Benutzerdefinierte Anwendungssignaturen zur Anwendungsidentifikation
Benutzerdefinierte benutzerdefinierte Anwendungssignaturen können auch verwendet werden, um die Anwendung unabhängig vom verwendeten Protokoll und Port zu identifizieren. Sie können benutzerdefinierte Signaturen mithilfe von Hostnamen, IP-Adressbereichen und Ports erstellen, mit denen Sie den Datenverkehr zu bestimmten Zielen verfolgen können. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur Anwendungsidentifikation von Junos OS Benutzerdefinierte Anwendungssignaturen
Dieses Thema enthält die folgenden Abschnitte:
- Übersicht über benutzerdefinierte Anwendungssignaturen
- Verbesserungen an benutzerdefinierten Anwendungssignaturen
- Unterstützte Typen von benutzerdefinierten Anwendungssignaturen
- Vorteile der Verwendung von benutzerdefinierten Anwendungssignaturen
- Begrenzungen
- Zusätzliche Konfigurationsoptionen für benutzerdefinierte Anwendungssignaturen
Übersicht über benutzerdefinierte Anwendungssignaturen
Die Junos OS-Anwendungsidentifikationsfunktion bietet Ihnen die Flexibilität, benutzerdefinierte Signaturen zur Identifizierung jeder Anwendung zu erstellen, unabhängig davon, ob es sich um eine webbasierte oder eine Client-Server-Anwendung handelt. Sie können benutzerdefinierte Anwendungssignaturen für Anwendungen erstellen, die auf ICMP, IP-Protokoll, IP-Adresse und Layer 7 basieren.
Im Allgemeinen sind benutzerdefinierte Anwendungssignaturen für Ihre Umgebung einzigartig und werden hauptsächlich verwendet, um interne oder benutzerdefinierte Anwendungen zu überprüfen. Nachdem Sie benutzerdefinierte Anwendungssignaturen erstellt haben, klassifiziert und überprüft AppID auf die gleiche Weise wie Standardanwendungen. Da benutzerdefinierte Anwendungssignaturen nicht Teil des vordefinierten Anwendungspakets sind, werden sie in der Konfigurationshierarchie und nicht in der vordefinierten Anwendungssignaturdatenbank gespeichert.
Sie müssen das Anwendungssignaturpaket auf Ihr Gerät herunterladen und installieren, um benutzerdefinierte Signaturen zu konfigurieren. Wenn die benutzerdefinierten Signaturen konfiguriert sind, können Sie das Anwendungssignaturpaket nicht deinstallieren. Alle benutzerdefinierten Anwendungssignaturen werden unverändert übernommen, wenn Sie Ihr System auf eine neue Softwareversion aktualisieren.
Verbesserungen an benutzerdefinierten Anwendungssignaturen
Die Signaturfunktionalität für benutzerdefinierte Anwendungen stellt eine neue Reihe von Anwendungen und Kontexten bereit.
Benutzerdefinierte Anwendungssignaturkontexte sind jetzt Teil des Anwendungssignaturpakets. Wenn Sie die neu eingeführte Anwendung und Kontexte für benutzerdefinierte Anwendungssignaturen verwenden möchten, müssen Sie die neueste Anwendungssignaturpaketversion 3248 oder höher herunterladen und installieren. Sie können das Anwendungssignaturpaket separat aktualisieren, ohne Junos OS zu aktualisieren.
Unterstützte Typen von benutzerdefinierten Anwendungssignaturen
Sicherheitsgeräte unterstützen die folgenden Arten von benutzerdefinierten Signaturen:
ICMP-basiertes Mapping
Adressbasierte Zuordnung
IP-Protokollbasierte Zuordnung
Layer-7-basiertes und TCP/UDP-Stream-basiertes Mapping
Bei allen unterstützten benutzerdefinierten Anwendungssignaturen haben ICMP-basierte, IP-protokollbasierte und adressbasierte benutzerdefinierte Anwendungen eine höhere Priorität als benutzerdefinierte Anwendungen, die auf Layer 7 und TCP/UDP-Stream basieren. Benutzerdefinierte Anwendungssignaturen in der Prioritätsreihenfolge sind: ICMP-basierte, IP-Protokoll-basierte, adressbasierte und Layer7-basierte oder TCP/UDP-Stream-basierte benutzerdefinierte Anwendungen.
- ICMP-basiertes Mapping
- Adressbasierte Zuordnung
- IP-Protokollbasierte Zuordnung
- Layer 7-basierte und TCP/UDP-Stream-basierte Signaturen
ICMP-basiertes Mapping
Die ICMP-Zuordnungstechnik ordnet Standard-ICMP-Meldungstypen und optionale Codes einem eindeutigen Anwendungsnamen zu. Mit diesem Zuordnungsverfahren können Sie zwischen verschiedenen Typen von ICMP-Nachrichten unterscheiden. Die ICMP-Zuordnungstechnik unterstützt keinen ICMPv6-Datenverkehr.
IDP funktioniert nur mit TCP- oder UDP-Datenverkehr. Daher gilt die ICMP-Zuordnung nicht für IDP und kann IDP-Funktionen wie benutzerdefinierte Angriffe nicht unterstützen.
Adressbasierte Zuordnung
Die Layer-3- und Layer-4-Adresszuordnung definiert eine Anwendung anhand der IP-Adresse und des optionalen Portbereichs des Datenverkehrs.
Für die Konfiguration von adressbasierten benutzerdefinierten Anwendungen auf Layer-3- und Layer-4-Ebene müssen Sie die IP-Adresse und den Portbereich mit der IP-Adresse und dem Port des Ziels abgleichen. Wenn sowohl die IP-Adresse als auch der Port konfiguriert sind, müssen beide Kriterien mit der Ziel-IP-Adresse und dem Portbereich des Pakets übereinstimmen.
Stellen Sie sich einen SIP-Server (Session Initiation Protocol) vor, der Sitzungen über seinen bekannten Port 5060 initiiert. Da der gesamte Datenverkehr von dieser IP-Adresse und diesem Port nur von der SIP-Anwendung generiert wird, kann die SIP-Anwendung zur Anwendungsidentifikation der IP-Adresse und dem Port 5060 des Servers zugeordnet werden. Auf diese Weise wird der gesamte Datenverkehr mit dieser IP-Adresse und diesem Port als SIP-Anwendungsverkehr identifiziert.
Wenn Sie eine adressbasierte Anwendung und eine TCP/UDP-Stream-basierte Anwendung konfigurieren und eine Sitzung mit beiden Anwendungen übereinstimmt, wird die TCP/UDP-Stream-basierte Anwendung als Anwendung und die adressbasierte Anwendung als erweiterte Anwendung gemeldet.
Um eine angemessene Sicherheit zu gewährleisten, verwenden Sie die Adresszuordnung, wenn die Konfiguration Ihres privaten Netzwerks Anwendungsdatenverkehr zu oder von vertrauenswürdigen Servern vorhersagt. Die Adresszuordnung bietet Effizienz und Genauigkeit bei der Verarbeitung des Datenverkehrs aus einer bekannten Anwendung.
IP-Protokollbasierte Zuordnung
Standard-IP-Protokollnummern ordnen eine Anwendung dem IP-Datenverkehr zu. Wie bei der Adresszuordnung sollten Sie die IP-Protokollzuordnung nur in Ihrem privaten Netzwerk für die vertrauenswürdigen Server verwenden, um eine angemessene Sicherheit zu gewährleisten.
IDP funktioniert nur mit TCP- oder UDP-Datenverkehr. Die IP-Protokollzuordnung gilt daher nicht für IDP und kann IDP-Funktionen wie benutzerdefinierte Angriffe nicht unterstützen.
IP-protokollbasierte benutzerdefinierte Anwendungssignaturen funktionieren in Junos OS-Versionen 19.2 bis Junos OS 19.4 nicht wie erwartet. In späteren Versionen können Sie IP-protokollbasierte benutzerdefinierte Anwendungssignaturen verwenden.
Vorgeschlagene Problemumgehung:
Wenn Sie eine einheitliche Richtlinie konfigurieren, verwenden Sie die dienstbasierte Anwendungskonfiguration. Beispiel:
user@host#set applications application application-name protocol IP-proto-numberBeispiel:
user@host#set applications application A1 protocol 2Wenn Sie eine Legacy-Anwendungs-Firewall verwenden, verwenden Sie vordefinierte IP-Protokollanwendungen. Beispiel
user@host#set security application-firewall rule-sets rule-set-name rule rule-name match dynamic-application application-nameBeispiel:
user@host#set security application-firewall rule-sets RS-1 rule R1 match dynamic-application junos:IPP-IGMP
Layer 7-basierte und TCP/UDP-Stream-basierte Signaturen
Benutzerdefinierte Layer-7-Signaturen definieren eine Anwendung, die über TCP-, UDP- oder Layer-7-Anwendungen ausgeführt wird.
Benutzerdefinierte Layer-7-basierte Anwendungssignaturen sind für die Identifizierung mehrerer Anwendungen erforderlich, die auf denselben Layer-7-Protokollen ausgeführt werden. Beispielsweise können Anwendungen wie Facebook und Yahoo Messenger beide über HTTP ausgeführt werden, aber es ist notwendig, sie als zwei verschiedene Anwendungen zu identifizieren, die auf demselben Layer-7-Protokoll ausgeführt werden.
Benutzerdefinierte Anwendungssignaturen auf Layer 7-Basis erkennen Anwendungen anhand von Mustern in HTTP-Kontexten. Einige HTTP-Sitzungen werden jedoch in SSL verschlüsselt. Die Anwendungsidentifizierung kann auch die Servernamensinformationen oder die Serverzertifizierung aus den TLS- oder SSL-Sitzungen extrahieren. Er kann auch Muster in TCP- oder UDP-Nutzdaten in Layer-7-Anwendungen erkennen.
Vorteile der Verwendung von benutzerdefinierten Anwendungssignaturen
Durchsetzung von Sicherheitsrichtlinien, die für Ihre Netzwerkumgebung auf der Grundlage spezifischer Anwendungen gelten
Visibilität für unbekannte oder nicht klassifizierte Anwendungen
Identifizieren von Anwendungen über Layer 7 und durchlaufenden oder temporären Anwendungen und um eine weitere Granularität bekannter Anwendungen zu erreichen
Durchführung von Quality-of-Service (QoS) für jede spezifische Anwendung
Begrenzungen
Die folgenden Funktionen werden nicht unterstützt:
Einige der PCRE-basierten Ausdrücke und Unicode-basierten Zeichen (falls in Hyperscan nicht unterstützt)
Erzwingung der Ordnung unter den Mitgliedern in Layer-7-basierten Signaturen
Die Platzhalteradresse für adressbasierte Signaturen (Layer 3 und Layer 4)
Zusätzliche Konfigurationsoptionen für benutzerdefinierte Anwendungssignaturen
Ab Junos OS Version 20.1R1 und wenn Sie die Anwendungssignaturpaketversion 3248 oder höher verwenden, können Sie die folgenden Optionen für benutzerdefinierte Anwendungssignaturen konfigurieren:
- Tiefe benutzerdefinierter Anwendungsmuster
- Byte-Limit für die Überprüfung benutzerdefinierter Anwendungen
- Priorität für benutzerdefinierte Anwendungen
- Alternativer Name des Antragstellers
Tiefe benutzerdefinierter Anwendungsmuster
Sie können den Bytegrenzwert für AppID angeben, um das benutzerdefinierte Anwendungsmuster für die Anwendungen zu identifizieren, die über TCP- oder UDP- oder Layer 7-Anwendungen ausgeführt werden.
Verwenden Sie zum Konfigurieren des Grenzwerts die folgenden Konfigurationsanweisungen aus der Hierarchie [edit] :
user@host# set services application-identification application application-name over application signature signature-name member number depth
Beispiel:
user@host# set services application-identification application my_custom_address over HTTP signature my_addr_sig1 member m01 depth 256
Bei benutzerdefinierten Layer-7-Anwendungen wird die Tiefe vom Anfang des Layer-7-Kontexts aus betrachtet. Bei benutzerdefinierten TCP/UDP-Stream-basierten Anwendungen wird die Tiefe am Anfang der TCP/UDP-Nutzlast berücksichtigt.
Byte-Limit für die Überprüfung benutzerdefinierter Anwendungen
Sie können den Grenzwert für Inspektionsbyte für AppID festlegen, um die Klassifizierung abzuschließen und die benutzerdefinierte Anwendung in einer Sitzung zu identifizieren. Beim Überschreiten des Grenzwerts beendet AppID die Anwendungsklassifizierung. Sie können diese Option verwenden, um den Durchsatz des Anwendungsdatenverkehrs zu verbessern.
Um das Bytelimit der Anwendung zu konfigurieren, verwenden Sie die folgenden Konfigurationsanweisungen aus der [Bearbeiten]-Hierarchie:
user@host# set services application-identification custom-application-byte-limit byte-number
Beispiel:
user@host# set services application-identification custom-application-byte-limit 400
Wenn Sie eine benutzerdefinierte Anwendungssignatur für eine vordefinierte Anwendung konfiguriert haben und AppID die vordefinierte Anwendung bereits identifiziert hat, fährt DPI mit der benutzerdefinierten Signaturidentifizierung fort. Während die Identifizierung der benutzerdefinierten Signatur ausgeführt wird, wird die Klassifizierung als nicht endgültig markiert. Wenn innerhalb des Bytelimits für benutzerdefinierte Anwendungen keine benutzerdefinierte Anwendung identifiziert wird und die vordefinierte Anwendung bereits identifiziert ist, schließt AppID die vordefinierte Anwendung als abgeschlossen ab und lädt die Sitzung aus.
Priorität für benutzerdefinierte Anwendungen
In Versionen vor Junos OS 20.1R1 war die Standardpriorität für die benutzerdefinierten Anwendungssignaturen hoch, sodass benutzerdefinierte Signaturen Vorrang vor den vordefinierten Anwendungen hatten. Jetzt ist die Standardpriorität für die benutzerdefinierte Anwendungssignatur niedrig.
Wenn AppID eine benutzerdefinierte Anwendung mit niedriger Priorität identifiziert, bevor eine vordefinierte Anwendung identifiziert wird, wird gewartet, bis die vordefinierte Anwendungsklassifizierung endgültig ist. Wenn keine vordefinierte Anwendungsübereinstimmung verfügbar ist und die benutzerdefinierte Anwendung identifiziert wird, beendet AppID die Klassifizierung mit der identifizierten benutzerdefinierten Anwendung.
Wenn Sie die vordefinierte Anwendungspriorität mit benutzerdefinierten Anwendungssignaturen überschreiben möchten, müssen Sie die Priorität für die benutzerdefinierten Anwendungssignaturen explizit auf hoch setzen.
Um die hohe Priorität für benutzerdefinierte Anwendungen zu konfigurieren, verwenden Sie die folgenden Konfigurationsanweisungen aus der [Bearbeiten]-Hierarchie:
user@host# set services application-identification application application-name priority high
Beispiel:
user@host# set services application-identification application my_custom_address priority high
Beachten Sie Folgendes zur Priorität der benutzerdefinierten Anwendungen:
Bisheriges Verhalten:
Die Standardpriorität für die benutzerdefinierten Anwendungen ist hoch.
Die Priorität der Anwendungen wird berücksichtigt, wenn mehrere Anwendungen im selben Paket übereinstimmen.
Wenn Sie eine hohe Priorität für benutzerdefinierte Anwendungen konfigurieren: Benutzerdefinierte Anwendungen haben immer eine hohe Priorität vor den vordefinierten Anwendungen.
Wenn Sie eine niedrige Priorität für benutzerdefinierte Anwendungen konfigurieren: Benutzerdefinierte Anwendungen haben eine niedrige Priorität gegenüber ähnlichen musterbasierten vordefinierten Signaturen und eine hohe Priorität gegenüber den anderen Anwendungen. In diesen Versionen ist keine Option verfügbar, um das Verhalten zu ändern.
Geändertes Verhalten (in neueren Versionen):
Die Standardpriorität für die benutzerdefinierten Anwendungen ist niedrig.
Die Priorität hängt nicht von den Übereinstimmungen im selben Paket ab.
Die Priorität von auf Layer 7 und TCP/UDP-Stream basierenden benutzerdefinierten Anwendungen funktioniert wie konfiguriert (entweder hoch oder niedrig) mit allen vordefinierten Anwendungen.
Layer-3- und Layer-4-basierte benutzerdefinierte Anwendungen haben immer eine hohe Priorität. In diesem Fall wird die konfigurierte Priorität ignoriert. Layer-3- und Layer-4-basierte benutzerdefinierte Anwendungen überschreiben alle vordefinierten Anwendungen. da diese Anwendungen im ersten Paket der Sitzung ausgelöst werden.
Alternativer Name des Antragstellers
Sie können eine benutzerdefinierte AppID-Signatur erstellen, indem Sie das SAN-Zertifikatsattribut (Subject Alternative Name) für SSL-Signaturen verwenden. Ein SSL-Zertifikat mit dem SAN-Attribut ermöglicht die Angabe mehrerer Hostnamen oder IP-Adressen in einem einzigen Zertifikat. Mit dieser Erweiterung können benutzerdefinierte Anwendungssignaturen Anwendungen anhand der Hostnamen der Anwendung erkennen, die im Feld SAN des SSL-Zertifikats aufgeführt sind.
Sie können SAN mit der ssl-subject-alt-name Option unter [edit services application-identification application name over SSL signature name member name context]-Hierarchie konfigurieren.
Beispiel: Konfigurieren der Junos OS-Anwendungsidentifikation Benutzerdefinierte Anwendungssignaturen
Dieses Beispiel zeigt, wie benutzerdefinierte Anwendungssignaturen für die Anwendungsidentifikation von Junos OS konfiguriert werden.
Es wird empfohlen, dass nur fortgeschrittene Benutzer von Junos OS versuchen, Anwendungssignaturen anzupassen.
- Bevor Sie beginnen:
- Überblick
- Beispiele für die Konfiguration einer benutzerdefinierten Anwendung
- Verifizierung
Bevor Sie beginnen:
Installieren Sie eine gültige Lizenz für die Anwendungsidentifikationsfunktion auf Ihrer Firewall der SRX-Serie. Siehe Verwalten von Junos OS-Lizenzen
Dieses Konfigurationsbeispiel wurde mit Junos OS Version 20.1R1 getestet.
Stellen Sie sicher, dass auf Ihrem Sicherheitsgerät das Anwendungssignaturpaket installiert ist. Weitere Informationen hierzu finden Sie unter Manuelles Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets.
Um erweiterte benutzerdefinierte Anwendungssignaturen zu verwenden, aktualisieren Sie die neueste Version des Anwendungssignaturpakets Version 3284 oder höher. Überprüfen Sie die Version der Anwendungssignatur mit dem folgenden Befehl:
user@host> show services application-identification version
Application package version: 3248
Es wird empfohlen, dass nur fortgeschrittene Benutzer von Junos OS versuchen, Anwendungssignaturen anzupassen.
Überblick
Die Anwendungsidentifizierung unterstützt benutzerdefinierte Anwendungssignaturen, um Anwendungen zu erkennen, während sie das Gerät passieren. Stellen Sie beim Konfigurieren von benutzerdefinierten Signaturen sicher, dass Ihre Signaturen eindeutig sind.
Führen Sie die folgenden Schritte aus, um benutzerdefinierte Anwendungssignaturen zu konfigurieren:
Definieren Sie Attribute wie Kontext, Muster, Richtung, Portbereich usw., damit Ihr Sicherheitsgerät zum Anwendungsdatenverkehr passt.
Konfigurieren Sie Inspektionsgrenze, Mustertiefe und Priorität (optionale Konfigurationen), um den Prozess zur Identifizierung von Anwendungen für benutzerdefinierte Anwendungen zu verbessern.
Hängen Sie die benutzerdefinierte Anwendung an eine Sicherheitsrichtlinie an, die den Anwendungsdatenverkehr zulässt oder verweigert.
Zeigen Sie Anwendungssignaturen und Anwendungssignaturgruppen mithilfe der Befehle und
show services application-identification applicationshow services application-identification groupan.
Beispiele für die Konfiguration einer benutzerdefinierten Anwendung
Verfahren
Schritt-für-Schritt-Anleitung
Legen Sie den Prüfgrenzwert für benutzerdefinierte Anwendungen fest.
[edit ] user@host# set services application-identification custom-application-byte-limit 400
Legen Sie die Priorität für benutzerdefinierte Anwendungen fest.
[edit ] user@host# set services application-identification application test cacheable user@host# set services application-identification application test priority high
Konfigurieren Sie benutzerdefinierte TCP-Stream-basierte Signaturen:
[edit ] user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 context stream user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 pattern .*install.* user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 direction any user@host# set services application-identification application my_custom_tcp over TCP signature s1 member m01 depth 100
Konfigurieren Sie kontextbasierte benutzerdefinierte FTP-Signaturen:
[edit ] user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 depth 60 user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 context ftp-file-name user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 pattern .*install.* user@host# set services application-identification application my_custom_ftp over FTP signature sig1 member m01 direction client-to-server
Konfigurieren Sie kontextbasierte benutzerdefinierte HTTP-Signaturen.
[edit ] user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 context http-header-host user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 pattern .*agent1.* user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 direction client-to-server user@host# set services application-identification application my_custom_http over HTTP signature s1 member m01 depth 100
Konfigurieren Sie kontextbasierte benutzerdefinierte SSL-Signaturen:
[edit] user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 context ssl-server-name user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 pattern "example\.com" user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 direction client-to-server user@host# set services application-identification application my_custom_ssl over SSL signature s1 member m01 depth 100
Die
ssl-versionkontextbasierten benutzerdefinierten Signaturen in SSL sind in der Anwendungssignaturpaketversion 3796 und höher veraltet. Verwenden Sie diessl-protocol-versionOption. Informationen zum Überprüfen der auf Ihrem Sicherheitsgerät installierten Version des Anwendungssignaturpakets finden Sie unter show services application-identification version.Verwenden Sie die folgenden Werte zum Angeben der Musteroption für für ssl-protocol-version:
- SSLv2 (0x0002) : 2
- SSLv3 (0x0300) : 768
- TLS 1.0 (0x0301) : 769
- TLS 1.1 (0x0302) : 770
- TLS 1.2 (0x0303) : 771
- TLS 1.3 (0x0304) : 772
- TLS 1.4 (0x0305) : 773
Konfigurieren Sie ICMP-basierte benutzerdefinierte Anwendungssignaturen:
[edit ] user@host# set services application-identification application my_custom_icmp icmp-mapping type 100 user@host# set services application-identification application my_custom_icmp icmp-mapping code 1
Konfigurieren von adressbasierten benutzerdefinierten Layer-3- oder Layer-4-Anwendungssignaturen:
[edit ] user@host# set services application-identification application my_custom_address address-mapping ADDR-SAMPLE filter ip 192.0.2.1/24 user@host# set services application-identification application my_custom_address address-mapping ADDR-SAMPLE filter port-range udp 5000-6000
Anmerkung:Sie müssen den entsprechenden Portbereich und die angegebene IP-Adresse angeben, um adressbasierte benutzerdefinierte Anwendungssignaturen zu konfigurieren.
Konfigurieren Sie auf IP-Protokollzuordnung basierende benutzerdefinierte Anwendungssignaturen.
[edit] user@host# set services application-identification application my_custom_ip_proto ip-protocol-mapping protocol 2
Erstellen Sie eine Sicherheitsrichtlinie mit benutzerdefinierten Anwendungen als Übereinstimmungskriterien.
user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application my_custom_http user@host# set security policies from-zone untrust to-zone trust policy 1 then permit
Wir verwenden my_custom_http für dieses Beispiel. Auf ähnliche Weise können Sie verschiedene Sicherheitsrichtlinien erstellen und andere benutzerdefinierte Anwendungen wie my_custom_ftp, my_custom_tcp, my_custom_ssl, my_custom_address, my_custom_icmp my_custom_ip_proto als Übereinstimmungsbedingung für die dynamische Anwendung gemäß Ihren Anforderungen angeben.
Aktivieren Sie die Anwendungsverfolgung.
user@host# set security zones security-zone trust application-tracking
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show services application-identification Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]user@host# show services application-identificationcustom-application-byte-limit 100; application my_custom_address { address-mapping ADDR-SAMPLE { filter { ip 192.0.2.1/24; port-range { udp 5000-6000; } } } } application my_custom_ftp { over FTP { signature sig1 { member m01 { depth 60; context ftp-file-name; pattern .*install.*; direction client-to-server; } } } } application my_custom_http { over HTTP { signature s1 { member m01 { depth 100; context http-header-host; pattern .*agent1.*; direction client-to-server; } } } } application my_custom_icmp { icmp-mapping { type 100; code 1; } } application my_custom_ip_proto { ip-protocol-mapping { protocol 2; } } application my_custom_ssl { over SSL { signature s1 { member m01 { depth 100; context ssl-server-name; pattern "example\.com"; direction client-to-server; } } } } application my_custom_tcp { over TCP { signature s1 { member m01 { depth 100; context stream; pattern .*install.*; direction any; } } } } application test { cacheable; priority high; }
[edit security policies]
user@host# show
from-zone untrust to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [my_custom_http];
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der benutzerdefinierten Anwendungsdefinitionen
Zweck
Zeigen Sie die benutzerdefinierten Anwendungssignaturen an, die auf Ihrem Gerät konfiguriert sind. Beachten Sie, dass vordefinierte Anwendungssignaturnamen das Präfix "junos:" verwenden.
Aktion
Geben Sie im Konfigurationsmodus den show services application-identification application detail name Befehl ein.
user@host> show services application-identification application
detail test
Application Name: test
Application type: TEST
Description: N/A
Application ID: 16777219
Priority: high
Bedeutung
In der Ausgabe des Befehls werden der benutzerdefinierte Anwendungsname, der Typ, die Beschreibung, die ID und die Priorität angezeigt.
Weitere Informationen finden Sie unter show services application-identification application.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.