Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Anwendungsidentifikation auf Firewalls der SRX-Serie

Die Anwendungsidentifizierung ermöglicht es Ihnen, die Anwendungen in Ihrem Netzwerk anzuzeigen und zu erfahren, wie sie funktionieren, welche Verhaltensmerkmale sie aufweisen und welches relative Risiko sie darstellen. Mithilfe verschiedener Identifizierungsmechanismen erkennt die App-ID die Anwendungen in Ihrem Netzwerk, unabhängig von Port, Protokoll und anderen verwendeten Ausweichtaktiken. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegendes zu Techniken zur Anwendungsidentifikation

In der Vergangenheit haben Firewalls die IP-Adresse und Portnummern zur Durchsetzung von Richtlinien verwendet. Diese Strategie basiert auf der Annahme, dass Benutzer von festen Standorten aus eine Verbindung mit dem Netzwerk herstellen und über bestimmte Portnummern auf bestimmte Ressourcen zugreifen.

Heutzutage erfordern drahtlose Netzwerke und mobile Geräte eine andere Strategie. Die Art und Weise, wie Geräte mit dem Netzwerk verbunden werden, ändert sich schnell. Eine Person kann sich über mehrere Geräte gleichzeitig mit dem Netzwerk verbinden. Es ist nicht mehr praktikabel, einen Benutzer, eine Anwendung oder ein Gerät anhand einer Gruppe von statisch zugewiesenen IP-Adressen und Portnummern zu identifizieren.

Dieses Thema enthält den folgenden Abschnitt:

Junos OS Anwendungsidentifikation der nächsten Generation

Die Anwendungsidentifikation der nächsten Generation baut auf der alten Anwendungsidentifikationsfunktionalität auf und bietet effektivere Erkennungsfunktionen für verschleierte Anwendungen wie Skype, BitTorrent und Tor.

Die Junos OS-Anwendungsidentifikation erkennt webbasierte und andere Anwendungen und Protokolle auf verschiedenen Netzwerkschichten anhand anderer Merkmale als der Portnummer. Anwendungen werden mithilfe eines Protokollpakets identifiziert, das Anwendungssignaturen und Analyseinformationen enthält. Die Identifizierung basiert auf der Analyse und Dekodierung von Protokollen und dem Sitzungsmanagement.

Der Erkennungsmechanismus verfügt über einen eigenen Datenfeed und Konstrukte zur Identifizierung von Anwendungen.

Die folgenden Funktionen werden bei der Anwendungsidentifikation unterstützt:

  • Unterstützung von Protokollen und Anwendungen, einschließlich Video-Streaming, Peer-to-Peer-Kommunikation, Social Networking und Messaging

  • Identifizierung von Services innerhalb von Anwendungen

  • Unterscheidung von Aktionen, die innerhalb einer Anwendung gestartet werden (z. B. Login, Browse, Chat und Dateiübertragung)

  • Unterstützung für alle Versionen von Protokollen und Anwendungs-Decodern sowie dynamische Updates von Decodern

  • Unterstützung für verschlüsselten und komprimierten Datenverkehr und die komplexesten Tunneling-Protokolle

  • Fähigkeit, alle Protokolle von Layer 3 bis Layer 7 und höher Layer 7 zu identifizieren

Vorteile der Anwendungsidentifikation

  • Bietet granulare Kontrolle über Anwendungen, einschließlich Video-Streaming, Peer-to-Peer-Kommunikation, soziale Netzwerke und Messaging. Außerdem werden Services, Portnutzung, zugrunde liegende Technologie und Verhaltensmerkmale innerhalb von Anwendungen identifiziert. Dank dieser Visibilität können Sie verschleierte Anwendungen innerhalb der Firewall blockieren.

  • Identifiziert Anwendungen und erlaubt, blockiert oder beschränkt Anwendungen – unabhängig von Port oder Protokoll, einschließlich Anwendungen, die dafür bekannt sind, Ausweichtechniken zu verwenden, um ihre Identität zu verschleiern. Diese Identifizierung hilft Unternehmen bei der Steuerung der Datenverkehrstypen, die in das Netzwerk ein- und ausgehen dürfen.

Zuordnung von Anwendungssignaturen

Die Zuordnung von Anwendungssignaturen ist eine präzise Methode zur Identifizierung der Anwendung, die Datenverkehr im Netzwerk ausgegeben hat. Das Signatur-Mapping arbeitet auf Layer 7 und prüft den tatsächlichen Inhalt der Nutzdaten.

Anwendungen werden mithilfe eines herunterladbaren Protokollpakets identifiziert. Anwendungssignaturen und Analyseinformationen der ersten Pakete werden mit dem Inhalt der Datenbank verglichen. Wenn die Nutzlast die gleichen Informationen wie ein Eintrag in der Datenbank enthält, wird die Anwendung des Datenverkehrs als die Anwendung identifiziert, die diesem Datenbankeintrag zugeordnet ist.

Juniper Networks stellt eine vordefinierte Datenbank zur Anwendungsidentifikation bereit, die Einträge für einen umfassenden Satz bekannter Anwendungen wie FTP und DNS sowie für Anwendungen enthält, die über das HTTP-Protokoll arbeiten, wie Facebook, Kazaa und viele Instant Messaging-Programme. Mit einem Signatur-Abonnement können Sie die Datenbank von Juniper Networks herunterladen und den Inhalt regelmäßig aktualisieren, wenn neue vordefinierte Signaturen hinzugefügt werden.

Übereinstimmungsreihenfolge für die Anwendungsidentifikation

Abbildung 1 zeigt die Reihenfolge, in der Mapping-Techniken angewendet werden und wie die Anwendung bestimmt wird.

Abbildung 1: Zuordnungsreihenfolge Flowchart showing application identification at Layer 7 of OSI model. Steps: first packet, check cache, process packet, classify application, more packets, application ID done. Used in network security.

Bei der Anwendungsidentifikation durchläuft jedes Paket im Datenstrom die Anwendungsidentifikations-Engine zur Verarbeitung, bis die Anwendung identifiziert ist. Anwendungsbindungen werden im Systemcache der Anwendung (ASC) gespeichert, um zukünftige Identifizierungsprozesse zu beschleunigen.

Anwendungssignaturen identifizieren eine Anwendung anhand der Protokollgrammatikanalyse in den ersten Paketen einer Sitzung. Wenn die Anwendungsidentifikations-Engine die Anwendung noch nicht identifiziert hat, leitet sie die Pakete weiter und wartet auf weitere Daten.

Das Modul zur Anwendungsidentifikation gleicht Anwendungen sowohl für Client-zu-Server- als auch für Server-zu-Client-Sitzungen ab.

Sobald die Anwendung bestimmt ist, können die AppSecure-Servicemodule so konfiguriert werden, dass sie den Datenverkehr überwachen und steuern, um Nachverfolgung, Priorisierung, Zugriffssteuerung, Erkennung und Prävention basierend auf der Anwendungs-ID des Datenverkehrs zu ermöglichen.

  • Anwendungsverfolgung (AppTrack) – Verfolgt und meldet Anwendungen, die das Gerät passieren.

  • Intrusion Detection and Prevention (IDP) – Wendet geeignete Angriffsobjekte auf Anwendungen an, die auf nicht standardmäßigen Ports ausgeführt werden. Die Anwendungsidentifizierung verbessert die IDP-Leistung, indem der Umfang der Angriffssignaturen für Anwendungen ohne Decoder eingegrenzt wird.

  • Anwendungs-Firewall (AppFW): Implementiert eine Anwendungs-Firewall mit anwendungsbasierten Regeln.

  • Quality of Service (AppQoS)— Bietet Quality-of-Service-Priorisierung basierend auf der Anwendungswahrnehmung.

  • Erweitertes richtlinienbasiertes Routing (APBR) – Klassifiziert Sitzungen basierend auf Anwendungen und wendet die konfigurierten Regeln an, um den Datenverkehr umzuleiten.

  • Application Quality of Experience (AppQoE): Überwacht die Leistung von Anwendungen und wählt basierend auf der Bewertung den bestmöglichen Link für den Datenverkehr der Anwendung aus.

Siehe auch

Grundlegendes zur Junos OS Application Identification Database (Datenbank zur Anwendungsidentifikation)

Eine Datenbank mit vordefinierten Signaturen steht auf der Security Engineering-Website von Juniper Networks zur Verfügung. Diese Datenbank enthält eine Bibliothek mit Anwendungssignaturen. Weitere Informationen finden Sie unter Anwendungssignaturen . Diese Signaturseiten geben Ihnen Einblick in die Anwendungskategorie, -gruppe, -risikostufe, Ports usw.

Das vordefinierte Signaturpaket enthält Identifikationskriterien für bekannte Anwendungssignaturen und wird regelmäßig aktualisiert.

Wenn neue Anwendungen hinzugefügt werden, wird das Protokollpaket aktualisiert und für alle relevanten Plattformen generiert. Sie ist zusammen mit anderen Anwendungssignaturdateien enthalten. Dieses Paket wird über die Sicherheits-Download-Website zum Download zur Verfügung stehen.

Ein Abo-Service ermöglicht es Ihnen, regelmäßig die neuesten Signaturen für eine aktuelle Berichterstattung herunterzuladen, ohne Einträge für den eigenen Gebrauch erstellen zu müssen.

Die Anwendungsidentifizierung ist standardmäßig aktiviert und wird automatisch aktiviert, wenn Sie Intrusion Detection and Prevention (IDP), AppFW, AppQoS oder AppTrack konfigurieren.

Anmerkung:

Updates des vordefinierten Anwendungssignaturpakets von Junos OS werden durch einen separat lizenzierten Abonnementservice autorisiert. Sie müssen den Lizenzschlüssel für die Aktualisierung der Anwendungssignatur auf Ihrem Gerät installieren, um die von Juniper Networks bereitgestellten Updates für die Signaturdatenbank herunterzuladen und zu installieren. Wenn Ihr Lizenzschlüssel abläuft, können Sie den lokal gespeicherten Paketinhalt der Anwendungssignatur weiterhin verwenden, aber Sie können das Paket nicht aktualisieren.

Siehe auch

Deaktivieren und erneutes Aktivieren der Junos OS-Anwendungsidentifikation

Die Anwendungsidentifizierung ist standardmäßig aktiviert. Sie können die Anwendungsidentifizierung über die CLI deaktivieren.

So deaktivieren Sie die Anwendungsidentifizierung:

Wenn Sie die Anwendungsidentifizierung wieder aktivieren möchten, löschen Sie die Konfigurationsanweisung, die das Deaktivieren der Anwendungsidentifizierung angibt:

Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Um die Konfiguration zu überprüfen, geben Sie den Befehl show services application-identification ein.

Siehe auch

Grundlegendes zum Anwendungssystem-Cache

Der System-Cache der Anwendung (ASC) speichert die Zuordnung zwischen einem Anwendungstyp und der entsprechenden Ziel-IP-Adresse, dem Zielport, dem Protokolltyp und dem Dienst. Sobald eine Anwendung identifiziert ist, werden ihre Informationen im ASC gespeichert, so dass nur ein übereinstimmender Eintrag erforderlich ist, um eine Anwendung zu identifizieren, die auf einem bestimmten System ausgeführt wird, wodurch der Identifizierungsprozess beschleunigt wird.

Standardmäßig speichert der ASC die Mapping-Informationen 3600 Sekunden lang. Sie können den Wert für die Cache-Zeitüberschreitung jedoch mithilfe der CLI konfigurieren.

Sie können den [edit services application-identification application-system-cache-timeout] Befehl verwenden, um den Timeout-Wert für die Cache-Einträge des Anwendungssystems zu ändern. Der Timeout-Wert kann zwischen 0 und 1.000.000 Sekunden konfiguriert werden. Die ASC-Sitzung läuft möglicherweise nach 1000.000 Sekunden ab.

ASC-Einträge laufen nach dem konfigurierten ASC-Timeout ab. ASC-Einträge werden auch dann nicht aktualisiert, wenn während des Timeout-Zeitraums Cache-Treffer (übereinstimmender Eintrag in ASC gefunden) vorhanden sind.

Anmerkung:

Wenn Sie eine neue benutzerdefinierte Anwendungssignatur konfigurieren oder eine vorhandene benutzerdefinierte Signatur ändern, werden alle vorhandenen Anwendungssystem-Cache-Einträge für vordefinierte und benutzerdefinierte Anwendungen gelöscht.

Anmerkung:

Wenn Sie eine benutzerdefinierte Anwendungssignatur löschen oder deaktivieren und der Konfigurationscommit fehlschlägt, wird der ASC-Eintrag (Application System Cache) nicht vollständig gelöscht. Stattdessen wird eine Basisanwendung im Pfad der benutzerdefinierten Anwendung in ASC gemeldet.

Siehe auch

Aktivieren oder Deaktivieren des Anwendungssystemcaches für Anwendungsdienste

ASC ist standardmäßig aktiviert. Beachten Sie den Unterschied bei der Suche nach Sicherheitsdiensten:

  • Die ASC-Suche für Sicherheitsdienste ist standardmäßig nicht aktiviert. Das heißt, Sicherheitsservices wie Sicherheitsrichtlinien, Anwendungs-Firewall (AppFW), Anwendungsverfolgung (AppTrack), Quality of Service (AppQoS), Juniper ATP-Cloud, IDP und Content Security verwenden den ASC nicht standardmäßig.

  • Die ASC-Suche nach verschiedenen Diensten ist standardmäßig aktiviert. Das heißt, verschiedene Services, einschließlich erweitertes richtlinienbasiertes Routing (APBR), verwenden standardmäßig den ASC für die Anwendungsidentifikation.

Anmerkung:

Die Änderung des Standardverhaltens des ASC wirkt sich auf die Legacyfunktionalität von AppFW aus. Wenn der ASC für die Sicherheitsdienste ab Junos OS Version 18.2 standardmäßig deaktiviert ist, verwendet AppFW die im ASC vorhandenen Einträge nicht.

Sie können das ASC-Verhalten wie in Junos OS-Versionen vor Version 18.2 wiederherstellen, indem Sie den set services application-identification application-system-cache security-services Befehl verwenden.
VORSICHT:

Das Sicherheitsgerät kann anfällig für Techniken zur Anwendungsvermeidung werden, wenn der ASC für Sicherheitsdienste aktiviert ist. Wir empfehlen, den ASC nur dann zu aktivieren, wenn die Leistung des Geräts in seiner Standardkonfiguration (deaktiviert für Sicherheitsdienste) für Ihren spezifischen Anwendungsfall nicht ausreicht.

Verwenden Sie die folgenden Befehle, um den ASC zu aktivieren oder zu deaktivieren:

  • Aktivieren Sie den ASC für Sicherheitsdienste:

  • Deaktivieren Sie den ASC für verschiedene Dienste:

  • Deaktivieren Sie den aktivierten ASC für Sicherheitsdienste:

  • Aktivieren Sie den deaktivierten ASC für verschiedene Dienste:

Sie können den show services application-identification application-system-cache Befehl verwenden, um den Status des ASC zu überprüfen.

Die folgende Beispielausgabe zeigt den Status des ASC:

In früheren Versionen war die Zwischenspeicherung von Anwendungen standardmäßig aktiviert. Sie können es manuell deaktivieren, indem Sie den set services application-identification no-application-system-cache Befehl verwenden.

Siehe auch

Überprüfen von Cache-Statistiken für das Anwendungssystem

Zweck

Überprüfen Sie die ASC-Statistiken (System Cache der Anwendung).

Anmerkung:

Der Systemcache der Anwendung zeigt den Cache für Anwendungen zur Anwendungsidentifikation an.

Aktion

Geben Sie im CLI-Betriebsmodus den show services application-identification application-system-cache Befehl ein.

Beispielausgabe

Befehlsname

Bedeutung

Die Ausgabe zeigt eine Zusammenfassung der ASC-Statistikinformationen. Überprüfen Sie die folgenden Informationen:

  • IP-Adresse: Zeigt die Zieladresse an.

  • Port (Port) – Zeigt den Zielport auf dem Server an.

  • Protokoll: Zeigt den Protokolltyp am Zielport an.

  • Anwendung (Application) – Zeigt den Namen der Anwendung an, die am Zielport identifiziert wurde.

Siehe auch

Onbox-Anwendungsidentifikationsstatistiken

Application Identification Services bieten statistische Informationen pro Sitzung. Diese Statistiken stellen Kunden ein Anwendungsnutzungsprofil zur Verfügung. Die Funktion "Onbox Application Identification Statistics" erweitert die AppSecure-Suite um Statistiken auf Anwendungsebene. Anwendungsstatistiken ermöglichen dem Administrator den Zugriff auf kumulative Statistiken sowie auf Statistiken, die über benutzerdefinierte Intervalle angesammelt wurden.

Mit dieser Funktion kann der Administrator die Statistiken löschen und die Intervallwerte konfigurieren, während er die Byte- und Sitzungsanzahlstatistiken beibehält. Da die Anzahl der Statistiken zum Zeitpunkt des Ereignisses zum Schließen der Sitzung erfolgt, werden die Byte- und Sitzungsanzahl erst aktualisiert, wenn die Sitzung geschlossen wird. Sicherheitsgeräte von Juniper Networks unterstützen einen Verlauf von acht Intervallen, den ein Administrator zur Anzeige der Anzahl von Anwendungssitzungen und Bytes verwenden kann.

Wenn die Anwendungsgruppierung in Ihrer Konfiguration von Junos OS unterstützt wird, unterstützt die Funktion "Onbox Application Identification Statistic" Onbox-Abgleichsstatistiken pro Gruppe. Die Statistiken werden nur für vordefinierte Gruppen gepflegt.

Durch die Neuinstallation eines Anwendungssignaturpakets werden die Anwendungsstatistiken nicht gelöscht. Wenn die Anwendung deaktiviert ist, gibt es keinen Datenverkehr für diese Anwendung, aber die Anwendung wird weiterhin in der Statistik beibehalten. Es spielt keine Rolle, ob Sie eine vordefinierte Anwendung neu installieren, da Anwendungen nach Anwendungstyp verfolgt werden. Bei vordefinierten Gruppenstatistiken werden die Statistiken durch die Neuinstallation eines Sicherheitspakets nicht gelöscht. Alle Änderungen an Gruppenmitgliedschaften werden jedoch aktualisiert. Beispiel: junos:web enthält 50 Anwendungen in der aktuellen Version und 60 Anwendungen nach einem Upgrade. Anwendungen, die gelöscht werden, und Anwendungsgruppen, die umbenannt werden, werden auf die gleiche Weise behandelt wie hinzugefügte Anwendungen.

Das Modul "Anwendungsidentifikation" verwaltet einen 64-Bit-Sitzungszähler für jede Anwendung auf jeder Dienstverarbeitungseinheit (SPU). Der Zähler wird inkrementiert, wenn eine Sitzung als eine bestimmte Anwendung identifiziert wird. Ein weiterer Satz von 64-Bit-Leistungsindikatoren aggregiert die Gesamtzahl der Bytes pro Anwendung auf der SPU. Zähler für nicht spezifizierte Anwendungen werden ebenfalls gepflegt. Statistiken von mehreren SPUs für Sitzungen und Bytes werden in der Routing-Engine aggregiert und den Benutzern angezeigt.

Einzelne SPUs verfügen über Intervall-Timer, mit denen Statistiken pro interval Zeit übertragen werden können. Verwenden Sie den set services application-identification statistics interval time Befehl, um das Intervall für die Statistikerfassung zu konfigurieren. Jedes Mal, wenn die Routing-Engine das erforderliche Intervall abfragt, werden die entsprechenden Statistiken von jeder SPU abgerufen, in der Routing-Engine aggregiert und dem Benutzer angezeigt.

Verwenden Sie die Option clear services application-identification statistics , um alle Anwendungsstatistiken wie kumulativ, Intervall, Anwendungen und Anwendungsgruppen zu löschen.

Verwenden Sie den clear services application-identification counter Befehl, um die Zähler manuell zurückzusetzen. Zähler werden automatisch zurückgesetzt, wenn ein Gerät aktualisiert oder neu gestartet wird, wenn der Datenfluss neu gestartet wird oder wenn sich der Intervall-Timer ändert.

Verwenden Sie die , um den set services application-identification application-system-cache-timeout value Timeout-Wert in Sekunden für die Cache-Einträge des Anwendungssystems anzugeben.

Das Standardzeitintervall für die Erfassung von Anwendungsidentifikationsstatistiken beträgt 1440 Minuten.

Konfigurieren der IMAP-Cache-Größe

Internet Message Access Protocol (IMAP) ist ein Internetstandardprotokoll, das von E-Mail-Clients zum Speichern und Abrufen von E-Mails verwendet wird. Der IMAP-Cache wird für die Protokollanalyse und Kontextgenerierung verwendet. Es speichert das Parsen verwandter Informationen einer E-Mail.

Mit den folgenden Befehlen können Sie die maximale Anzahl von Einträgen im IMAP-Cache begrenzen und den Timeout-Wert für die Einträge im Cache angeben:

set services application-identification imap-cache imap-cache-size size

set services application-identification imap-cache imap-cache-timeout time in seconds

Beispiel:

In diesem Beispiel ist die IMAP-Cachegröße so konfiguriert, dass 50.000 Einträge gespeichert werden.

In diesem Beispiel wird die Zeitüberschreitung auf 600 Sekunden festgelegt, in denen ein Cacheeintrag im IMAP-Cache verbleibt.

Siehe auch

Grundlegendes zu Jumbo Frames Unterstützung für Junos OS Application Identification Services

Die Anwendungsidentifikation unterstützt die größere Jumbo-Frame-Größe von 9192 Byte. Obwohl Jumbo-Frames standardmäßig aktiviert sind, können Sie die MTU-Größe (Maximum Transmission Unit) mit dem Befehl [set interfaces] anpassen. Der CPU-Overhead bei der Verarbeitung von Jumbo-Frames kann reduziert werden.

Siehe auch

Prüflimit für die Anwendungsidentifikation

So konfigurieren Sie die Prüfgrenzwerte für die Anwendungsidentifikation:

  • Inspection Limit for TCP and UDP Sessions

    Sie können das Bytelimit und das Paketlimit für die Anwendungsidentifikation (AppID) in einer UDP- oder in einer TCP-Sitzung festlegen. AppID schließt die Klassifizierung basierend auf der konfigurierten Überprüfungsgrenze ab. Beim Überschreiten des Grenzwerts beendet AppID die Anwendungsklassifizierung.

    Wenn AppID die endgültige Klassifizierung nicht innerhalb der konfigurierten Grenzen abschließt und eine vorab abgeglichene Anwendung verfügbar ist, schließt AppID die Anwendung als vorab abgeglichene Anwendung ab. Andernfalls wird die Anwendung als junos:UNBEKANNT geschlossen, vorausgesetzt, der globale AppID-Cache ist aktiviert. Der globale AppID-Cache ist standardmäßig aktiviert.

    Verwenden Sie zum Konfigurieren des Bytelimits und des Paketlimits die folgenden Konfigurationsanweisungen aus der [edit] Hierarchie:

    Tabelle 1 enthält den Bereich und den Standardwert für die Konfiguration des Byte- und Paketlimits für TCP- und UDP-Sitzungen.

    Tabelle 1: Maximales Byte-Limit und Paket-Byte-Limit für TCP- und UDP-Sitzungen

    Sitzung

    Grenze

    Bereich

    Standardwert

    TCP

    Byte-Limit

    0 bis 4294967295

    6000

    Paket-Limit

    0 bis 4294967295

    Null

    UDP

    Byte-Limit

    0 bis 4294967295

    Null

    Paket-Limit

    0 bis 4294967295

    10

    Das Bytelimit schließt den IP-Header und die TCP/UDP-Headerlängen aus.

    Wenn Sie sowohl die Option als byte-limit auch die packet-limit Option festlegen, überprüft AppID die Sitzung, bis beide Grenzwerte erreicht sind.

    Sie können den TCP- oder UDP-Prüfgrenzwert deaktivieren, indem Sie die entsprechenden byte-limit Werte packet-limit auf Null setzen.

  • Global Offload Byte Limit (Other Sessions)

    Sie können den Bytegrenzwert für die AppID festlegen, um die Klassifizierung abzuschließen und die Anwendung in einer Sitzung zu identifizieren. Beim Überschreiten des Grenzwerts beendet AppID die Anwendungsklassifizierung und trifft eine der folgenden Entscheidungen:

    • Wenn eine vorab abgeglichene Anwendung verfügbar ist, schließt AppID die Anwendungsklassifizierung in den folgenden Fällen als vorab abgeglichene Anwendung ab:

      • Wenn AppID die endgültige Klassifizierung nicht innerhalb des konfigurierten Bytelimits abschließt

      • Wenn die Sitzung aufgrund des Tunneling-Verhaltens einiger Anwendungen nicht ausgelagert wird

    • Wenn keine vorab übereinstimmende Anwendung verfügbar ist, schließt AppID die Anwendung als junos:UNKNOWN ab, vorausgesetzt, der globale AppID-Cache ist aktiviert. Der globale AppID-Cache ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des Anwendungssystemcaches für Anwendungsdienste.

    Verwenden Sie zum Konfigurieren des Bytelimits die folgende Konfigurationsanweisung aus der [edit] Hierarchie:

    Der Standardwert für die global-offload-byte-limit Option ist 10000.

    Sie können den globalen Offload-Byte-Grenzwert deaktivieren, indem Sie den global-offload-byte-limit Wert auf Null setzen.

    Das Bytelimit schließt den IP-Header und die TCP/UDP-Headerlängen aus.

Option "Leistungsmodus aktivieren"

Die Option set services application-identification enable-performance-mode max-packet-threshold value für den maximalen Paketschwellenwert für den DPI-Leistungsmodus ist veraltet und wird nicht sofort entfernt, um Abwärtskompatibilität zu gewährleisten und die Möglichkeit zu bieten, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen. Diese Option wurde verwendet, um den maximalen Paketschwellenwert für den DPI-Leistungsmodus festzulegen.

Wenn Ihre Konfiguration die Option "Aktivierter Leistungsmodus" mit max-packet-threshold in älteren Junos OS-Versionen enthält, schließt die App-ID die Anwendungsklassifizierung ab, wenn der niedrigste Wert erreicht wird, der im TCP- oder UDP-Überprüfungsgrenzwert oder im globalen Offload-Byte-Limit oder in der Option Maximaler Paketschwellenwert für den DPI-Leistungsmodus konfiguriert ist.

Unterstützung der Anwendungsidentifizierung für Anwendungen, die im Content Delivery Network (CDN) gehostet werden

Sie können die Anwendungsidentifikation (AppID) aktivieren, um eine Webanwendung, die in einem Content Delivery Network (CDN) wie AWS, Akamai, Azure, Fastly, Cloudflare usw. gehostet wird, genau zu klassifizieren. Verwenden Sie die folgende Konfigurationsanweisung, um die CDN-Anwendungsklassifizierung zu aktivieren:

Wenn Sie die Konfiguration anwenden, identifiziert und klassifiziert AppID tatsächliche Anwendungen, die im CDN gehostet werden.

Maximales Speicherlimit für DPI

Sie können das maximale Arbeitsspeicherlimit für Deep Packet Inspection (DPI) mithilfe der folgenden Konfigurationsanweisung konfigurieren:

Sie können 1 bis 200000 MB als Speicherwert festlegen.

Sobald der JDPI-Speicherverbrauch 90 % des konfigurierten Werts erreicht, beendet DPI die Verarbeitung neuer Sitzungen.

Verbesserung des Anwendungsdurchsatzes

Der Datendurchsatz der Anwendung kann verbessert werden, indem die Deep Packet Inspection (DPI) im Leistungsmodus mit dem Standardlimit für die Paketüberprüfung auf zwei Pakete festgelegt wird, einschließlich Client-zu-Server- und Server-zu-Client-Richtungen. Standardmäßig ist der Leistungsmodus auf Sicherheitsgeräten deaktiviert.

So verbessern Sie den Durchsatz des Anwendungsdatenverkehrs:

  1. Aktivieren Sie den DPI-Leistungsmodus.
  2. (Optional) Sie können den maximalen Paketschwellenwert für den DPI-Leistungsmodus festlegen, einschließlich Client-zu-Server- und Server-zu-Client-Richtungen.

    Sie können den Grenzwert für die Paketüberprüfung auf einen Wert von 1 bis 100 festlegen.

    Ab Junos OS Version 19.4R1 ist die Option set services application-identification enable-performance-mode max-packet-threshold value für den maximalen Paketschwellenwert für den DPI-Leistungsmodus veraltet und wird nicht sofort entfernt, um Abwärtskompatibilität zu gewährleisten und die Möglichkeit zu geben, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen. Diese Option wurde verwendet, um den maximalen Paketschwellenwert für den DPI-Leistungsmodus festzulegen.

  3. Bestätigen Sie die Konfiguration.

Verwenden Sie den Befehl, um detaillierte Informationen zum Status der show services application-identification status Anwendungsidentifikation anzuzeigen.

show services application-identification status (DPI-Leistungsmodus aktiviert)

Im Feld DPI-Leistungsmodus wird angezeigt, ob der DPI-Leistungsmodus aktiviert ist oder nicht. Dieses Feld wird in der CLI-Befehlsausgabe nur angezeigt, wenn der Leistungsmodus aktiviert ist.

Wenn Sie DPI auf den Standardgenauigkeitsmodus festlegen und den Leistungsmodus deaktivieren möchten, löschen Sie die Konfigurationsanweisung, die die Aktivierung des Leistungsmodus angibt:

So deaktivieren Sie den Leistungsmodus:

  1. Löschen Sie den Leistungsmodus.

  2. Bestätigen Sie die Konfiguration.

Siehe auch

Paketerfassung von unbekanntem Anwendungsdatenverkehr – Übersicht

Sie können die Funktion "Paketerfassung unbekannter Anwendungen" verwenden, um weitere Details zu einer unbekannten Anwendung auf Ihrem Sicherheitsgerät zu sammeln. Unbekannter Anwendungsdatenverkehr ist der Datenverkehr, der nicht mit einer Anwendungssignatur übereinstimmt.

Nachdem Sie Paketerfassungsoptionen auf Ihrem Sicherheitsgerät konfiguriert haben, wird der unbekannte Anwendungsdatenverkehr gesammelt und auf dem Gerät in einer Paketerfassungsdatei (.pcap) gespeichert. Sie können die Paketerfassung einer unbekannten Anwendung verwenden, um eine neue benutzerdefinierte Anwendungssignatur zu definieren. Sie können diese benutzerdefinierte Anwendungssignatur in einer Sicherheitsrichtlinie verwenden, um den Anwendungsdatenverkehr effizienter zu verwalten.

Sie können die PCAP-Datei zur Analyse an Juniper Networks senden, falls der Datenverkehr falsch klassifiziert ist, oder um die Erstellung einer Anwendungssignatur anzufordern.

Vorteile der Paketerfassung von unbekanntem Anwendungsdatenverkehr

Sie können die Paketerfassung von unbekanntem Anwendungsdatenverkehr für Folgendes verwenden:

  • Gewinnen von mehr Informationen über eine unbekannte Anwendung

  • Analysieren Sie unbekannten Anwendungsdatenverkehr auf potenzielle Bedrohungen

  • Unterstützung bei der Erstellung von Sicherheitsrichtlinienregeln

  • Aktivieren der Erstellung von benutzerdefinierten Anwendungssignaturen

Anmerkung:

Die Implementierung von Sicherheitsrichtlinien, die jeglichen unbekannten Anwendungsdatenverkehr blockieren, kann zu Problemen mit netzwerkbasierten Anwendungen führen. Bevor Sie diese Arten von Richtlinien anwenden, stellen Sie sicher, dass dieser Ansatz keine Probleme in Ihrer Umgebung verursacht. Sie müssen den unbekannten Anwendungsdatenverkehr sorgfältig analysieren und die Sicherheitsrichtlinie entsprechend definieren.

Konfigurieren der Paketerfassung für unbekannten Anwendungsdatenverkehr

Vorbereitungen

Um die automatische Paketerfassung von unbekanntem Anwendungsdatenverkehr zu aktivieren, gehen Sie wie folgt vor:

Überblick

In diesem Beispiel erfahren Sie, wie Sie die automatische Paketerfassung unbekannter Anwendungen auf Ihrem Sicherheitsgerät konfigurieren, indem Sie die folgenden Schritte ausführen:

  • Legen Sie Paketerfassungsoptionen auf globaler Ebene oder auf Sicherheitsrichtlinienebene fest.

  • Konfigurieren des Paketerfassungsmodus

  • (Optional) Konfigurieren von Optionen für Paketerfassungsdateien

  • Greifen Sie auf die generierte Paketerfassungsdatei (.PCAP-Datei )

Konfiguration

Weitere Informationen zu Konfigurationsoptionen für die Paketerfassung finden Sie unter Paketerfassung , bevor Sie beginnen.

Paketerfassung für unbekannte Anwendungen weltweit

Schritt-für-Schritt-Anleitung

  • Verwenden Sie den folgenden Befehl, um die Paketerfassung auf globaler Ebene zu aktivieren:

Wenn Sie die Paketerfassung auf globaler Ebene aktivieren, generiert Ihr Sicherheitsgerät eine Paketerfassung für alle Sitzungen, die unbekannten Anwendungsdatenverkehr enthalten.

Paketerfassung für unbekannte Anwendungen auf Sicherheitsrichtlinienebene

Schritt-für-Schritt-Anleitung

  • Gehen Sie folgendermaßen vor, um die Paketerfassung auf Sicherheitsrichtlinienebene zu konfigurieren. In diesem Beispiel aktivieren Sie die Paketerfassung von unbekanntem Anwendungsdatenverkehr auf der Sicherheitsrichtlinie P1.

    Um die Paketerfassung von unbekanntem Anwendungsdatenverkehr auf Sicherheitsrichtlinienebene zu aktivieren, müssen Sie als Übereinstimmungsbedingungen für dynamische Anwendungen angeben junos:UNKNOWN .

    Wenn Sie die Sicherheitsrichtlinie (P1) konfigurieren, erfasst das System die Paketdetails für den Anwendungsdatenverkehr, der den Übereinstimmungskriterien der Sicherheitsrichtlinie entspricht.

Auswählen des Paketerfassungsmodus

Sie können die Pakete für den unbekannten Anwendungsdatenverkehr in einem der folgenden Modi erfassen:

  • ASC-Modus: Erfasst Pakete für unbekannte Anwendungen, wenn die Anwendung als junos:UNKNOWN klassifiziert ist und einen entsprechenden Eintrag im System-Cache der Anwendung (ASC) aufweist. Dieser Modus ist standardmäßig aktiviert.

  • Aggressiver Modus: Erfasst den gesamten Datenverkehr, bevor die AppID die Klassifizierung abgeschlossen hat. In diesem Modus erfasst das System den gesamten Anwendungsverkehr, unabhängig von einem verfügbaren ASC-Eintrag. Die Paketerfassung beginnt mit dem ersten Paket der ersten Sitzung. Beachten Sie, dass der aggressive Modus deutlich ressourcenintensiver ist und mit Vorsicht verwendet werden sollte.

    Verwenden Sie den folgenden Befehl, um den aggressiven Modus zu aktivieren:

    Es wird nicht empfohlen, den aggressiven Modus zu verwenden, es sei denn, Sie müssen das erste Auftreten eines Flows erfassen. Wie oben erwähnt, hängt das Standardverhalten des Geräts vom ASC ab.

Definieren von Paketerfassungsoptionen (optional)

Schritt-für-Schritt-Anleitung

Optional können Sie die folgenden Paketerfassungsparameter festlegen. Andernfalls werden die unter Paketerfassung beschriebenen Standardoptionen für diese Funktion verwendet. In diesem Beispiel definieren Sie Paketerfassungsoptionen, z. B. maximales Paketlimit, maximales Bytelimit und Anzahl der Paketerfassungsdateien (.pcap).

  1. Legen Sie die maximale Anzahl von UDP-Paketen pro Sitzung fest.

  2. Legen Sie die maximale Anzahl von TCP-Bytes pro Sitzung fest.

  3. Legen Sie die maximale Anzahl von Paketerfassungsdateien (.pcap) fest, die erstellt werden sollen, bevor die älteste Datei überschrieben und herausrotiert wird.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl und show security policies die show services application-identification packet-capture Hierarchieebene eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, befolgen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Die folgende Konfiguration zeigt ein Beispiel für die Erfassung unbekannter Anwendungspakete auf globaler Ebene mit optionalen Konfigurationen:

Die folgende Konfiguration zeigt ein Beispiel für die Erfassung unbekannter Anwendungspakete auf Sicherheitsrichtlinienebene mit optionalen Konfigurationen:

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Zugriff auf Paketerfassungsdateien (.pcaps)

Nachdem Sie die Konfiguration abgeschlossen und bestätigt haben, können Sie die Paketerfassungsdatei (.pcap) anzeigen. Das System generiert eine eindeutige Paketerfassungsdatei für jede Ziel-IP-Adresse, jeden Zielport und jedes Protokoll.

Schritt-für-Schritt-Anleitung

So zeigen Sie die Paketerfassungsdatei an:

  1. Navigieren Sie zu dem Verzeichnis, in dem PCAP-Dateien auf dem Gerät gespeichert sind.

  2. Suchen Sie die PCAP-Datei .

    Die PCAP-Datei wird im destination-IP-address. destination-port.protocol. pcap Format gespeichert. Beispiel: 142.250.31.156_443_17.pcap.

    Sie können die PCAP-Datei mithilfe von SFTP oder SCP herunterladen und mit Wireshark oder Ihrem bevorzugten Netzwerkanalysator anzeigen.

    Abbildung 2 zeigt eine PCAP-Beispieldatei, die für den unbekannten Anwendungsdatenverkehr generiert wurde.

    Abbildung 2: Beispielpaketerfassungsdatei Wireshark screenshot displaying captured packets from a .pcap file. Shows packet list with columns like No., Time, Source, Destination, Protocol, and Info. Packet details include Ethernet II, IP, TCP layers, and 2-byte data payload. Packet bytes in hex and ASCII shown.
    Anmerkung:

    In Situationen, in denen Paketverluste auftreten, ist das Gerät möglicherweise nicht in der Lage, alle relevanten Details des Datenstroms zu erfassen. In diesem Fall gibt die PCAP-Datei nur das wieder, was das Gerät aufnehmen und verarbeiten konnte.

Das Sicherheitsgerät speichert die Paketerfassungsdetails für den gesamten Datenverkehr, der den drei Übereinstimmungskriterien (Ziel-IP-Adresse, Zielport und Protokoll) entspricht, unabhängig von der Konfiguration auf globaler oder Richtlinienebene, in derselben Datei. Das System verwaltet den Cache mit der Ziel-IP-Adresse, dem Zielport und dem Protokoll und akzeptiert nicht die wiederholte Erfassung desselben Datenverkehrs, der den definierten Grenzwert überschreitet. Sie können die Optionen für die Paketerfassungsdatei wie in Paketerfassung festlegen.

Verifizierung

Anzeigen von Paketerfassungsdetails

Zweck

Zeigen Sie die Details der Paketerfassung an, um zu bestätigen, dass Ihre Konfiguration funktioniert.

Aktion

Verwenden Sie den show services application-identification packet-capture counters Befehl.

Bedeutung

Aus dieser Beispielausgabe können Sie Details abrufen, z. B. die Anzahl der erfassten Sitzungen und die Anzahl der bereits erfassten Sitzungen. Weitere Informationen zu den Paketerfassungsindikatoren finden Sie unter Anzeigen von Paketerfassungszählern für die Anwendungsidentifikation von Diensten.

Paketerfassung unbekannter Anwendungen Details pro Sitzung

Ihr Sicherheitsgerät speichert die Paketerfassung unbekannter Anwendungsdetails pro Sitzung. Die Paketerfassungsdatei (.pcap) enthält jetzt die Sitzungs-ID im Dateinamen. Das heißt: Ziel-IP-address_destination-port_protocol_session-ID. pcap in /var/log/pcap.

Durch das Speichern der Paketerfassung pro Sitzung wird die Größe der PCAP-Datei reduziert, da nur Details pro Sitzung gespeichert werden.

Darüber hinaus haben wir die Paketerfassung unbekannter Anwendungsfunktionen verbessert, um unbekannte SNI-Details zu erfassen

Siehe auch

Zusätzliche Plattforminformationen

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:

Bahnsteig

Unterschied

SRX300, SRX320, SRX340, SRX345, SRX550M und SRX1500

Wenn eine große Anzahl von ASC-Einträgen (10.000 oder mehr) vorhanden ist und die Einträge in der Ausgabe für den Befehl show services application-identification application-system-cacheaufgeführt werden sollen, tritt eine Zeitüberschreitung der CLI-Sitzung auf.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
19.4R1
Ab Junos OS Version 19.4R1 können Sie die Prüfgrenzwerte für die Anwendungsidentifikation konfigurieren.
19.4R1
Ab Junos OS Version 19.4R1 ist die Option set services application-identification enable-performance-mode max-packet-threshold value für den maximalen Paketschwellenwert für den DPI-Leistungsmodus veraltet.
19.4R1
Ab Junos OS-Versionen 20.1R1 und 19.1R3 können Sie das maximale Speicherlimit für Deep Packet Inspection (DPI) konfigurieren.
19.4R1
Ab Junos OS-Versionen 20.1R1 und 19.1R3 können Sie die Anwendungsidentifikation (AppID) aktivieren, um eine Webanwendung, die in einem Content Delivery Network (CDN) wie AWS, Akamai, Azure, Fastly, Cloudflare usw. gehostet wird, genau zu klassifizieren.
19.4R1
Ab Junos OS Version 21.1 speichert Ihr Sicherheitsgerät die Paketerfassung unbekannter Anwendungsdetails pro Sitzung.
18.2R1
Ab Junos OS Version 18.2R1 wurde das Standardverhalten des ASC geändert. In Versionen vor Junos OS Version 18.2R1 war die Zwischenspeicherung von Anwendungen standardmäßig aktiviert. Sie können es manuell deaktivieren, indem Sie den set services application-identification no-application-system-cache Befehl verwenden.
15,1 x 49-D120
Ab Junos OS 18.3 R1 unterstützen die Sicherheitsgeräte einen Verlauf von einem Intervall, um die Anzahl der Anwendungssitzungen und -bytes anzuzeigen.