Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Anwendungsidentifizierung

Die Anwendungsidentifizierung ermöglicht es Ihnen, die Anwendungen in Ihrem Netzwerk zu sehen und zu erfahren, wie sie funktionieren, ihre Verhaltenseigenschaften und ihr relatives Risiko. Mithilfe verschiedener Erkennungsmechanismen erkennt App ID die Anwendungen in Ihrem Netzwerk unabhängig von Port, Protokoll und anderen Ausweichmanövern. Weitere Informationen finden Sie in den folgenden Themen:

Verständnis der Techniken zur Anwendungsidentifizierung

In der Vergangenheit haben Firewalls die IP-Adresse und portnummern verwendet, um Richtlinien durchzusetzen. Diese Strategie basiert auf der Annahme, dass Benutzer sich von festen Standorten aus mit dem Netzwerk verbinden und über spezifische Portnummern auf bestimmte Ressourcen zugreifen.

Heute erfordern drahtlose Netzwerke und mobile Geräte eine andere Strategie. Die Art und Weise, wie Sich Geräte mit dem Netzwerk verbinden, ändert sich schnell. Eine Einzelperson kann sich über mehrere Geräte gleichzeitig mit dem Netzwerk verbinden. Es ist nicht mehr praktikabel, einen Benutzer, eine Anwendung oder ein Gerät anhand einer Gruppe statisch zugeordneter IP-Adressen und Portnummern zu identifizieren.

Dieses Thema umfasst den folgenden Abschnitt:

Junos OS Anwendungsidentifizierung der nächsten Generation

Die Anwendungsidentifizierung der nächsten Generation baut auf den älteren Funktionen zur Anwendungsidentifizierung auf und bietet effektivere Erkennungsfunktionen für ausweichende Anwendungen wie Skype, BitTorrent und Tor.

Die Junos OS-Anwendungsidentifizierung erkennt webbasierte und andere Anwendungen und Protokolle auf verschiedenen Netzwerkschichten und verwendet andere Merkmale als die Portnummer. Anwendungen werden mithilfe eines Protokollpakets identifiziert, das Anwendungssignaturen und Parsing-Informationen enthält. Die Identifizierung basiert auf Protokollparsing, Dekodierung und Sitzungsmanagement.

Der Erkennungsmechanismus verfügt über einen eigenen Datenfeed und Konstrukte zur Identifizierung von Anwendungen.

Die folgenden Funktionen werden bei der Anwendungsidentifizierung unterstützt:

  • Unterstützung für Protokolle und Anwendungen, einschließlich Video-Streaming, Peer-to-Peer-Kommunikation, Social Networking und Messaging

  • Identifizierung von Services innerhalb von Anwendungen

  • Fähigkeit zur Unterscheidung von Aktionen, die in einer Anwendung gestartet werden (z. B. Anmeldung, Durchsuchen, Chat und Dateiübertragung)

  • Unterstützung aller Versionen von Protokollen und Anwendungsdecoder und dynamischen Updates von Decodern

  • Unterstützung für verschlüsselten und komprimierten Datenverkehr und komplexeste Tunneling-Protokolle

  • Fähigkeit, alle Protokolle von Layer 3 bis Layer 7 und darüber auf Layer 7 zu identifizieren

Vorteile der Anwendungsidentifizierung

  • Bietet granulare Kontrolle über Anwendungen, einschließlich Videostreaming, Peer-to-Peer-Kommunikation, Social Networking und Messaging. Außerdem werden Services, Portnutzung, zugrunde liegende Technologie und Verhaltensmerkmale innerhalb von Anwendungen identifiziert. Diese Visibilität ermöglicht es Ihnen, evasive Anwendungen inline an der Firewall der SRX-Serie zu blockieren.

  • Identifiziert Anwendungen und erlaubt, blockiert oder beschränkt Anwendungen – unabhängig von Port oder Protokoll, einschließlich Anwendungen, die bekanntermaßen verschleierte Techniken verwenden, um eine Identifizierung zu vermeiden. Diese Identifizierung hilft Unternehmen bei der Kontrolle der Arten von Datenverkehr, der in das Netzwerk ein- und aus dem Netzwerk gelangen darf.

Zuordnung von Anwendungssignaturen

Die Zuordnung von Anwendungssignaturen ist eine präzise Methode zur Identifizierung der Anwendung, die Datenverkehr im Netzwerk ausgegeben hat. Die Signaturzuordnung erfolgt auf Layer 7 und inspiziert den tatsächlichen Inhalt der Nutzlast.

Anwendungen werden mithilfe eines herunterladbaren Protokollpakets identifiziert. Anwendungssignaturen und Parsing-Informationen der ersten Pakete werden mit dem Inhalt der Datenbank verglichen. Wenn die Payload dieselben Informationen wie ein Eintrag in der Datenbank enthält, wird die Anwendung des Datenverkehrs als die Anwendung identifiziert, die diesem Datenbankeintrag zugeordnet ist.

Juniper Networks stellt eine vordefinierte Datenbank zur Anwendungsidentifizierung bereit, die Einträge für eine umfassende Reihe bekannter Anwendungen wie FTP und DNS sowie Anwendungen enthält, die über das HTTP-Protokoll ausgeführt werden, wie Facebook, Kazaa und viele Instant Messaging-Programme. Mit einem Signaturabonnement können Sie die Datenbank von Juniper Networks herunterladen und die Inhalte regelmäßig aktualisieren, wenn neue vordefinierte Signaturen hinzugefügt werden.

Abgleich der Anwendungsidentifizierung

Abbildung 1 zeigt die Reihenfolge, in der Mapping-Techniken angewendet werden und wie die Anwendung bestimmt wird.

Abbildung 1: Zuordnungsreihenfolge Mapping Sequence

Bei der Anwendungsidentifizierung passiert jedes Paket im Datenstrom die Anwendungsidentifizierungs-Engine zur Verarbeitung, bis die Anwendung identifiziert wird. Anwendungsbindungen werden im Application System Cache (ASC) gespeichert, um die zukünftige Identifizierung zu beschleunigen.

Anwendungssignaturen identifizieren eine Anwendung anhand einer Protokollgrammatikanalyse in den ersten Paketen einer Sitzung. Wenn die Anwendung von der Anwendungsidentifizierungs-Engine noch nicht identifiziert wurde, übergibt sie die Pakete und wartet auf weitere Daten.

Das Anwendungsidentifizierungsmodul passt Anwendungen für Client-to-Server- und Server-to-Client-Sitzungen ab.

Sobald die Anwendung bestimmt ist, können AppSecure-Servicemodule so konfiguriert werden, dass sie den Datenverkehr für die Verfolgung, Priorisierung, Zugriffskontrolle, Erkennung und Prävention basierend auf der Anwendungs-ID des Datenverkehrs überwachen und steuern.

  • Anwendungsverfolgung (AppTrack): Verfolgt und meldet Anwendungen, die das Gerät passieren.

  • Intrusion Detection and Prevention (IDP): Wendet geeignete Angriffsobjekte auf Anwendungen an, die auf nicht standardmäßigen Ports ausgeführt werden. Die Anwendungsidentifizierung verbessert die IDP-Leistung, indem sie den Umfang der Angriffssignaturen für Anwendungen ohne Decoder einschränkt.

  • Application Firewall (AppFW): Implementiert eine Anwendungs-Firewall mit anwendungsbasierten Regeln.

  • Application Quality of Service (AppQoS) – Bietet Quality-of-Service-Priorisierung basierend auf Anwendungssensibilität.

  • Erweitertes richtlinienbasiertes Routing (APBR): Klassifiziert Sitzung basierend auf Anwendungen und wendet die konfigurierten Regeln an, um den Datenverkehr umzuleiten.

  • Application Quality of Experience (AppQoE): Überwacht die Leistung von Anwendungen und wählt basierend auf der Punktzahl den bestmöglichen Link für diesen Anwendungsdatenverkehr aus.

Siehe auch

Grundlegendes zur Junos OS-Datenbank zur Anwendungsidentifizierung

Eine vordefinierte Signaturdatenbank ist auf der Website von Juniper Networks Security Engineering verfügbar. Diese Datenbank enthält eine Bibliothek von Anwendungssignaturen. Weitere Informationen finden Sie unter Anwendungssignaturen . Diese Signaturseiten bieten Ihnen Einen Einblick in die Anwendungskategorie, Gruppe, Risikostufe, Ports und so weiter.

Das vordefinierte Signaturpaket enthält Identifizierungskriterien für bekannte Anwendungssignaturen und wird in regelmäßigen Abständen aktualisiert.

Jedes Mal, wenn neue Anwendungen hinzugefügt werden, wird das Protokollpaket aktualisiert und für alle relevanten Plattformen generiert. Es wird zusammen mit anderen Anwendungssignaturdateien gepackt. Dieses Paket steht über die Website zum Herunterladen von Sicherheit zum Download zur Verfügung.

Mit einem Abonnementservice können Sie regelmäßig die neuesten Signaturen für eine aktuelle Abdeckung herunterladen, ohne dass Sie Einträge für ihre eigene Verwendung erstellen müssen.

Die Anwendungsidentifizierung ist standardmäßig aktiviert und wird automatisch aktiviert, wenn Sie Intrusion Detection and Prevention (IDP), AppFW, AppQoS oder AppTrack konfigurieren.

Hinweis:

Updates des vordefinierten Pakets zur Anwendungssignatur von Junos OS werden durch einen separat lizenzierten Abonnementdienst autorisiert. Sie müssen den Lizenzschlüssel zur Anwendungsidentifizierung der Anwendungssignatur auf Ihrem Gerät installieren, um die von Juniper Networks bereitgestellten Aktualisierungen der Signaturdatenbank herunterladen und installieren zu können. Wenn Ihr Lizenzschlüssel abläuft, können Sie den lokal gespeicherten Paketinhalt der Anwendungssignatur weiterhin verwenden, aber Sie können das Paket nicht aktualisieren.

Siehe auch

Deaktivierung und erneutes Deaktivieren der Junos OS-Anwendungsidentifizierung

Die Anwendungsidentifizierung ist standardmäßig aktiviert. Sie können die Anwendungsidentifizierung über die CLI deaktivieren.

So deaktivieren Sie die Anwendungsidentifizierung:

Wenn Sie die Anwendungsidentifizierung erneut aktivieren möchten, löschen Sie die Konfigurationsaussage, die die Deaktivierung der Anwendungsidentifizierung angibt:

Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Geben Sie den Befehl ein, um die show services application-identification Konfiguration zu überprüfen.

Siehe auch

Grundlegendes zum Anwendungssystem-Cache

Application System Cache (ASC) speichert die Zuordnung zwischen einem Anwendungstyp und der entsprechenden Ziel-IP-Adresse, dem Ziel-Port, dem Protokolltyp und dem Dienst. Sobald eine Anwendung identifiziert wurde, werden ihre Informationen im ASC gespeichert, sodass nur ein passender Eintrag erforderlich ist, um eine Anwendung zu identifizieren, die auf einem bestimmten System ausgeführt wird, wodurch der Identifizierungsprozess beschleunigt wird.

Standardmäßig speichert der ASC die Zuordnungsinformationen 3600 Sekunden lang. Sie können den Cache-Timeout-Wert jedoch mithilfe der CLI konfigurieren.

Sie können den [edit services application-identification application-system-cache-timeout] Timeoutwert für die Cache-Einträge des Anwendungssystems mit dem Befehl ändern. Der Timeout-Wert kann von 0 bis 1.000.000 Sekunden konfiguriert werden. Die ASC-Sitzung kann nach 1000.000 Sekunden ablaufen.

ASC-Einträge laufen nach dem konfigurierten ASC-Timeout ab. ASC-Einträge werden selbst dann nicht aktualisiert, wenn während des Timeout-Zeitraums Cache-Treffer (übereinstimmender Eintrag in ASC gefunden) auftreten.

Hinweis:

Wenn Sie eine neue benutzerdefinierte Anwendungssignatur konfigurieren oder eine vorhandene benutzerdefinierte Signatur ändern, werden alle vorhandenen Cache-Einträge des Anwendungssystems für vordefinierte und benutzerdefinierte Anwendungen gelöscht.

Hinweis:

Wenn Sie eine benutzerdefinierte Anwendungssignatur löschen oder deaktivieren und der Konfigurations-Commit fehlschlägt, wird der Anwendungssystemcache -Eintrag (APPLICATION System Cache, ASC) nicht vollständig gelöscht. stattdessen wird eine Basisanwendung im Pfad der benutzerdefinierten Anwendung in ASC gemeldet.

Siehe auch

Aktivieren oder Deaktivieren des Anwendungssystemcaches für Anwendungsservices

Ab Junos OS Version 18.2R1 wird das Standardverhalten des ASC wie folgt geändert:

  • Vor Junos OS Version 18.2R1 ist ASC standardmäßig für alle Services einschließlich Sicherheitsservices aktiviert.

  • Ab Junos OS Version 18.2R1 ist ASC standardmäßig aktiviert. Beachten Sie den Unterschied bei der Suche nach Sicherheitsservices:

    • Die ASC-Suche für Sicherheitsservices ist standardmäßig nicht aktiviert. Das heißt: Sicherheitsservices, einschließlich Sicherheitsrichtlinien, Anwendungs-Firewall (AppFW), Anwendungsverfolgung (AppTrack), Quality of Service (AppQoS), Juniper Sky ATP, IDP und UTM verwenden das ASC standardmäßig nicht.

    • Die ASC-Suche für verschiedene Services ist standardmäßig aktiviert. Das heißt, verschiedene Services, einschließlich erweitertes richtlinienbasiertes Routing (APBR), verwenden standardmäßig asc für die Anwendungsidentifizierung.

Hinweis:

Die Änderung des Standardverhaltens des ASC wirkt sich auf die ältere AppFW-Funktionalität aus. Da der ASC für Sicherheitsservices ab Junos OS Version 18.2 standardmäßig deaktiviert ist, verwendet AppFW die im ASC vorhandenen Einträge nicht.

Sie können das ASC-Verhalten wie in Junos OS-Versionen vor Version 18.2 mithilfe des set services application-identification application-system-cache security-services Befehls wiederherstellen.
VORSICHT:

Das Sicherheitsgerät kann anfällig für Techniken zur Umgehung von Anwendungen werden, wenn das ASC für Sicherheitsservices aktiviert ist. Wir empfehlen, den ASC nur dann zu aktivieren, wenn die Leistung des Geräts in seiner Standardkonfiguration (für Sicherheitsservices deaktiviert) für Ihren spezifischen Anwendungsfall nicht ausreicht.

Verwenden Sie die folgenden Befehle, um den ASC zu aktivieren oder zu deaktivieren:

  • Aktivieren Sie das ASC für Sicherheitsservices:

  • Deaktivieren Sie den ASC für verschiedene Services:

  • Deaktivieren Sie den aktivierten ASC für Sicherheitsservices:

  • Aktivieren Sie die deaktivierte ASC für verschiedene Services:

Sie können den show services application-identification application-system-cache Status des ASC mit dem Befehl überprüfen.

Die folgende Beispielausgabe liefert den Status des ASC:

In Versionen vor Junos OS Version 18.2R1 war das Anwendungs-Caching standardmäßig aktiviert. Sie können es manuell deaktivieren, indem Sie den set services application-identification no-application-system-cache Befehl verwenden.

Siehe auch

Verifizieren von Anwendungssystem-Cache-Statistiken

Zweck

Überprüfen Sie die ASC-Statistiken (Application System Cache).

Hinweis:

Der Cache des Anwendungssystems zeigt den Cache für Anwendungen zur Anwendungsidentifizierung an.

Aktion

Geben Sie im CLI-Betriebsmodus den show services application-identification application-system-cache Befehl ein.

Beispielausgabe

Befehlsname

Bedeutung

Die Ausgabe zeigt eine Zusammenfassung der ASC-Statistikinformationen. Überprüfen Sie die folgenden Informationen:

  • IP-Adresse: Zeigt die Zieladresse an.

  • Port: Zeigt den Zielport auf dem Server an.

  • Protokoll: Zeigt den Protokolltyp am Zielport an.

  • Anwendung: Zeigt den Namen der Anwendung an, die am Zielport identifiziert wurde.

Hinweis:

Für SRX300-, SRX320-, SRX340-, SRX345-, SRX550M- und SRX1500-Geräte, wenn eine große Anzahl von ASC-Einträgen (10.000 oder mehr) vorhanden ist und die Einträge in der Ausgabe für den Befehl show services application-identification application-system-cacheaufgeführt werden sollen, tritt ein CLI-Sitzungs-Timeout auf.

Siehe auch

Onbox Anwendungsidentifizierungsstatistiken

Anwendungsidentifizierungsservices liefern statistische Informationen pro Sitzung. Diese Statistiken bieten Kunden ein Anwendungsnutzungsprofil. Die Onbox-Funktion Anwendungsidentifizierungsstatistiken fügt der AppSecure-Suite Statistiken auf Anwendungsebene hinzu. Anwendungsstatistiken ermöglichen es einem Administrator, auf kumulative Statistiken sowie auf Statistiken zuzugreifen, die über benutzerdefinierte Intervalle gesammelt wurden.

Mit dieser Funktion kann der Administrator die Statistiken löschen und die Intervallwerte konfigurieren, während die Bytes- und Sitzungsanzahlsstatistiken beibehalten werden. Da die Statistikanzahl zum Zeitpunkt des Schließens eines Ereignisses auftritt, werden die Byte- und Sitzungsanzahlen erst aktualisiert, wenn die Sitzung geschlossen wird. Sicherheitsgeräte von Juniper Networks unterstützen eine Historie von acht Intervallen, die ein Administrator verwenden kann, um Anwendungssitzungen und Byteanzahlen anzuzeigen. Ab Junos OS 18.3R1 unterstützen die Sicherheitsgeräte einen Verlauf eines Intervalls, um Anwendungssitzungen und Byteanzahlen anzuzeigen.

Wenn die Anwendungsgruppenerstellung in Ihrer Konfiguration von Junos OS unterstützt wird, unterstützt die Funktion "Onbox Application Identification Statistics" entsprechende Onbox-Statistiken pro Gruppe. Die Statistiken werden nur für vordefinierte Gruppen verwaltet.

Durch das erneute Installieren eines Anwendungssignaturpakets werden die Anwendungsstatistiken nicht deaktiviert. Wenn die Anwendung deaktiviert ist, wird kein Datenverkehr für diese Anwendung, aber die Anwendung wird weiterhin in den Statistiken verwaltet. Es spielt keine Rolle, ob Sie eine vordefinierte Anwendung neu installieren, da Anwendungen nach Anwendungstyp verfolgt werden. Bei vordefinierten Gruppenstatistiken wird durch die Neuinstallation eines Sicherheitspakets die Statistik nicht gelöscht. Alle Änderungen an Gruppenmitgliedschaften werden jedoch aktualisiert. Junos:web kann beispielsweise 50 Anwendungen in der aktuellen Version und 60 Anwendungen nach einem Upgrade haben. Anwendungen, die gelöscht werden und Anwendungsgruppen, die umbenannt werden, werden genauso gehandhabt wie anwendungen, die hinzugefügt werden.

Das Anwendungsidentifizierungsmodul verwaltet einen 64-Bit-Sitzungszähler für jede Anwendung auf jeder Services Processing Unit (SPU). Die Zählersteigerungen, wenn eine Sitzung als eine bestimmte Anwendung identifiziert wird. Ein weiterer Satz von 64-Bit-Zählern aggregiert die Gesamtbytes pro Anwendung auf der SPU. Zähler für nicht spezifizierte Anwendungen werden ebenfalls verwaltet. Statistiken von mehreren SPUs für Sitzungen und Bytes werden in der Routing-Engine aggregiert und den Benutzern angezeigt.

Einzelne SPUs verfügen über Intervall-Timer, um Statistiken pro interval Zeit zu überrollen. Verwenden Sie den Befehl, um das Intervall für die set services application-identification statistics interval time Statistikerfassung zu konfigurieren. Wenn die Routing-Engine das erforderliche Intervall abfragt, werden die entsprechenden Statistiken von jeder SPU abgerufen, in der Routing-Engine aggregiert und dem Benutzer angezeigt.

Verwenden Sie die, clear services application-identification statistics um alle Anwendungsstatistiken wie kumuliert, Intervall, Anwendungen und Anwendungsgruppen zu löschen.

Verwenden Sie den clear services application-identification counter Befehl, um die Zähler manuell zurückzusetzen. Zähler werden automatisch zurückgesetzt, wenn ein Gerät aktualisiert oder neu gestartet wird, wenn ein Datenstrom neu gestartet wird oder wenn der Intervall-Timer geändert wird.

Verwenden Sie den set services application-identification application-system-cache-timeout value , um den Timeoutwert für die Cache-Einträge des Anwendungssystems in Sekunden anzugeben.

Ab Junos OS Version 15.1X49-D120 wird das Standardintervall für die Erfassung von Anwendungsidentifizierungsstatistiken auf allen Geräten der SRX-Serie von 1 Minute auf 1440 Minuten geändert.

Konfigurieren der IMAP-Cache-Größe

Internet Message Access Protocol (IMAP) ist ein Internetstandardprotokoll, das von E-Mail-Clients für E-Mail-Speicher- und Abrufservices verwendet wird. IMAP-Cache wird für Protokoll-Parsing und Kontextgenerierung verwendet. Es speichert parsing bezogene Informationen einer E-Mail.

Ab Junos OS Version 15.1X49-D120 können Sie so konfigurieren, dass die maximale Anzahl von Einträgen im IMAP-Cache begrenzt und der Timeoutwert für die Einträge im Cache angegeben wird.

Sie können die folgenden Befehle verwenden, um die Einstellungen für DEN IMAP-Cache zu ändern:

set services application-identification imap-cache imap-cache-size size

set services application-identification imap-cache imap-cache-timeout time in seconds

Beispiel:

In diesem Beispiel ist die IMAP-Cachegröße so konfiguriert, dass 50.000 Einträge gespeichert werden.

In diesem Beispiel wird ein Time out-Zeitraum auf 600 Sekunden konfiguriert, während derer ein Cacheeintrag im IMAP-Cache verbleibt.

Siehe auch

Grundlegendes zur Unterstützung von Jumbo Frames für Junos OS Application Identification Services

Die Anwendungsidentifizierung unterstützt die größere Jumbo-Frame-Größe von 9192 Bytes. Obwohl Jumbo Frames standardmäßig aktiviert sind, können Sie die maximale MTU-Größe (Transmission Unit) mithilfe des Befehls [set interfaces] anpassen. Bei der Verarbeitung von Jumbo-Frames kann der CPU-Overhead reduziert werden.

Siehe auch

Begrenzung der Prüfung der Anwendungsidentifizierung

Ab Junos OS-Versionen 15.1X49-D200 und 19.4R1 haben Sie die Flexibilität, die Grenzwerte für die Prüfung der Anwendungsidentifizierung zu konfigurieren:.

  • Inspection Limit for TCP and UDP Sessions

    Sie können die Bytegrenze und die Paketgrenze für die Anwendungsidentifizierung (AppID) in einem UDP oder in einer TCP-Sitzung festlegen. AppID schließt die Klassifizierung basierend auf dem konfigurierten Prüflimit ab. Bei Überschreiten des Limits beendet AppID die Anwendungsklassifizierung.

    Wenn AppID die endgültige Klassifizierung nicht innerhalb der konfigurierten Grenzen schließt und eine vorab abgeglichene Anwendung verfügbar ist, schließt AppID die Anwendung als vorab abgeglichene Anwendung ab. Andernfalls wird die Anwendung als Junos:UNKNOWN abgeschlossen, sofern der globale AppID-Cache aktiviert ist. Der globale AppID-Cache ist standardmäßig aktiviert.

    Verwenden Sie die folgenden Konfigurationsanweisungen aus der Hierarchie, um die Bytegrenze und die [edit] Paketgrenze zu konfigurieren:

    Tabelle 1 enthält den Bereich und den Standardwert für die Konfiguration der Bytegrenze und des Paketlimits für TCP- und UDP-Sitzungen.

    Tabelle 1: Maximale Byte- und Packet Byte-Begrenzung für TCP- und UDP-Sitzungen

    Sitzung

    Limit

    Bereich

    Standardwert

    TCP

    Byte-Limit

    0 bis 4294967295

    6000

    Für Junos OS Version 15.1X49-D200 ist der Standardwert 10000.

    Paketlimit

    0 bis 4294967295

    Null

    UDP

    Byte-Limit

    0 bis 4294967295

    Null

    Paketlimit

    0 bis 4294967295

    10

    Für Junos OS Version 15.1X49-D200 ist der Standardwert 20.

    Die Bytegrenze schließt den IP-Header und die TCP/UDP-Headerlängen aus.

    Wenn Sie sowohl die byte-limit Optionen als auch die packet-limit Optionen festlegen, prüft AppID die Sitzung, bis beide Grenzen erreicht sind.

    Sie können das TCP- oder UDP-Überprüfungslimit deaktivieren, indem Sie den entsprechenden byte-limit und die packet-limit Werte auf Null konfigurieren.

  • Global Offload Byte Limit (Other Sessions)

    Sie können das Bytelimit für die AppID festlegen, um die Klassifizierung abzuschließen und die Anwendung in einer Sitzung zu identifizieren. Bei Überschreiten des Limits beendet AppID die Anwendungsklassifizierung und trifft eine der folgenden Entscheidungen:

    • Wenn eine vorab abgeglichene Anwendung verfügbar ist, schließt AppID die Anwendungsklassifizierung in folgenden Fällen als vorausgeglichene Anwendung ab:

      • Wenn AppID die endgültige Klassifizierung innerhalb des konfigurierten Bytelimits nicht abschließt

      • Wenn die Sitzung aufgrund des Tunnelverhaltens einiger Anwendungen nicht deaktiviert wird

    • Wenn eine vorab abgeglichene Anwendung nicht verfügbar ist, schließt AppID die Anwendung als junos:UNKNOWN ab, vorausgesetzt, der globale AppID-Cache ist aktiviert. Der globale AppID-Cache ist standardmäßig aktiviert. Siehe Aktivieren oder Deaktivieren des Anwendungssystemcaches für Anwendungsservices.

    Verwenden Sie die folgende Konfigurationsaussage aus der Hierarchie, um die [edit] Bytegrenze zu konfigurieren:

    Der Standardwert für die global-offload-byte-limit Option ist 10000.

    Sie können die Begrenzung des globalen Offload-Byte deaktivieren, indem Sie den global-offload-byte-limit Wert auf Null konfigurieren.

    Die Bytegrenze schließt den IP-Header und die TCP/UDP-Headerlängen aus.

Option für den Leistungsmodus aktivieren

Ab Den Junos OS-Versionen 15.1X49-D200 und 19.4R1 wird der maximale Paket-Schwellenwert für dpi-Leistungsmodus-Option set services application-identification enable-performance-mode max-packet-threshold value nicht sofort entfernt, sondern veraltet, um Abwärtskompatibilität zu gewährleisten und die Möglichkeit zu bieten, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen. Diese Option wurde verwendet, um den maximalen Paket-Schwellenwert für den DPI-Leistungsmodus festzulegen.

Wenn Ihre Konfiguration eine Option für den aktivierten Leistungsmodus mit max-packet-threshold den Versionen Junos OS 15.1X49-D200 und 19.4R1 enthält, schließt AppID die Anwendungsklassifizierung ab, wenn der niedrigste Wert erreicht wird, der in der TCP- oder UDP-Überprüfungsgrenze oder im globalen Offload-Byte-Limit oder in der Option für den maximalen Paketwert für DPI-Leistungsmodus konfiguriert ist.

Unterstützung der Anwendungsidentifizierung für Anwendungen, die im Content Delivery Network (CDN) gehostet werden

Ab Junos OS Version 20.1R1 und 19.1R3 können Sie die Anwendungsidentifizierung (AppID) aktivieren, um eine Webanwendung zu klassifizieren, die in einem Content Delivery Network (CDN) wie AWS, Akamai, Azure, Fastly und Cloudflare usw. gehostet wird. Verwenden Sie die folgende Konfigurationsaussage, um die CDN-Anwendungsklassifizierung zu aktivieren: 

[edit] 
user@host# user@hots# set service application-identification enable-cdn-application-detection

Wenn Sie die Konfiguration anwenden, identifiziert und klassifiziert AppID tatsächliche Anwendungen, die auf dem CDN gehostet werden.

Maximale Speicherbeschränkung für DPI

Ab Junos OS Version 20.1R1 und 19.1R3 können Sie die maximale Speichergrenze für Deep Packet Inspection (DPI) mithilfe der folgenden Konfigurationsaussage konfigurieren:

Sie können 1 bis 200000 MB als Speicherwert festlegen.

Sobald der JDPI-Speicherverbrauch 90 % des konfigurierten Wertes erreicht, beendet DPI die Verarbeitung neuer Sitzungen.

Verbesserung des Anwendungsdatendurchsatzes

Der Durchsatz des Anwendungsdatenverkehrs kann verbessert werden, indem die Deep Packet Inspection (DPI) im Leistungsmodus mit Standardpaketinspektionsbeschränkungen als zwei Pakete festgelegt wird, einschließlich Client-to-Server und Server-to-Client-Richtung. Standardmäßig ist der Leistungsmodus auf Sicherheitsgeräten deaktiviert.

Zur Verbesserung des Anwendungsdatendurchsatzes:

  1. Aktivieren Sie den DPI-Leistungsmodus.
  2. (Optional) Sie können den maximalen Paket-Schwellenwert für den DPI-Leistungsmodus festlegen, einschließlich der Anweisungen von Client zu Server und Von Server zu Client.

    Sie können das Limit für die Paketinspektion von 1 bis 100 festlegen.

    Ab Den Junos OS-Versionen 15.1X49-D200 und 19.4R1 wird der maximale Paket-Schwellenwert für dpi-Leistungsmodus-Option set services application-identification enable-performance-mode max-packet-threshold value nicht sofort entfernt, sondern veraltet, um Abwärtskompatibilität zu gewährleisten und die Möglichkeit zu bieten, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen. Diese Option wurde verwendet, um den maximalen Paket-Schwellenwert für den DPI-Leistungsmodus festzulegen.

  3. Commit der Konfiguration.

Verwenden Sie den show services application-identification status Befehl, um detaillierte Informationen zum Anwendungsidentifizierungsstatus anzuzeigen.

Dienstanwendungsidentifizierungsstatus anzeigen (DPI-Leistungsmodus aktiviert)

Im DPI-Leistungsmodus wird angezeigt, ob der DPI-Leistungsmodus aktiviert ist oder nicht. Dieses Feld wird in der Cli-Befehlsausgabe nur angezeigt, wenn der Leistungsmodus aktiviert ist.

Wenn Sie DPI auf den Standardgenauigkeitsmodus festlegen und den Leistungsmodus deaktivieren möchten, löschen Sie die Konfigurationsaussage, die die Aktivierung des Leistungsmodus angibt:

So deaktivieren Sie den Leistungsmodus:

  1. Löschen Sie den Leistungsmodus.

  2. Commit der Konfiguration.

Siehe auch

Paketerfassung unbekannter Anwendungsdatenverkehr – Übersicht

Sie können die Paketerfassung unbekannter Anwendungen verwenden, um weitere Details zu einer unbekannten Anwendung auf Ihrem Sicherheitsgerät zu erfassen. Unbekannter Anwendungsdatenverkehr ist der Datenverkehr, der nicht mit einer Anwendungssignatur übereinstimmt.

Sobald Sie die Paketerfassungsoptionen auf Ihrem Sicherheitsgerät konfiguriert haben, wird der unbekannte Anwendungsdatenverkehr erfasst und auf dem Gerät in einer Paketerfassungsdatei (.pcap) gespeichert. Sie können die Paketerfassung einer unbekannten Anwendung verwenden, um eine neue benutzerdefinierte Anwendungssignatur zu definieren. Sie können diese benutzerdefinierte Anwendungssignatur in einer Sicherheitsrichtlinie verwenden, um den Anwendungsdatenverkehr effizienter zu verwalten.

Sie können die PCAP-Datei zur Analyse an Juniper Networks senden, wenn der Datenverkehr falsch klassifiziert wird, oder um die Erstellung einer Anwendungssignatur zu beantragen.

Vorteile der Paketerfassung unbekannten Anwendungsdatenverkehrs

Sie können die Paketerfassung unbekannten Anwendungsdatenverkehrs verwenden, um:

  • Erhalten Sie mehr Einblicke in eine unbekannte Anwendung

  • Analyse des unbekannten Anwendungsdatenverkehrs auf potenzielle Bedrohungen

  • Unterstützung bei der Erstellung von Sicherheitsrichtlinienregeln

  • Ermöglichen der benutzerdefinierten Erstellung von Anwendungssignaturen

Hinweis:

Die Implementierung von Sicherheitsrichtlinien, die den gesamten unbekannten Anwendungsdatenverkehr blockieren, kann Probleme mit netzwerkbasierten Anwendungen verursachen. Stellen Sie vor der Anwendung dieser Richtlinien sicher, dass dieser Ansatz keine Probleme in Ihrer Umgebung verursacht. Sie müssen den unbekannten Anwendungsdatenverkehr sorgfältig analysieren und die Sicherheitsrichtlinie entsprechend definieren.

Konfigurieren der Paketerfassung für unbekannten Anwendungsdatenverkehr

Bevor Sie beginnen

Um die automatische Paketerfassung unbekannten Anwendungsdatenverkehrs zu ermöglichen, müssen Sie:

Übersicht

In diesem Beispiel erfahren Sie, wie Sie die automatisierte Paketerfassung unbekannter Anwendungen auf Ihrem Sicherheitsgerät konfigurieren, indem Sie die folgenden Schritte ausführen:

  • Legen Sie Optionen für die Paketerfassung auf globaler Oder auf Sicherheitsrichtlinienebene fest.

  • Konfiguration des Paketerfassungsmodus

  • (Optional) Konfiguration der Dateioptionen für die Paketerfassung

  • Greifen Sie auf die generierte Paketerfassungsdatei (. PCAP-Datei )

Konfiguration

Um mehr über Konfigurationsoptionen für die Paketerfassung zu erfahren, sehen Sie sich die Paketerfassung an, bevor Sie beginnen.

Paketerfassung für unbekannte Anwendungen weltweit

Schritt-für-Schritt-Verfahren

  • Verwenden Sie den folgenden Befehl, um die Paketerfassung auf globaler Ebene zu aktivieren:

Wenn Sie die Paketerfassung auf globaler Ebene aktivieren, generiert Ihr Sicherheitsgerät eine Paketerfassung für alle Sitzungen, die unbekannten Anwendungsdatenverkehr enthalten.

Paketerfassung für unbekannte Anwendungen auf Sicherheitsrichtlinienebene

Schritt-für-Schritt-Verfahren

  • Konfigurieren Sie die Paketerfassung auf Sicherheitsrichtlinienebene. Verwenden Sie das folgende Verfahren. In diesem Beispiel aktivieren Sie die Paketerfassung unbekannten Anwendungsdatenverkehrs an der Sicherheitsrichtlinie P1.

    Um die Paketerfassung unbekannten Anwendungsdatenverkehrs auf Sicherheitsrichtlinienebene zu ermöglichen, müssen Sie die Bedingungen für die dynamische Anwendung als Übereinstimmungsbedingungen einschließen junos:UNKNOWN .

    Wenn Sie die Sicherheitsrichtlinie (P1) konfigurieren, erfasst das System die Paketdetails für den Anwendungsdatenverkehr, der den Kriterien für die Übereinstimmung der Sicherheitsrichtlinien entspricht.

Auswahl des Paketerfassungsmodus

Sie können die Pakete für den unbekannten Anwendungsdatenverkehr in einem der folgenden Modi erfassen:

  • ASC-Modus: Erfasst Pakete für unbekannte Anwendungen, wenn die Anwendung als junos:UNKNOWN klassifiziert ist und einen passenden Eintrag im Application System Cache (ASC) hat. Dieser Modus ist standardmäßig aktiviert.

  • Aggressiver Modus: Erfasst den gesamten Datenverkehr, bevor AppID die Klassifizierung abgeschlossen hat. In diesem Modus erfasst das System den gesamten Anwendungsdatenverkehr unabhängig von einem verfügbaren ASC-Eintrag. Die Paketerfassung beginnt mit dem ersten Paket der ersten Sitzung. Beachten Sie, dass der aggressive Modus deutlich ressourcenintensiv ist und mit Vorsicht verwendet werden sollte.

    Verwenden Sie den folgenden Befehl, um den aggressiven Modus zu aktivieren:

    Wir empfehlen nicht, den aggressiven Modus zu verwenden, es sei denn, Sie müssen das erste Auftreten eines Datenstroms erfassen. Wie oben erwähnt, hängt das Standardverhalten des Geräts vom ASC ab.

Paketerfassungsoptionen definieren (optional)

Schritt-für-Schritt-Verfahren

Optional können Sie die folgenden Parameter für die Paketerfassung festlegen. Andernfalls werden für diese Funktion die in der Paketerfassung beschriebenen Standardoptionen verwendet. In diesem Beispiel definieren Sie Optionen für die Paketerfassung, z. B. maximale Paketbeschränkung, maximale Byte-Begrenzung und Anzahl der Paketerfassungsdateien (.pcap).

  1. Legen Sie die maximale Anzahl von UDP-Paketen pro Sitzung fest.

    [edit]
user@host# set services application-identification packet-capture max-packets 10

  2. Legen Sie die maximale Anzahl von TCP-Bytes pro Sitzung fest.

  3. Legen Sie die maximale Anzahl von Paketerfassungsdateien (.pcap) fest, die erstellt werden sollen, bevor die älteste datei überschrieben und herausgedreht wird.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show services application-identification packet-capture Befehls- und show security policies Hierarchieebene eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, befolgen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Die folgende Konfiguration zeigt ein Beispiel für die Erfassung unbekannter Anwendungspakete auf globaler Ebene mit optionalen Konfigurationen:

Die folgende Konfiguration zeigt ein Beispiel für die Erfassung unbekannter Anwendungspakete auf Sicherheitsrichtlinienebene mit optionalen Konfigurationen:

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Zugriff auf Paketerfassungsdateien (.pcaps)

Nachdem Sie die Konfiguration abgeschlossen und übertragen haben, können Sie die Paketerfassungsdatei (.pcap) anzeigen. Das System generiert eine eindeutige Paketerfassungsdatei für jede Ziel-IP-Adresse, jeden Ziel-Port und jedes Protokoll.

Schritt-für-Schritt-Verfahren

So zeigen Sie die Paketerfassungsdatei an:

  1. Navigieren Sie zu dem Verzeichnis, in dem .pcap-Dateien auf dem Gerät gespeichert sind.

  2. Suchen Sie die PCAP-Datei .

    Die PCAP-Datei wird im destination-IP-address. destination-port.protocol. pcap Format gespeichert. Beispiel: 142.250.31.156_443_17.pcap.

    Sie können die .pcap-Datei mit SFTP oder SCP herunterladen und sie mit Wireshark oder Ihrem bevorzugten Netzwerkanalysator anzeigen.

    Abbildung 2 zeigt eine Beispiel-PCAP-Datei , die für den unbekannten Anwendungsdatenverkehr generiert wird.

    Abbildung 2: Musterpaketerfassungsdatei Sample Packet Capture File
    Hinweis:

    In Fällen, in denen Paketverluste auftreten, ist das Gerät möglicherweise nicht in der Lage, alle relevanten Details des Datenstroms zu erfassen. In diesem Fall gibt die PCAP-Datei nur das wider, was das Gerät aufnehmen und verarbeiten konnte.

Das Sicherheitsgerät speichert die Paketerfassungsdetails für den gesamten Datenverkehr, der den drei Übereinstimmungskriterien (Ziel-IP-Adresse, Ziel-Port und Protokoll) entspricht, unabhängig von der konfiguration auf globaler oder Richtlinienebene in derselben Datei. Das System verwaltet den Cache mit der Ziel-IP-Adresse, dem Ziel-Port und dem Protokoll und akzeptiert nicht die wiederholte Erfassung desselben Datenverkehrs, der die definierte Grenze überschreitet. Sie können die Optionen für die Paketerfassungsdatei wie in der Paketerfassung festlegen.

Überprüfung

Anzeigen von Paketerfassungsdetails

Zweck

Zeigen Sie die Paketerfassungsdetails an, um zu bestätigen, dass Ihre Konfiguration funktioniert.

Aktion

Verwenden Sie den show services application-identification packet-capture counters Befehl.

Bedeutung

Aus dieser Beispielausgabe können Sie Details wie die Anzahl der erfassten Sitzungen und die Anzahl der bereits erfassten Sitzungen abrufen. Weitere Details zu den Paketerfassungszählern finden Sie unter Show Services Application Identification Packet Capture Counter.

Paketerfassung unbekannter Anwendungsdetails pro Sitzung

Ab Junos OS Version 21.1 speichert Ihr Sicherheitsgerät die Paketerfassung unbekannter Anwendungsdetails pro Sitzung. Infolge dieser Änderung enthält die Paketerfassungsdatei (.pcap) jetzt die Sitzungs-ID im Dateinamen. Das ist – Ziel-IP-address_destination-port_protocol_session-id. pcap in /var/log/pcap-Speicherort.

Durch das Speichern der Paketerfassung pro Sitzung wird die PCAP-Dateigröße reduziert, da nur Details pro Sitzung gespeichert werden.

Darüber hinaus haben wir die Paketerfassung unbekannter Anwendungsfunktionen verbessert, um unbekannte SNI-Details zu erfassen

Siehe auch

Ähnliche Dokumentation

Tabelle "Versionshistorie"
Release
Beschreibung
19,4R1
Ab Junos OS-Versionen 15.1X49-D200 und 19.4R1 haben Sie die Flexibilität, die Grenzwerte für die Prüfung der Anwendungsidentifizierung zu konfigurieren:
19,4R1
Ab Junos OS-Versionen 15.1X49-D200 und 19.4R1 ist der maximale Paketschwellenwert für dpi-Leistungsmodus-Option set services application-identification enable-performance-mode max-packet-threshold value veraltet
18.2R1
Ab Junos OS Version 18.2R1 wird das Standardverhalten des ASC geändert
18.2R1
In Versionen vor Junos OS Version 18.2R1 war das Anwendungs-Caching standardmäßig aktiviert. Sie können es manuell deaktivieren, indem Sie den set services application-identification no-application-system-cache Befehl verwenden.
15.1X49-D120
Ab Junos OS Version 15.1X49-D120 können Sie so konfigurieren, dass die maximale Anzahl von Einträgen im IMAP-Cache begrenzt und der Timeoutwert für die Einträge im Cache angegeben wird.