlinie zugelassene Datenverkehr wird auf der Grundlage der AppID-Informationen auf Layer 7 weiter bewertet.
AppID wird aktiviert, wenn Sie eine Sicherheitsrichtlinie mit dynamischen Anwendungen konfigurieren oder wenn Sie Services wie anwendungsrichtlinienbasiertes Routing (APBR), Anwendungsverfolgung (Apptrack), Quality of Service (AppQoS), Anwendungs-Firewall (AppFW), IDP oder Juniper ATP-Cloud in der Sicherheitsrichtlinie aktivieren.
Nützt
Vereinfacht die anwendungsbasierte Verwaltung von Sicherheitsrichtlinien auf Layer 7.
Ermöglicht Ihrem Gerät die Anpassung an die dynamischen Datenverkehrsänderungen im Netzwerk.
Bietet mehr Kontrolle und Erweiterbarkeit zur Verwaltung des Datenverkehrs dynamischer Anwendungen als eine herkömmliche Sicherheitsrichtlinie.
Grundlegendes zur Verwendung von AppID-Informationen durch einheitliche Richtlinien
Eine genaue Klassifizierung des Datenverkehrs ist für die Netzwerksicherheit in Cloud- und Datencenter-Architekturen unerlässlich. Das Identifizieren und Klassifizieren verschiedener Arten von Anwendungsdatenverkehr (der über HTTP abgewickelt wird) ist ebenfalls eine Herausforderung, da Webanwendungen Dokumente, Daten, Bilder sowie Audio- und Videodateien enthalten.
AppID erkennt die Anwendungen in Ihrem Netzwerk unabhängig von Port, Protokoll und Verschlüsselung (TLS/SSL oder SSH) oder anderen Ausweichmaßnahmen. Es verwendet Deep Packet Inspection (DPI)-Techniken, eine Signaturdatenbank sowie bekannte Adressen und Ports, um Anwendungen zu identifizieren. AppID stellt die Informationen wie dynamische Anwendungsklassifizierung, Standardprotokoll und Port einer Anwendung bereit. Für jede Anwendung, die in der abhängigen Liste einer anderen Anwendung enthalten ist, stellt AppID die Informationen der abhängigen Anwendung bereit.
Eine einheitliche Richtlinie nutzt die Informationen aus der AppID, um sie mit der Anwendung abzugleichen und die in der Richtlinie angegebenen Maßnahmen zu ergreifen. In einer einheitlichen Richtlinienkonfiguration können Sie eine vordefinierte dynamische Anwendung (aus dem Signaturpaket für die Anwendungsidentifikation) oder eine benutzerdefinierte Anwendung als Übereinstimmungsbedingung verwenden.
- Grundlegendes zur Identifizierung abhängiger dynamischer Anwendungen
- Zustände dynamischer Anwendungsklassifizierung
- Konfigurieren des Transaktionslimits für die Anwendungsidentifikation
- Hochverfügbarkeitsunterstützung für die Anwendungsidentifizierung für einheitliche Richtlinien
Grundlegendes zur Identifizierung abhängiger dynamischer Anwendungen
Eine Liste abhängiger Anwendungen enthält Anwendungen, über die eine dynamische Anwendung identifiziert werden kann. Die Liste der abhängigen Anwendungen für Facebook umfasst beispielsweise HTTP2 und SSL.
Das Standardprotokoll und der Standardport einer dynamischen Anwendung umfassen das Protokoll und den Port, die für diese Anwendung definiert sind. Wenn das Protokoll und der Port für diese Anwendung nicht definiert sind, wird die Liste der Standardprotokolle und Ports der abhängigen Anwendungen berücksichtigt.
Beispielsweise hängt die Facebook-Access-Anwendung von Anwendungen wie HTTP, SSL und HTTP2 ab. Daher werden das Standardprotokoll und die Ports dieser abhängigen Anwendungen für die Facebook-Access-Anwendung berücksichtigt.
Die abhängige Anwendungsliste sowie die Protokoll- und Portzuordnung einer Anwendung können sich während der Laufzeit ändern, wenn ein neues Anwendungssignaturpaket installiert oder eine benutzerdefinierte Anwendungskonfiguration geändert wird. AppID stellt diese Details für die Sicherheitsrichtlinie bereit.
Zustände dynamischer Anwendungsklassifizierung
Während des Anwendungsidentifizierungsprozesses verarbeitet DPI jedes Paket und klassifiziert es in einen der folgenden Zustände, bis die Anwendung endgültig identifiziert ist:
Vor Übereinstimmung: Bevor eine Anwendung durch den DPI identifiziert wird.
Transaktion endgültig: Bei dynamischen Anwendungen ist eine Transaktion abgeschlossen, aber die Identifizierung der Anwendung ist nicht endgültig. Anwendungen auf Layer 7 können sich mit jeder Transaktion ändern, da sie abhängige Anwendungen haben. Facebook-Anwendungen haben beispielsweise abhängige Anwendungen wie HTTP, SSL usw.
Endgültige Übereinstimmung: Eine abgeglichene Anwendung auf Layer 7 wird entsprechend der konfigurierten maximalen Anzahl von Transaktionen als endgültige Übereinstimmung betrachtet. Das heißt, die Übereinstimmung wird erst dann als endgültig betrachtet, wenn die maximale Anzahl von Transaktionen abgeschlossen ist.
Vor der Identifizierung der endgültigen Anwendung kann die Richtlinie nicht genau zugeordnet werden. Eine Liste potenzieller Richtlinien wird zur Verfügung gestellt, und der Datenverkehr wird mithilfe der potenziellen Richtlinie aus der Liste zugelassen. Nachdem die Anwendung identifiziert wurde, wird die endgültige Richtlinie auf die Sitzung angewendet. Richtlinienaktionen wie Zulassen, Verweigern, Ablehnen oder Umleiten werden wie in den Richtlinienregeln angegeben auf den Datenverkehr angewendet.
DPI kann die übereinstimmende Anwendung während des letzten Spiels wechseln. Die jeweilige Politik bleibt jedoch unverändert. Dies ist der Grund, warum Sie möglicherweise feststellen, dass verschiedene Anwendungen, die in einem Syslog erwähnt werden, Sitzungen derselben Richtlinie erstellen und schließen.
Die Anwendungsklassifizierung wird für Anwendungen, die transaktionsbasiert sind, wie z. B. Facebook, nicht beendet. Um die Klassifizierung für solche Anwendungen zu beenden, können Sie die Ergebnisse mehrerer Transaktionen als endgültige Klassifizierung betrachten.
Konfigurieren des Transaktionslimits für die Anwendungsidentifikation
Sie können die maximale Anzahl von Transaktionen konfigurieren, bevor Sie die endgültigen Ergebnisse für die Identifizierung einer Anwendung mithilfe der set services application-identification maximum-transactions transactions-number Anweisung abschließen. Wenn Sie die maximale Anzahl von Transaktionen konfigurieren, wird DPI erst beendet, wenn die konfigurierte Anzahl von Transaktionen abgeschlossen ist.
Beispiel:
user@host# set services application-identification maximum-transactions 5
Sie können eine Transaktionsnummer zwischen 0 und 25 konfigurieren. Standardmäßig werden fünf Transaktionen berücksichtigt.
Wenn Sie die Anzahl der Transaktionen auf 0 festlegen, wird die DPI nicht beendet. Die endgültige Übereinstimmung für die Anwendung ist möglicherweise nicht verfügbar. und die endgültige Sicherheitsrichtlinie wird nicht angewendet.
Tabelle 1 zeigt die verschiedenen Zustände der Anwendungsidentifikationsklassifizierung, wenn die maximale Transaktion auf fünf festgelegt ist. Beachten Sie, dass es sich bei den Werten in der Tabelle um Beispielwerte handelt und es sich nicht um tatsächliche Werte handelt. Die genaue Transaktion kann je nach Datenverkehrsmuster variieren.
Szenario |
Anwendung identifiziert |
Status der Anwendungsidentifikation |
Transaktionen |
|---|---|---|---|
Erstes Paket der Sitzung |
Nichts |
Vor dem Spiel |
0 |
Zwischenanwendung |
SSL |
Vor dem Spiel |
1 |
Zwischenanwendung in entschlüsselter Nutzlast identifiziert |
HTTP (HTTP) |
Vor dem Spiel |
2 |
Zwischenanwendung identifiziert |
FACEBOOK-ZUGANG |
Vor dem Spiel |
3 |
Zwischenanwendung identifiziert |
FACEBOOK-CHAT |
Abschließende Transaktion (Transaktion =1) |
4 |
Endgültige Anwendung identifiziert |
FACEBOOK-MAIL |
Finaler Treffer (Transaktion = 2) |
4 |
In einheitlichen Richtlinien wird die Konfiguration dynamischer Anwendungen, die anhand von Layer-3- oder Layer-4-Informationen identifiziert werden können (ausgenommen ICMP-basierte Anwendungen), nicht unterstützt. Stattdessen können Sie die Gruppe junos-defaults verwenden, die vordefinierte Werte für Layer-3- und Layer-4-basierte Anwendungen enthält.
Hochverfügbarkeitsunterstützung für die Anwendungsidentifizierung für einheitliche Richtlinien
Wenn eine Anwendung identifiziert wird, werden ihre Klassifizierungsinformationen im System-Cache der Anwendung (ASC) gespeichert.
Wenn Ihr Sicherheitsgerät (z. B. Firewall der SRX-Serie) im Chassis-Cluster-Modus betrieben wird, werden die im ASC gespeicherten Informationen zwischen dem primären und dem sekundären Knoten synchronisiert.
Bei der dynamischen Anwendungsklassifizierung werden die Anwendungsklassifizierungsinformationen pro Sitzung aus der DPI mit dem sekundären Knoten synchronisiert, wenn die Anwendungsklassifizierung endgültig ist.
Während eines Failovers befinden sich die Anwendungsklassifizierungsinformationen auf dem sekundären Knoten in einem der folgenden Zustände:
Anwendung nicht identifiziert
Endgültige Anwendung identifiziert
Nach einem Failover werden die Anwendungsklassifizierungsinformationen, die auf dem neuen primären Knoten verfügbar sind, als endgültige Übereinstimmung betrachtet. Dieselben Informationen werden mit dem neuen sekundären Knoten synchronisiert, da die Klassifizierung nach einem Failover nicht fortgesetzt wird. Das Beispiel in Tabelle 2 Tabelle 2 zeigt den Anwendungsklassifizierungsstatus in einem Chassis-Cluster-Setup.
Status der Anwendungsidentifikation |
Gehäuse-Cluster-Knoten |
Vor dem Failover |
Nach dem Failover |
Details |
|---|---|---|---|---|
Die endgültige Anwendung wird identifiziert. Identifizierte Anwendung: SSL:Facebook |
Primärer Knoten |
Identifizierte Anwendung: SSL:Facebook |
Identifizierte Anwendung: SSL:Facebook |
Nach dem Failover gibt es keine Änderung, da die vollständige Anwendungsklassifizierung mit dem sekundären Knoten synchronisiert wird. |
Sekundärer Knoten |
Identifizierte Anwendung: SSL:Facebook |
Identifizierte Anwendung: SSL:Facebook |
||
Die endgültige Anwendung ist nicht identifiziert. (Teilanwendung ist gekennzeichnet.) Identifizierte Anwendung: SSL |
Primärer Knoten |
Identifizierte Anwendung: SSL |
Identifizierte Anwendung: APP-INVALID |
Die Anwendungsidentifizierung wird nach einem Failover nicht fortgesetzt. |
Sekundärer Knoten |
Identifizierte Anwendung: nicht verfügbar |
Identifizierte Anwendung: APP-INVALID |
||
Die endgültige Anwendung ist nicht identifiziert. (Teilanwendung ist gekennzeichnet) |
Primärer Knoten |
Identifizierte Anwendung: nicht verfügbar |
Identifizierte Anwendung: APP-INVALID |
In diesem Fall ist nach der ersten Paketüberprüfung ein Failover aufgetreten, und es wird keine Anwendung identifiziert. Die Anwendungsidentifizierung wird nach einem Failover nicht fortgesetzt. |
Sekundärer Knoten |
Identifizierte Anwendung: nicht verfügbar |
Identifizierte Anwendung: APP-INVALID |
Aktivieren oder Deaktivieren des Anwendungssystemcaches für Anwendungsdienste
Ab Junos OS Version 18.2R1 wird das Standardverhalten des ASC wie folgt geändert:
- Vor Junos OS Version 18.2R1: ASC ist standardmäßig für alle Services, einschließlich Sicherheitsservices, aktiviert.
-
Ab Junos OS Version 18.2R1 ist ASC standardmäßig aktiviert. Beachten Sie den Unterschied bei der Suche nach Sicherheitsdiensten:
-
Die ASC-Suche für Sicherheitsdienste ist standardmäßig nicht aktiviert. Das heißt, Sicherheitsservices wie Sicherheitsrichtlinien, Anwendungs-Firewall (AppFW), Anwendungsverfolgung (AppTrack), Quality of Service (AppQoS), Juniper ATP-Cloud, IDP und Content Security verwenden den ASC nicht standardmäßig.
-
Die ASC-Suche nach verschiedenen Diensten ist standardmäßig aktiviert. Das heißt, verschiedene Services, einschließlich erweitertes richtlinienbasiertes Routing (APBR), verwenden standardmäßig den ASC für die Anwendungsidentifikation.
-
Die Änderung des Standardverhaltens des ASC wirkt sich auf die Legacyfunktionalität von AppFW aus. Wenn der ASC für die Sicherheitsdienste ab Junos OS Version 18.2 standardmäßig deaktiviert ist, verwendet AppFW die im ASC vorhandenen Einträge nicht.
Sie können das ASC-Verhalten wie in Junos OS-Versionen vor Version 18.2 wiederherstellen, indem Sie den set services application-identification application-system-cache security-services Befehl verwenden.
Das Sicherheitsgerät kann anfällig für Techniken zur Anwendungsvermeidung werden, wenn der ASC für Sicherheitsdienste aktiviert ist. Wir empfehlen, den ASC nur dann zu aktivieren, wenn die Leistung des Geräts in seiner Standardkonfiguration (deaktiviert für Sicherheitsdienste) für Ihren spezifischen Anwendungsfall nicht ausreicht.
Verwenden Sie die folgenden Befehle, um den ASC zu aktivieren oder zu deaktivieren:
Aktivieren Sie den ASC für Sicherheitsdienste:
user@host#set services application-identification application-system-cache security-servicesDeaktivieren Sie den ASC für verschiedene Dienste:
user@host#set services application-identification application-system-cache no-miscellaneous-servicesDeaktivieren Sie den aktivierten ASC für Sicherheitsdienste:
user@host#delete services application-identification application-system-cache security-servicesAktivieren Sie den deaktivierten ASC für verschiedene Dienste:
user@host#delete services application-identification application-system-cache no-miscellaneous-services
Sie können den show services application-identification application-system-cache Befehl verwenden, um den Status des ASC zu überprüfen.
Die folgende Beispielausgabe zeigt den Status des ASC:
user@host>show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
In Versionen vor Junos OS Version 18.2R1 war die Zwischenspeicherung von Anwendungen standardmäßig aktiviert. Sie können es manuell deaktivieren, indem Sie den set services application-identification no-application-system-cache Befehl verwenden.
user@host# set services application-identification no-application-system-cache
Siehe auch
Unterstützung von Tunneling-Anwendungen
Ab Junos OS Version 20.4R1 haben wir die einheitliche Richtliniensuche auf Sicherheitsgeräten verbessert, um Tunneling-Anwendungen zu verwalten. Sie können jetzt eine bestimmte Tunneling-Anwendung mithilfe der einheitlichen Richtlinie blockieren.
Wenn Sie bestimmte Tunneling-Anwendungen wie QUIC oder SOCK blockieren möchten, können Sie diese Tunneling-Anwendungen so konfigurieren, dass eine einheitliche Richtlinie mit der Aktion "Deny" oder "Reject" verwendet wird.
Unterstützung der Anwendungsidentifikation für Mikroanwendungen
Ab Junos OS Version 19.2R1 können Sie die Anwendungen auf einer Unterfunktionsebene mit der Anwendungsidentifikationsfunktion verwalten. In diesem Dokument bezeichnen wir Anwendungsunterfunktionen als Mikroanwendungen.
Mikroanwendungen sind Teil des Anwendungssignaturpakets. Sie müssen die Erkennung von Mikroanwendungen in der Anwendungsidentifikation aktivieren und sie dann als Abgleichskriterien in der Sicherheitsrichtlinie verwenden.
AppID erkennt die Anwendungen auf der Ebene der Unterfunktionen in Ihrem Netzwerk, und die Sicherheitsrichtlinie nutzt die Anwendungsidentitätsinformationen, die aus dem AppID-Modul (Anwendungsidentifikation) ermittelt werden. Nachdem eine bestimmte Anwendung identifiziert wurde, wird eine Aktion wie Zulassen, Verweigern, Ablehnen oder Umleiten auf den Datenverkehr gemäß der auf dem Gerät konfigurierten Richtlinie angewendet.
Das Konzept der Mikroanwendungen ähnelt den transaktionsbasierten Anwendungen, bei denen sich die geschachtelte Anwendung über einer Basisanwendung für dieselbe Sitzung kontinuierlich ändert.
Beispiel:
Stellen Sie sich eine dynamische Anwendung MODBUS vor. READ und WRITE sind Unterfunktionen oder Operationen der MODBUS-Anwendung. Für diese Teilfunktionen müssen wir Mikroanwendungen wie MODBUS-READ und MODBUS-WRITE definieren. Der Anwendungsklassifizierungspfad kann sich ständig zwischen MODBUS:MODBUS-READ und MODBUS:MODBUS-WRITE ändern. In diesem Fall ist MODBUS die Basisanwendung und MODBUS-READ und MODBUS-WRITE sind verschachtelte Anwendungen, d. h. Mikroanwendungen.
Sie können die Mikroanwendungen in derselben Hierarchie wie die vordefinierte dynamische Anwendung in einer Sicherheitsrichtlinie konfigurieren und die Aktion basierend auf den Richtlinienregeln ausführen.
Durch die Konfiguration dieser Mikroanwendungen in Sicherheitsrichtlinien können Sie MODBUS-Unterfunktionen zulassen oder verweigern, anstatt die gesamte MODBUS-Anwendung zu blockieren oder zuzulassen.
- Klassifizierung von Mikroanwendungen
- Liste abhängiger Anwendungen und Standardprotokolle und -ports
- Richtliniendurchsetzung für Mikroanwendungen
- Installation von Mikroanwendungen
- Verwaltung des DNS-over-HTTP- und DNS-over-TLS-Anwendungsdatenverkehrs
Klassifizierung von Mikroanwendungen
Die Anwendungsklassifizierung für Mikroanwendungen reicht nicht bis zur endgültigen Übereinstimmung, da sich die Mikroanwendung für die Sitzung ständig ändert. Eine übereinstimmende Anwendung wird erst dann als endgültige Übereinstimmung betrachtet, wenn die maximale Anzahl von Transaktionen abgeschlossen ist.
AppID hat das maximale Transaktionslimit von 25, jedoch hat jedes Dienstmodul sein eigenes Limit, das auf seinen eigenen Anforderungen basiert. Wenn das dienstspezifische Limit vor dem maximalen Transaktionslimit (25) erreicht wird, markiert das Dienstmodul seine Richtlinie als endgültig. AppID setzt jedoch die Anwendungsklassifizierung fort und entlädt die Sitzung, wenn der Grenzwert von 25 erreicht wird.
Sie können den set services application-identification max-transactions Befehl verwenden, um das Transaktionslimit zu konfigurieren.
Liste abhängiger Anwendungen und Standardprotokolle und -ports
Eine Liste abhängiger Anwendungen enthält Anwendungen, über die eine dynamische Anwendung identifiziert werden kann. Das Standardprotokoll und der Standardport einer dynamischen Anwendung umfassen das Protokoll und den Port, die für diese Anwendung definiert sind.
Abhängige Anwendungslisten sowie Standardprotokolle und -ports werden von einer einheitlichen Richtlinie zur Durchsetzung der Sicherheitsrichtlinie verwendet. Die Liste der abhängigen Anwendungen und die Standardprotokolle und -ports der Mikroanwendung sind die gleichen wie bei der Basisanwendung.
Beispiel: Die Liste der abhängigen Anwendungen und die Standardports der Mikroanwendung MODBUS-READ sind identisch mit der Liste der abhängigen Anwendungen und den Standardports von MODBUS.
Richtliniendurchsetzung für Mikroanwendungen
Sicherheitsrichtlinien erzwingen Regeln für den Transitdatenverkehr, in Bezug darauf, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, wenn er das Gerät passiert. Wenn Sie eine Sicherheitsrichtlinie mit Mikroanwendung als Übereinstimmungskriterium konfiguriert haben, benötigt das Richtlinienmodul Informationen zur Identifizierung von Mikroanwendungen aus AppID.
Die Anwendungsklassifizierung mit Mikroanwendungen erreicht nicht die endgültige Übereinstimmung, da sich die Mikroanwendung für die Sitzung ständig ändert. Die endgültige Übereinstimmung für die Anwendung ist jedoch für die Richtliniensuche und -verarbeitung erforderlich. Sie können den Befehl [edit security policies unified-policy-max-lookups] verwenden, um die Anzahl der Richtlinienabfragen zu begrenzen.
Nachdem die Anwendung identifiziert wurde, wird die endgültige Richtlinie auf die Sitzung angewendet. Richtlinienaktionen wie Zulassen, Verweigern, Ablehnen oder Umleiten werden wie in den Richtlinienregeln angegeben auf den Datenverkehr angewendet.
Installation von Mikroanwendungen
Mikroanwendungen sind Teil des Anwendungssignaturpakets. Wenn Sie das Anwendungssignaturpaket herunterladen und installieren, werden auch Mikroanwendungen installiert, die in den Sicherheitsrichtlinien konfiguriert werden können. Mit dem show services application-identification status Befehl können Sie die Details der Mikroanwendungen anzeigen.
Wenn Sie Mikroanwendungen in einer Sicherheitsrichtlinie konfiguriert haben, die in Junos OS Version 19.2 beginnt, ist ein Downgrade auf die vorherige Version von Junos OS nicht möglich. Für ein Downgrade auf die vorherige Version von Junos OS-Versionen müssen Sie die in Ihren Sicherheitsrichtlinien konfigurierten Mikroanwendungen entfernen.
Verwaltung des DNS-over-HTTP- und DNS-over-TLS-Anwendungsdatenverkehrs
In Junos OS Version 20.4R1 führen wir eine neue Mikroanwendung, DNS-ENCRYPTED, ein, um das Anwendungssignaturpaket zu erweitern. Durch die Konfiguration dieser Mikroanwendung in einer Sicherheitsrichtlinie erhalten Sie eine granulare Kontrolle über den DNS-over-HTTP- und DNS-over-TLS-Anwendungsdatenverkehr.
Die DNS-VERSCHLÜSSELTE Anwendung ist standardmäßig aktiviert. Sie können es mit dem request services application-identification application disable DNS-ENCRYPTED Befehl deaktivieren.
Mit dem show services application-identification application Befehl können Sie die Details der Mikroanwendungen anzeigen.
Aktivieren und Deaktivieren der Erkennung von Mikroanwendungen
Sie können die Erkennung von Mikroanwendungen aktivieren oder deaktivieren. Standardmäßig ist die Erkennung von Mikroanwendungen deaktiviert. Sie müssen Mikroanwendungen aktivieren, um sie in Ihrer Sicherheitsrichtlinie verwenden zu können.
Sie können Mikroanwendungen mit den folgenden Befehlen aktivieren oder deaktivieren:
Aktivieren Sie die Erkennung von Mikroanwendungen (aus dem Konfigurationsmodus).
user@host# set services application-identification micro-apps
Deaktivieren Sie eine bestimmte Mikroanwendung (aus dem Betriebsmodus).
user@host> request services application-identification application disable application-name
Beispiel:
user@host>request services application-identification application disable junos:MODBUS
Beispiel: Konfiguration von Mikroanwendungen
In diesem Beispiel wird gezeigt, wie Mikroanwendungen in einer Sicherheitsrichtlinie konfiguriert werden, um die Richtlinie auf Unterfunktionsebene durchzusetzen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewall der SRX-Serie mit Junos OS Version 19.2R1 oder höher. Dieses Konfigurationsbeispiel wurde unter Junos OS Version 19.2R1 getestet.
Gültige Lizenz für die Anwendungsidentifikationsfunktion, die auf einer Firewall der SRX-Serie installiert ist.
Bevor Sie beginnen, installieren Sie eine vollständige Signaturdatenbank von einem IDP oder einem Sicherheitspaket für die Anwendungsidentifikation. Weitere Informationen finden Sie unter Manuelles Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets oder Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets als Teil des IDP-Sicherheitspakets.
Überblick
In diesem Beispiel erstellen Sie eine Sicherheitsrichtlinie mit den Mikroanwendungen MODBUS-READ-COILS und MODBUS-WRITE-SINGLE-COIL, MODBUS-READ-COILS, MODBUS-WRITE-MULTIPLE-COILS. Anwendungsdatenverkehr, der diesen Mikroanwendungen entspricht, ist zulässig.
Konfiguration
- Konfigurieren von Sicherheitsrichtlinien mit Mikroanwendungen
- Konfiguration der Servicequalität von Anwendungen mit Mikroanwendungen
Konfigurieren von Sicherheitsrichtlinien mit Mikroanwendungen
CLI Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um Ihrer Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.
set services application-identification micro-apps set security policies from-zone untrust to-zone trust policy P1 match source-address any set security policies from-zone untrust to-zone trust policy P1 match destination-address any set security policies from-zone untrust to-zone trust policy P1 match application any set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS set security policies from-zone untrust to-zone trust policy P1 then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie eine benutzerdefinierte Anwendungsgruppe für die Anwendungsidentifikation:
Aktivieren Sie die Erkennung von Mikroanwendungen.
[edit] user@host# set services application-identification micro-apps
Definieren Sie eine Sicherheitsrichtlinie mit anderen Richtlinienübereinstimmungskriterien.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match application any
Definieren Sie Anwendung und Mikroanwendung als Matching-Kriterien.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS
Definieren Sie die Richtlinienmaßnahme.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies from-zone untrust to-zone trust
from-zone untrust to-zone trust {
policy P1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL junos:MODBUS-WRITE-MULTIPLE-COILS ];
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfiguration der Servicequalität von Anwendungen mit Mikroanwendungen
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie eine benutzerdefinierte Anwendungsgruppe für die Anwendungsidentifikation:
Definieren Sie AppQoS-Konfigurationsparameter mit der Mikroanwendung junos:MODBUS-READ-COILS.
[edit] user@host# set class-of-service application-traffic-control rate-limiters RL1 bandwidth-limit 1000 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:MODBUS-READ-COILS user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then dscp-code-point 111110 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then loss-priority high user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server RL1 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then log
Erstellen Sie eine Sicherheitsrichtlinie.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any
Definieren Sie die Richtlinienmaßnahme.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 then permit application-services application-traffic-control rule-set RS1
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den how class-of-service Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show class-of-service
application-traffic-control {
rate-limiters RL1 {
bandwidth-limit 1000;
}
rule-sets RS1 {
rule 1 {
match {
application junos:MODBUS-READ-COILS;
}
then {
dscp-code-point 111110;
loss-priority high;
rate-limit {
client-to-server RL1;
}
log;
}
}
}
}
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies from-zone untrust to-zone trust
from-zone untrust to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:MODBUS-READ-COILS];
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen des Status von Mikroanwendungen
Zweck
Stellen Sie sicher, dass Mikroanwendungen aktiviert sind.
Aktion
Verwenden Sie den Befehl, um die Version der Mikroanwendungen abzurufen, und verwenden Sie show services application-identification application micro-applications den show services application-identification status Befehl, um die Details der Mikroanwendungen abzurufen.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Disabled Max Number of entries in cache 0 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3172 Status Active PB Version 1.380.0-64.005 (build date May 13 2019) Engine version 5.3.0-56 (build date May 13 2019) Micro-App Version 1.0.0-0 Sessions 0
Beispielausgabe
Dienstleistungen anzeigen Anwendungsidentifikation Anwendungsmikroanwendungen
user@host> show services application-identification application micro-applications Micro Applications junos:BACNET-GET-EVENT-INFORMATION junos:BACNET-SUBSCRIBE-COV-PROPERTY junos:BACNET-LIFE-SAFETY-OPERATION junos:BACNET-READ-RANGE junos:BACNET-REQUEST-KEY junos:BACNET-AUTHENTICATE junos:BACNET-VT-DATA junos:BACNET-VT-CLOSE junos:BACNET-VT-OPEN junos:BACNET-REINITIALIZE-DEVICE junos:BACNET-CONFIRMED-TEXT-MESSAGE junos:BACNET-CONFIRMED-PRIVATE-XFER junos:BACNET-DEVICE-COMM-CONTROL junos:BACNET-WRITE-PROP-MULTIPLE junos:BACNET-WRITE-PROPERTY junos:BACNET-READ-PROP-MULTIPLE junos:BACNET-READ-PROP-CONDITIONAL junos:BACNET-READ-PROPERTY junos:BACNET-DELETE-OBJECT junos:BACNET-CREATE-OBJECT junos:BACNET-REMOVE-LIST-ELEMENT junos:BACNET-ADD-LIST-ELEMENT junos:BACNET-ATOMIC-WRITE-FILE junos:BACNET-ATOMIC-READ-FILE junos:BACNET-SUBSCRIBE-COV junos:SIEMENS-S7-SETUP-COMM junos:SIEMENS-S7-UPLOAD-START ......
Weitere Informationen finden Sie unter show services-application-identification application micro-applications .
Verifizierung von Statistiken für Mikroanwendungen
Zweck
Vergewissern Sie sich, dass Mikroanwendungen angewendet werden.
Aktion
Verwenden Sie die folgenden Befehle, um die Details der Mikroanwendungen abzurufen.
Beispielausgabe
Befehlsname
user@host> show services application-identification statistics applications
Last Reset: 2018-12-16 01:45:47 PST
Application Sessions Bytes Encrypted
MODBUS-READ-COILS 1 1026 No
MODBUS-WRITE-SINGLE-COIL 1 1254 No
user@host> show services application-identification statistics applications details (Junos OS Release 20.3)
Logical System: root-logical-system
Last Reset: 2020-05-08 08:55:31 PDT
Application Enc DPI final-match Pre-match Limits
final-match
NTP No 1 0 0
SYSLOG No 5 0 0
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
set services application-identification no-application-system-cache Befehl verwenden.