AUF DIESER SEITE
Grundlegendes zur Installation des Junos OS-Anwendungspakets
Manuelles Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets
Herunterladen des Junos OS-Anwendungssignaturpakets von einem Proxyserver
Beispiel: Planen der Anwendungssignaturpaketaktualisierungen
Planen der Aktualisierungen des Anwendungssignaturpakets als Teil des IDP-Sicherheitspakets
Überprüfen der Junos OS-Anwendungsidentifikation Extrahiertes Anwendungspaket
Deinstallieren des Anwendungspakets "Junos OS Application Identification"
Verbesserungen bei der Installation von Anwendungssignaturpaketen
Installieren des Anwendungssignaturpakets
Ein vordefiniertes Anwendungssignaturpaket ist ein dynamisch ladbares Modul, das Funktionen zur Anwendungsklassifizierung und die zugehörigen Protokollattribute bereitstellt. Es wird auf einem externen Server gehostet und kann als Paket heruntergeladen und auf dem Gerät installiert werden. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur Installation des Junos OS-Anwendungspakets
Juniper Networks aktualisiert regelmäßig die Datenbank der vordefinierten Anwendungssignaturpakete und stellt sie den Abonnenten auf der Website von Juniper Networks zur Verfügung. Dieses Paket enthält Signaturdefinitionen bekannter Anwendungsobjekte, die zur Identifizierung von Anwendungen für Tracking, Firewall-Richtlinien, Quality-of-Service-Priorisierung und Intrusion Detection and Prevention (IDP) verwendet werden können. Die Datenbank enthält Anwendungsobjekte wie FTP, DNS, Facebook, Kazaa und viele Instant-Messenger-Programme.
Sie müssen das Anwendungssignaturpaket herunterladen und installieren, bevor Sie die Anwendungsdienste konfigurieren. Verwenden Sie eine der folgenden Optionen:
Wenn Sie IDP aktiviert haben und die Anwendungsidentifizierung verwenden möchten, können Sie den Download der IDP-Signaturdatenbank fortsetzen. Weitere Informationen finden Sie unter Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets als Teil des IDP-Sicherheitspakets.
Wenn Sie über ein IDP-fähiges Gerät verfügen und die Anwendungsidentifizierung verwenden möchten, empfehlen wir, nur die IDP-Signaturdatenbank herunterzuladen. Dadurch wird vermieden, dass zwei Versionen der Anwendungsdatenbank vorhanden sind, die nicht mehr synchron sein können.
Wenn Sie IDP nicht aktiviert haben und die Anwendungsidentifizierung verwenden möchten, laden Sie die Anwendungssignaturdatenbank herunter, und installieren Sie sie. Weitere Informationen finden Sie unter Manuelles Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets oder Beispiel: Planen der Aktualisierung des Anwendungssignaturpakets.
Anmerkung:Wenn Sie ein Upgrade oder Downgrade eines Anwendungssignaturpakets durchführen, wird eine Fehlermeldung angezeigt, wenn die Anwendungs-IDs (eindeutige ID-Nummer einer Anwendungssignatur) zwischen Proto-Paketen nicht übereinstimmen und diese Anwendungen in AppFW- und AppQoS-Regeln konfiguriert sind.
Beispiel:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
Um dieses Problem zu umgehen, deaktivieren Sie die AppFW- und AppQoS-Regeln, bevor Sie ein Upgrade oder Downgrade eines Anwendungssignaturpakets durchführen. Sie können AppFW- und AppQoS-Regeln wieder aktivieren, sobald das Upgrade- oder Downgrade-Verfahren abgeschlossen ist.
Anmerkung:Auf allen Sicherheitsgeräten sind J-Web-Seiten für AppSecure Services vorläufig. Es wird empfohlen, die CLI für die Konfiguration von AppSecure-Funktionen zu verwenden.
Upgrade auf Anwendungsidentifikation der nächsten Generation
Sicherheitsgeräte, die mit Junos OS-Builds mit Legacy-Anwendungsidentifikation installiert werden, umfassen Sicherheitspakete für die Legacy-Anwendungsidentifikation. Wenn Sie diese Geräte mit neueren Versionen aktualisieren, wird das Sicherheitspaket für die Anwendungsidentifikation der nächsten Generation zusammen mit dem Standardprotokollpaket installiert. Das Gerät wird automatisch auf die Anwendungsidentifikation der nächsten Generation aufgerüstet.
Beachten Sie Folgendes zum Sicherheitspaket für die Anwendungsidentifikation der nächsten Generation:
-
Das Sicherheitspaket der nächsten Generation für die Anwendungsidentifikation führt inkrementelle Updates für das Legacy-Paket für die Anwendungsidentifikation ein. Sie müssen vorhandene Anwendungen nicht entfernen oder deinstallieren.
-
Anwendungen aus früheren Junos OS-Versionen können in späteren Versionen neue Aliasnamen haben. Vorhandene Konfigurationen funktionieren weiterhin, aber Protokolle und zugehörige Informationen enthalten die aktualisierten Namen. Verwenden Sie den
show services application-identification application detail new-application-nameBefehl, um die Details der Anwendungen abzurufen. -
Wenn Sie Junos OS aktualisieren, können Sie die
validateOptionen oderno-validatein denrequest system software addBefehl einschließen. Da die vorhandenen Funktionen, die nicht Teil der Anwendungsidentifikation der nächsten Generation sind, veraltet sind, treten keine Inkompatibilitätsprobleme auf. -
Die Anwendungsidentifizierung der nächsten Generation eliminiert die Generierung neuer verschachtelter Anwendungen und behandelt vorhandene verschachtelte Anwendungen wie normale Anwendungen. Darüber hinaus unterstützt die Anwendungsidentifizierung der nächsten Generation keine benutzerdefinierten Anwendungen oder benutzerdefinierten Anwendungsgruppen. Vorhandene Konfigurationen, die verschachtelte Anwendungen, benutzerdefinierte Anwendungen oder benutzerdefinierte Anwendungsgruppen betreffen, werden mit Warnmeldungen ignoriert.
Siehe auch
Manuelles Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets
In diesem Beispiel wird gezeigt, wie Sie das Anwendungssignaturpaket herunterladen, eine Richtlinie erstellen und sie als aktive Richtlinie identifizieren.
Anforderungen
Bevor Sie beginnen:
Stellen Sie sicher, dass Ihr Sicherheitsgerät über eine Verbindung mit dem Internet verfügt, um Sicherheitspaket-Updates herunterzuladen.
Anmerkung:DNS muss eingerichtet werden, da Sie den Namen des Updateservers auflösen müssen.
Stellen Sie sicher, dass Sie über die erforderlichen Lizenzen verfügen. Siehe Plattformspezifische LizenzunterstützungLizenzierungshandbuch von Juniper. Weitere Informationen finden Sie in den Produktdatenblättern unter Services Gateways der SRX-Serie oder wenden Sie sich an Ihr Juniper Account-Team oder Ihren Juniper Partner.
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Gerät der SRX-Serie
Junos OS Version 12.1X47-D10
Überblick
Juniper Networks aktualisiert die Datenbank der vordefinierten Anwendungssignaturpakete regelmäßig und stellt sie auf der Website von Juniper Networks zur Verfügung. Dieses Paket enthält Anwendungsobjekte, die in Intrusion Detection and Prevention (IDP), Anwendungs-Firewall-Richtlinien und AppTrack verwendet werden können, um den Datenverkehr abzugleichen.
Wenn Sie ein Upgrade von Junos OS Version 20.4 und früheren Versionen auf Junos OS Version 21.1 und höher durchführen, empfehlen wir, auch die Datenbank mit den Anwendungsidentifikationssignaturen zu aktualisieren.
Konfiguration
CLI Schnellkonfiguration
Die CLI-Schnellkonfiguration ist in diesem Beispiel nicht verfügbar, da während der Konfiguration ein manueller Eingriff erforderlich ist.
Herunterladen und Installieren der Anwendungsidentifikation
Schritt-für-Schritt-Anleitung
Laden Sie das Anwendungspaket herunter.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
Download ruft das Anwendungspaket von der Juniper Networks Sicherheitswebsite https://signatures.juniper.net/cgi-bin/index.cgi ab.
Sie können auch eine bestimmte Version des Anwendungspakets oder das Anwendungspaket von einem bestimmten Speicherort herunterladen, indem Sie die folgenden Optionen verwenden:
So laden Sie eine bestimmte Version des Anwendungspakets herunter:
user@host>request services application-identification download version version-number
So ändern Sie die Download-URL für das Anwendungspaket aus dem Konfigurationsmodus:
[edit] user@host# set services application-identification download url URL or File Path
Überprüfen Sie den Download-Status.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
Sie können auch das Systemprotokoll verwenden, um das Ergebnis des Downloads anzuzeigen.
Installieren Sie das Anwendungspaket.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Das Anwendungspaket wird in der Anwendungssignaturdatenbank auf dem Gerät installiert.
Überprüfen Sie den Installationsstatus des Anwendungspakets.
In der Befehlsausgabe werden Informationen zu den heruntergeladenen und installierten Versionen des Anwendungspakets und des Protokollpakets angezeigt.
So zeigen Sie den Installationsstatus an:
user@host>request services application-identification install status
Install application package 2345 succeed
So zeigen Sie den Status des Protokollpakets an:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
Es ist möglich, dass eine Anwendungssignatur aus der neueren Version einer Anwendungssignaturdatenbank entfernt wurde. Wenn diese Signatur in einer vorhandenen Anwendungs-Firewall-Richtlinie auf Ihrem Gerät verwendet wird, schlägt die Installation der neuen Datenbank fehl. Eine Installationsstatusmeldung identifiziert die Signatur, die nicht mehr gültig ist. Um die Datenbank erfolgreich zu aktualisieren, entfernen Sie alle Verweise auf die gelöschte Signatur aus Ihren vorhandenen Richtlinien und Gruppen, und führen Sie den Installationsbefehl erneut aus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen des Status der Anwendungsidentifikation
Zweck
Vergewissern Sie sich, dass die Konfiguration der Anwendungsidentifikation ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show services application-identification status Befehl ein.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Bedeutung
Das Status: Enabled Feld zeigt an, dass die Anwendungsidentifizierung auf dem Gerät aktiviert ist.
Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets als Teil des IDP-Sicherheitspakets
Sie können Anwendungssignaturen über Intrusion Detection and Prevention (IDP)-Sicherheitspakete herunterladen und installieren.
In diesem Beispiel wird gezeigt, wie Sie die Sicherheit durch Herunterladen und Installieren der IDP-Signaturen und des Anwendungssignaturpakets erhöhen können. In diesem Fall werden sowohl das IDP-Signaturpaket als auch das Anwendungssignaturpaket mit einem einzigen Befehl heruntergeladen.
Anforderungen
Bevor Sie beginnen:
Stellen Sie sicher, dass Ihre Firewall der SRX-Serie über eine Internetverbindung verfügt, um Sicherheitspaket-Updates herunterladen zu können.
Anmerkung:DNS muss eingerichtet werden, da Sie den Namen des Updateservers auflösen müssen.
Stellen Sie sicher, dass Sie die Lizenz für die Anwendungsidentifikationsfunktion installiert haben.
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 12.1X47-D10
Überblick
In diesem Beispiel laden Sie die Signaturdatenbank von der Website von Juniper Networks herunter und installieren sie.
Konfiguration
Herunterladen und Installieren der Signaturdatenbank
CLI Schnellkonfiguration
Die CLI-Schnellkonfiguration ist in diesem Beispiel nicht verfügbar, da während der Konfiguration ein manueller Eingriff erforderlich ist.
Schritt-für-Schritt-Anleitung
So laden Sie Anwendungssignaturen herunter und installieren sie:
Laden Sie die Signaturdatenbank herunter.
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
Anmerkung:Das Herunterladen der Datenbank kann je nach Größe der Datenbank und Geschwindigkeit der Internetverbindung einige Zeit in Anspruch nehmen.
Überprüfen Sie den Download-Status des Sicherheitspakets.
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
Installieren Sie die Angriffsdatenbank.
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
Anmerkung:Die Installation der Angriffsdatenbank kann je nach Größe der Sicherheitsdatenbank einige Zeit in Anspruch nehmen.
Überprüfen Sie den Installationsstatus der Angriffsdatenbank. In der Befehlsausgabe werden Informationen zu den heruntergeladenen und installierten Versionen der Angriffsdatenbank angezeigt.
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Bestätigen Sie die Version Ihres IDP-Sicherheitspakets.
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
Bestätigen Sie die Version des Anwendungsidentifikationspakets.
[edit]user@host# run show services application-identification versionApplication package version: 1884
Verifizierung
Vergewissern Sie sich, dass das Anwendungssignaturpaket ordnungsgemäß aktualisiert wird.
Überprüfen des Anwendungssignaturpakets
Zweck
Überprüfen Sie die Version der Dienstanwendungsidentifikation.
Aktion
Geben Sie im Betriebsmodus den show services application-identification version Befehl ein.
user@host> show services application-identification version
Application package version: 1884
Bedeutung
Die Beispielausgabe zeigt, dass die Version der Dienstanwendungsidentifikation 1884 ist.
Herunterladen des Junos OS-Anwendungssignaturpakets von einem Proxyserver
In diesem Beispiel wird gezeigt, wie Sie ein Proxyprofil erstellen und es zum Herunterladen des Anwendungssignaturpakets von einem Proxyserver verwenden.
Konfiguration
Schritt-für-Schritt-Anleitung
Erstellen Sie ein Proxyprofil, und wenden Sie es für das Herunterladen des Anwendungspakets über den Proxyserver an.
Erstellen Sie ein Proxyprofil für das Protokoll HTTP.
user@host#set services proxy profile Profile-1 protocol httpGeben Sie die IP-Adresse des Proxyservers an.
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1Geben Sie die Portnummer an, die vom Proxyserver verwendet wird.
user@host#set services proxy profile Profile-1 protocol http port 3128Laden Sie das Anwendungspaket vom Proxyhost herunter.
user@host#set services application-identification download proxy-profile Profile-1
Schritt-für-Schritt-Anleitung
Sie können den Proxyserver für das Herunterladen des Anwendungssignaturpakets deaktivieren, wenn dies nicht erforderlich ist.
Deaktivieren Sie den Proxyserver für das Herunterladen von Anwendungssignaturen.
user@host#delete services application-identification download proxy-profile p1
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Gültige Lizenz für die Anwendungsidentifikationsfunktion, die auf einer Firewall der SRX-Serie installiert ist.
Firewall der SRX-Serie mit Junos OS Version 18.3R1 oder höher. Dieses Konfigurationsbeispiel wurde für Junos OS Version 18.3R1 getestet.
Überblick
Sie müssen das Anwendungssignaturpaket herunterladen und installieren, das auf einem externen Server auf der Firewall der SRX-Serie gehostet wird. Ab Junos OS Version 18.3R1 können Sie das Anwendungssignaturpaket über einen Proxyserver herunterladen.
So aktivieren Sie das Herunterladen des Signaturpakets vom Proxy-Server:
Konfigurieren Sie mit dem
set services proxy profileBefehl ein Profil mit Host- und Portdetails des Proxyservers.Verwenden Sie den
set services application-identification download proxy-profile profile-nameBefehl, um eine Verbindung mit dem Proxyserver herzustellen und das Anwendungssignaturpaket herunterzuladen.
Wenn Sie das Signaturpaket herunterladen, wird die Anforderung über den Proxyhost an den tatsächlichen Server weitergeleitet, auf dem das Signaturpaket gehostet wird. Der Proxy-Host leitet die Antwort vom tatsächlichen Host zurück. Beim Download wird das Anwendungspaket von der Juniper Networks Sicherheitswebsite https://signatures.juniper.net/cgi-bin/index.cgi abgerufen.
Die Unterstützung für die Proxyprofilkonfiguration ist nur für HTTP-Verbindungen verfügbar.
In diesem Beispiel erstellen Sie ein Proxyprofil und verweisen auf das Profil, wenn Sie das Anwendungssignaturpaket vom externen Host herunterladen. Tabelle 1 enthält die Details der in diesem Beispiel verwendeten Parameter.
Parameter |
Name |
|---|---|
Profilname |
Profil-1 |
IP-Adresse des Proxy-Servers |
5.0.0.1 |
Portnummer des Proxyservers |
3128 |
Verifizierung
- Überprüfen des Herunterladens von Anwendungssignaturen über den Proxyserver
- Überprüfen des Download-Status der Anwendungssignatur
Überprüfen des Herunterladens von Anwendungssignaturen über den Proxyserver
Zweck
Zeigen Sie die Details für das Herunterladen des Anwendungssignaturpakets über einen Proxyserver an.
Aktion
Geben Sie im Betriebsmodus den show services application-identification status Befehl ein.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
Bedeutung
In der Befehlsausgabe finden Sie die Details des Proxyprofils in Proxy Profile den Feldern und Proxy Address .
Überprüfen des Download-Status der Anwendungssignatur
Zweck
Überprüfen Sie den Downloadstatus des Anwendungspakets.
Aktion
Geben Sie im Betriebsmodus den request services application-identification download status Befehl ein.
user@host> request services application-identification download statusApplication package 3058 is downloaded successfully
Bedeutung
Der Befehl zeigt den Downloadstatus des Anwendungssignaturpakets an.
Beispiel: Planen der Anwendungssignaturpaketaktualisierungen
In diesem Beispiel wird gezeigt, wie automatische Updates des vordefinierten Anwendungssignaturpakets eingerichtet werden.
Anforderungen
Bevor Sie beginnen:
Stellen Sie sicher, dass Ihr Sicherheitsgerät über eine Verbindung mit dem Internet verfügt, um Sicherheitspaket-Updates herunterzuladen.
Anmerkung:DNS muss eingerichtet werden, da Sie den Namen des Updateservers auflösen müssen.
Stellen Sie sicher, dass Sie die Lizenz für die Anwendungsidentifikationsfunktion installiert haben.
Überblick
In diesem Beispiel möchten Sie die aktuelle Version des Anwendungssignaturpakets regelmäßig herunterladen. Der Download sollte am 10. Dezember um 23:59 Uhr beginnen. Um die aktuellsten Informationen zu erhalten, möchten Sie das Paket automatisch alle 2 Tage von der Intranet-Site Ihres Unternehmens aktualisieren.
Konfiguration
Verfahren
GUI-Schnellkonfiguration
So richten Sie den automatischen Download und die regelmäßige Aktualisierung mit der J-Web-Schnittstelle ein:
Schritt-für-Schritt-Anleitung
Geben Sie diese Eingabetaste ein,
Configure>Security>AppSecure Settingsum die Seite Anwendungssignatur anzuzeigen.Klicken Sie auf
Global Settings.Klicken Sie auf die
Download SchedulerRegisterkarte, und ändern Sie die folgenden Felder:Internetadresse: https://signatures.juniper.net/cgi-bin/index.cgi
Aktualisierung des Zeitplans aktivieren: Aktivieren Sie das Kontrollkästchen.
Intervall: 48
Klicken Sie auf diese Schaltfläche
Reset Setting, um die vorhandene Startzeit zu löschen, geben Sie die neue Startzeit im Format JJJJ-MM-TT.hh:mm ein, und klicken Sie aufOK.Startzeit: 2019-06-30.10:00:00
Klicken Sie hier
Commit Options>Commit, um Ihre Änderungen zu bestätigen.Klicken Sie auf diese Schaltfläche
Check Status, um den Fortschritt eines aktiven Downloads oder Updates oder das Ergebnis des neuesten Updates zu überprüfen.
Schritt-für-Schritt-Anleitung
So verwenden Sie die CLI zur automatischen Aktualisierung des Junos OS-Anwendungssignaturpakets:
Geben Sie die URL für das Sicherheitspaket an. Das Sicherheitspaket enthält den Melder und die neuesten Angriffsobjekte und -gruppen. Die folgende Anweisung gibt https://signatures.juniper.net/cgi-bin/index.cgi als URL für das Herunterladen von Signaturdatenbankaktualisierungen an:
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
Geben Sie die Uhrzeit und das Intervall für den Download an. Mit der folgenden Anweisung wird das Intervall auf 48 Stunden und die Startzeit auf 10 Uhr am 10. Dezember festgelegt:
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Um zu überprüfen, ob das Anwendungssignaturpaket ordnungsgemäß aktualisiert wird, geben Sie den show services application-identification version Befehl ein. Überprüfen Sie die Versionsnummer und die Details für das neueste Update.
Planen der Aktualisierungen des Anwendungssignaturpakets als Teil des IDP-Sicherheitspakets
In den Konfigurationsanweisungen in diesem Beispiel wird beschrieben, wie automatische Updates des Anwendungsidentifikationssignaturpakets (Teil des IDP-Sicherheitspakets) zu einem bestimmten Datum und einer bestimmten Uhrzeit eingerichtet werden.
Anforderungen
Bevor Sie beginnen:
Stellen Sie sicher, dass Ihr Sicherheitsgerät über eine Verbindung mit dem Internet verfügt, um Sicherheitspaket-Updates herunterzuladen.
Anmerkung:DNS muss eingerichtet werden, da Sie den Namen des Updateservers auflösen müssen.
Stellen Sie sicher, dass Sie die Lizenz für die Anwendungsidentifikationsfunktion installiert haben.
Überblick
In diesem Beispiel möchten Sie die aktuelle Version des Anwendungssignaturpakets regelmäßig herunterladen. Der Download sollte am 10. Dezember um 23:59 Uhr beginnen. Um die aktuellsten Informationen zu erhalten, möchten Sie das Paket automatisch alle 2 Tage von der Intranet-Site Ihres Unternehmens aktualisieren.
Konfiguration
Verfahren
GUI-Schnellkonfiguration
So richten Sie den automatischen Download und die regelmäßige Aktualisierung mit der J-Web-Schnittstelle ein:
Schritt-für-Schritt-Anleitung
Geben Sie diese Taste ein,
Configure>Security>IDP>Signature Updatesum die Seite Konfiguration der IDP-Sicherheitssignatur anzuzeigen.Klicken Sie auf
Download Settingsdie URL, und ändern Sie sie: https://signatures.juniper.net/cgi-bin/index.cgiKlicken Sie auf die
Auto Download SettingsRegisterkarte, und ändern Sie die folgenden Felder:Intervall: 48
Startzeit: 2013-12-10.23:59:55
Aktualisierung des Zeitplans aktivieren: Aktivieren Sie das Kontrollkästchen.
Klicken Sie
Reset Setting, um die vorhandenen Felder zu löschen, und geben Sie die neuen Werte ein. Klicken Sie aufOK.Klicken Sie hier
Commit Options>Commit, um Ihre Änderungen zu bestätigen.Klicken Sie auf diese Schaltfläche
Check Status, um den Fortschritt eines aktiven Downloads oder Updates oder das Ergebnis des neuesten Updates zu überprüfen.
Schritt-für-Schritt-Anleitung
So verwenden Sie die CLI zur automatischen Aktualisierung des Junos OS-Anwendungssignaturpakets:
Geben Sie die URL für das Sicherheitspaket an. Das Sicherheitspaket enthält den Melder und die neuesten Angriffsobjekte und -gruppen. Die folgende Anweisung gibt https://signatures.juniper.net/cgi-bin/index.cgi als URL für das Herunterladen von Signaturdatenbankaktualisierungen an:
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Geben Sie die Uhrzeit und das Intervall für den Download an. Mit der folgenden Anweisung wird das Intervall auf 48 Stunden und die Startzeit auf 23:55 Uhr am 10. Dezember 2013 festgelegt:
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
Aktivieren Sie einen automatischen Download und eine automatische Aktualisierung des Sicherheitspakets.
[edit] user@host# set security idp security-package automatic enable
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Vergewissern Sie sich, dass das Anwendungssignaturpaket ordnungsgemäß aktualisiert wird.
Überprüfen des Anwendungssignaturpakets
Zweck
Überprüfen der Version der Serviceanwendungsidentifikation
Aktion
Geben Sie im Betriebsmodus den show services application-identification version Befehl ein.
user@host> show services application-identification version
Application package version: 1884
Bedeutung
Die Beispielausgabe zeigt, dass die Version der Dienstanwendungsidentifikation 1884 ist.
Beispiel: Herunterladen und Installieren des Anwendungsidentifikationspakets im Chassis-Cluster-Modus
In diesem Beispiel wird gezeigt, wie die Datenbank des Anwendungssignaturpakets heruntergeladen und auf einem Gerät installiert wird, das im Chassis-Cluster-Modus betrieben wird.
Herunterladen und Installieren des Anwendungsidentifikationspakets
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im CLI-Benutzerhandbuch.
So laden Sie ein Anwendungspaket herunter und installieren es:
Laden Sie das Anwendungspaket auf den primären Knoten herunter.
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
Überprüfen Sie den Downloadstatus des Anwendungspakets.
{primary:node0}[edit]user@host>request services application-identification download statusBei erfolgreichem Download wird die folgende Meldung angezeigt
Application package 2345 is downloaded successfully
Das Anwendungspaket wird in der Anwendungssignaturdatenbank auf dem primären Knoten installiert, und die Anwendungsidentifikationsdateien werden auf dem primären und sekundären Knoten synchronisiert.
Aktualisieren Sie das Anwendungspaket mit dem
installBefehl.{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Überprüfen Sie den Aktualisierungsstatus des Anwendungspakets. In der Befehlsausgabe werden Informationen über die heruntergeladenen und installierten Versionen des Anwendungspakets angezeigt.
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
Anmerkung:Es ist möglich, dass eine Anwendungssignatur aus der neuen Version einer Anwendungssignaturdatenbank entfernt wird. Wenn diese Signatur in einer vorhandenen Anwendungs-Firewall-Richtlinie auf Ihrem Gerät verwendet wird, schlägt die Installation der neuen Datenbank fehl. Eine Installationsstatusmeldung identifiziert die Signatur, die nicht mehr gültig ist. Um die Datenbank erfolgreich zu aktualisieren, entfernen Sie alle Verweise auf die gelöschte Signatur aus Ihren vorhandenen Richtlinien und Gruppen, und führen Sie den Installationsbefehl erneut aus.
Anmerkung:Beim Herunterladen des Anwendungssignaturpakets auf den primären Knoten kann es vorkommen, dass der primäre Knoten aufgrund eines unerwarteten Failovers das Anwendungssignaturpaket nicht vollständig herunterladen kann. Um dieses Problem zu umgehen, müssen Sie die Datei /var/db/appid/sec-download/.apppack_state löschen und das Gerät neu starten.
Schritt-für-Schritt-Anleitung
So deinstallieren Sie ein Anwendungspaket:
Deinstallieren Sie das Anwendungspaket mit dem
uninstallBefehl.{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Überprüfen Sie den Deinstallationsstatus des Anwendungspakets.
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
Überprüfen Sie den Deinstallationsstatus des Protokollpakets:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
Anforderungen
Bevor Sie beginnen:
Legen Sie die Gehäuse-Clusterknoten-ID und die Cluster-ID fest. Siehe Beispiel: Festlegen der Knoten-ID und der Cluster-ID für Sicherheitsgeräte in einem Chassis-Cluster .
Stellen Sie sicher, dass Ihr Sicherheitsgerät über eine Verbindung mit dem Internet verfügt, um Sicherheitspaket-Updates herunterzuladen.
Anmerkung:DNS muss eingerichtet werden, da Sie den Namen des Updateservers auflösen müssen.
Stellen Sie sicher, dass Sie die Lizenz für die Anwendungsidentifikationsfunktion installiert haben.
Überblick
Wenn Sie die Anwendungsidentifizierung verwenden, können Sie die vordefinierte Datenbank des Anwendungssignaturpakets herunterladen. Juniper Networks aktualisiert die Datenbank regelmäßig und stellt sie auf der Website von Juniper Networks zur Verfügung. Dieses Paket enthält Anwendungsobjekte, die für den Abgleich von Datenverkehr in IDP, Firewall-Richtlinien für Anwendungen und Anwendungsverfolgung verwendet werden können. Weitere Informationen finden Sie unter Grundlegendes zur Installation von Junos OS-Anwendungspaketen.
Wenn Sie das Sicherheitspaket für die Anwendungsidentifikation auf ein Gerät herunterladen, das im Chassis-Cluster-Modus betrieben wird, wird das Sicherheitspaket auf den primären Knoten heruntergeladen und dann mit dem sekundären Knoten synchronisiert.
Überprüfen der Junos OS-Anwendungsidentifikation Extrahiertes Anwendungspaket
Zweck
Verwenden Sie nach erfolgreichem Herunterladen und Installieren des Anwendungspakets die folgenden Befehle, um den Inhalt des vordefinierten Anwendungssignaturpakets anzuzeigen.
Aktion
Sehen Sie sich die aktuelle Version des Anwendungspakets an:
show services application-identification version
Application package version: 1608
Sehen Sie sich den aktuellen Status des Anwendungspakets an:
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Siehe auch
Deinstallieren des Anwendungspakets "Junos OS Application Identification"
Sie können das vordefinierte Anwendungspaket deinstallieren. Der Deinstallationsvorgang schlägt fehl, wenn in den vordefinierten Anwendungssignaturen in der Junos OS-Konfiguration auf aktive Sicherheitsrichtlinien verwiesen wird
So deinstallieren Sie das Anwendungspaket:
Das Anwendungspaket und das Protokollpaket werden auf dem Gerät deinstalliert. Um die Anwendungsidentifikation neu zu installieren, müssen Sie das Anwendungspaket herunterladen und erneut installieren.
Siehe auch
Rollback des Anwendungssignaturpakets
Ab Junos OS Version 20.3R1 können Sie die aktuelle Version des Anwendungssignaturpakets mit einer der folgenden Methoden auf die vorherige Version zurücksetzen:
-
Automatisches Rollback
-
Manuelles Rollback
Automatisches Rollback
Wenn bei der Installation des Anwendungssignaturpakets ein Fehler auftritt, setzt das System automatisch auf die vorherige Version des Anwendungssignaturpakets zurück, das derzeit auf Ihrem Sicherheitsgerät installiert ist.
Wenn Sie das Anwendungssignaturpaket herunterladen und auf einem Gerät installieren, das im Chassis-Cluster-Modus betrieben wird, wird das System auf die vorherige Version der Anwendungssignatur zurückgesetzt, wenn die Installation auf einem Knoten fehlschlägt. Das Gerät zeigt einen kleinen Alarm auf demselben Knoten an, auf dem die Installation fehlschlägt und das Rollback erfolgreich ist.
Beispiel:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
Überprüfen Sie den Rollback-Status des Anwendungssignaturpakets, wenn die Installation fehlgeschlagen ist und das Rollback erfolgreich abgeschlossen wurde.
user@host> request services application-identification rollback status
Application package rollback to version 3297 successManuelles Rollback
Sie können das Anwendungssignaturpaket manuell auf die vorherige installierte Version zurücksetzen, indem Sie die folgenden Schritte ausführen:
Setzen Sie das Anwendungssignaturpaket auf die vorherige Version zurück.
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusÜberprüfen Sie den Rollback-Status.
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
Beachten Sie für das manuelle Rollback eines Anwendungssignaturpakets Folgendes:
-
Nachdem Sie die Version des Anwendungssignaturpakets manuell von Version Y auf Version X zurückgesetzt haben, wird die geplante automatische Aktualisierung eines Anwendungssignaturpakets übersprungen, bis eine neue Version Z verfügbar ist, die höher als die Version Y ist.
-
Sie können Anwendungssignaturen über Intrusion Detection and Prevention (IDP)-Sicherheitspakete herunterladen und installieren. Wenn in diesem Fall die AppID-Installation während der IDP-Installation fehlschlägt, wird die AppID auf die vorherige Version zurückgesetzt, und die IDP-Installation wird mit der angeforderten Version fortgesetzt. In solchen Fällen können IDP und AppID unterschiedliche Versionen haben.
-
Die Installation des Anwendungssignaturpakets wird nicht fortgesetzt, wenn heruntergeladene Signaturpaketdateien beschädigt, gelöscht oder geändert wurden. In solchen Fällen wird die folgende Meldung angezeigt:
user@host>request services application-identification install error: Checksum validation failed for downloaded files. -
Wenn Ihr Sicherheitsgerät kein Anwendungssignaturpaket der vorherigen Version enthält und Sie versuchen, das Anwendungssignaturpaket zurückzusetzen, zeigt das Gerät die folgende Fehlermeldung an:
user@host>request services application-identification install No application package available to rollback.
Gruppieren neu hinzugefügter Anwendungssignaturen
Wir haben das Anwendungssignaturpaket erweitert, indem wir alle neu hinzugefügten Anwendungssignaturen unter junos:all-new-apps "Gruppe" gruppiert haben. Wenn Sie das Anwendungssignaturpaket auf Ihr Sicherheitsgerät herunterladen, wird die gesamte vordefinierte Anwendungsgruppe heruntergeladen und steht Ihnen in der Sicherheitsrichtlinie zur Verfügung, wie im folgenden Beispiel gezeigt:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
Wir haben auch eine Liste von Anwendungstags im Anwendungssignaturpaket eingeführt. Sie können ähnliche Anwendungen anhand dieser vordefinierten Tags gruppieren, die auf Anwendungsattributen basieren. Auf diese Weise können Sie die Anwendungsgruppen beim Definieren von Sicherheitsrichtlinien konsistent wiederverwenden.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
Beispiel
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
Im obigen Beispiel konfigurieren Sie eine Tag-basierte Anwendungsgruppe mit Tags remote-access und web eine weitere Taggruppe mit social_networking. Alle Anwendungen, die Tags als entweder web oder remote-access haben und social_networking der Anwendungsgruppe hinzugefügt werden.
Die Gruppierung ähnlicher Anwendungen auf der Grundlage von Tags hilft Ihnen, die Anwendungsgruppen beim Definieren von Sicherheitsrichtlinien konsistent wiederzuverwenden.
Migration neuer Anwendungen zu normalen Anwendungen:
Die Gruppe junos:all-new-apps enthält eine Reihe aller neuen Anwendungen im installierten Anwendungssignaturpaket auf Ihrem Sicherheitsgerät im Vergleich zum zuvor installierten Signaturpaket. Wenn Sie sich entscheiden, eine neuere Version des Anwendungssignaturpakets zu installieren, enthält diese Version eine neue Gruppe von Anwendungen in der Gruppe junos:all-new-apps.
Sie können die neuen Anwendungen zu normalen Anwendungen in Ihrem vorhandenen Anwendungssignaturpaket migrieren. Diese Migration hilft Ihnen, Regeln in den Sicherheitsrichtlinien konsistent beizubehalten, die spezifisch für die neuen Anwendungen erstellt werden, wenn Sie in Zukunft ein Upgrade auf neuere Versionen von Anwendungssignaturen durchführen.
Sie können die folgenden neuen Befehle verwenden, um die als neue Anwendungen gekennzeichneten Anwendungen in normale Anwendungen zu verschieben:
-
Verwenden Sie den folgenden Befehl, um nur bestimmte neue Anwendungen als normale Anwendung zu migrieren:
request services application-identification new-to-production applications-list [application-1 application-2]
-
Verwenden Sie den folgenden Befehl, um alle neuen Anwendungen als normale Anwendungen zu migrieren:
request services application-identification new-to-production all
Nachdem Sie diese Befehle ausgeführt haben, wird die Anwendung nicht mehr als neu markiert und ist nicht mehr Teil der junos:all-new-apps Gruppe.
Paketverbesserungen für Anwendungssignaturen
Wir haben die folgenden Verbesserungen für das Anwendungssignaturpaket eingeführt:
- Unterstützung für die Weitergabe des FTP-Datenkontexts
- Überspringen von Deep Packet Inspection (DPI) für die Sitzungen, die durch erweitertes richtlinienbasiertes Routing (APBR) bei einem Treffer des Anwendungssystem-Cache (ASC) ausgelagert werden. (Wenn nur der APBR-Dienst aktiviert ist.)
- Erzwungene Installation des Anwendungssignaturpakets über dieselbe Version des Signaturpakets. Weitere Informationen finden Sie unter Anforderungsdienste, Anwendungsidentifikation, Installation, Ignorierung, Überprüfung doppelter Versionen.
- Anzeige des Veröffentlichungsdatums des Anwendungssignaturpakets in der CLI-Befehlsausgabe. Weitere Informationen finden Sie unter show services application-identification version
- Anzeige der Liste der veralteten Anwendungssignaturen, die im installierten Signaturpaket in der CLI-Befehlsausgabe verfügbar sind. Weitere Informationen finden Sie unter show services, application identification, application, obsolete applications.
Verbesserungen bei der Installation von Anwendungssignaturpaketen
Sie können die folgenden erweiterten Installationsoptionen für Anwendungssignaturpakete verwenden:
- Fehler bei der Installation des Anwendungssignaturpakets
- Verbesserung des automatischen Rollbacks
- Installation des Anwendungssignaturpakets auf einem Chassis-Cluster-Setup
Fehler bei der Installation des Anwendungssignaturpakets
Wenn während der Installation des Anwendungssignaturpakets ein Fehler auftritt oder der Prozess unerwartet abstürzt, wird die Installation automatisch beendet und die zuvor installierte Version wiederhergestellt.
Das System zeigt die folgenden Fehlermeldungen an, wenn Sie versuchen, den Download-Status des fehlerhaften Anwendungssignaturpakets zu überprüfen:
- Mit der angegebenen Version des Anwendungssignaturpakets:
user@host> request services application-identification download status Requested application package 3501 failed data plane validation. Please download another version
- Ohne angegebene Version des Anwendungssignaturpakets:
user@host> request services application-identification download status Downloading application package (latest) failed with error (Requested application package 3657 failed data plane validation. Please download another version)
Das System zeigt die folgenden Meldungen an, wenn Sie den Installationsstatus der Anwendungssignatur überprüfen:
-
Wenn die Installation des Anwendungspakets abgeschlossen ist und die Überprüfung auf Fehler erfolgt:
user@host> request services application-identification install status Data plane validation of application package version (3698) is in progress ...
-
Wenn Sie versuchen, ein Anwendungssignaturpaket zu installieren, das als fehlerhaft markiert ist:
user@host> request services application-identification install status Install Application package 3501 and Protocol bundle failed (Requested application package 3501 failed data plane validation. Please install another version)
-
Wenn das installierte Anwendungssignaturpaket als fehlerhaft erkannt wird:
user@host> request services application-identification install status Install Application package 3656 and Protocol bundle failed ( Install Application package (3656) failed in data plane validation, auto rollback triggered)
Sie können die Details der fehlerhaften Version mit dem folgenden Befehl anzeigen:
user@host> show services application-identification version detail Application package version: 3654 Release date: Thu Nov 23 14:07:48 2023 UTC Dataplane validation failure version details: Application package version 3620 PB Version 1.550.2-43 (build date Apr 5 2023) Engine version 5.7.1-47 (build date Mar 30 2023)
Für geplantes automatisches Update des Anwendungssignaturpakets: Während der Installation und wenn beim Installationspaket Probleme auftreten, setzt das System das Anwendungssignaturpaket auf die vorherige Version zurück. Beim nächsten automatischen Update fährt das System nicht mit dem problematischen Signaturpaket zum Herunterladen und Installieren fort.
Verbesserung des automatischen Rollbacks
Die automatische Rollback-Funktion ermöglicht es dem System nun, zu einer zuvor funktionierenden Version des Anwendungssignaturpakets zurückzukehren. Darüber hinaus wird die zuvor festgelegte Rollback-Version beibehalten, falls bei der Installation des Anwendungssignaturpakets Probleme auftreten
Wenn Ihr Gerät z. B. derzeit über die Anwendungssignaturpaketversion Y verfügt und Sie die Rollback-Version auf X festgelegt haben, geschieht während eines Installationsversuchs Folgendes:
- Sie versuchen, die neue Version Z zu installieren.
- Wenn während der Installation Probleme auftreten oder wenn Version Z nicht installiert werden kann, setzt das System automatisch die aktuelle Version Y wieder her.
- Die bisher festgelegte Rollback-Version X bleibt unverändert.
Auf diese Weise sorgt das System für einen reibungslosen Übergang, indem es bei Bedarf auf eine bekannte funktionierende Version zurückgreift.
Installation des Anwendungssignaturpakets auf einem Chassis-Cluster-Setup
Bei Verwendung eines Chassis-Cluster-Setups installiert das System zuerst das Anwendungssignaturpaket auf dem primären Knoten und prüft, ob Probleme auftreten.
Die Installation des Anwendungssignaturpakets wird sofort auf dem primären Knoten gestartet. Während der Installation wartet der sekundäre Knoten, bis der primäre Knoten die Überprüfung des Installationspakets abgeschlossen hat. Wenn die Überprüfung erfolgreich ist, fährt das System mit der Installation desselben Pakets auf dem sekundären Knoten fort, andernfalls überspringt es die Installation.
Sie können den Installationsstatus mit dem folgenden Befehl überprüfen:
user@host> request services application-identification install status node0: -------------------------------------------------------------------------- Checking compatibility of application package version 3577 ... node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the application package ...
Wenn bei der Installation auf dem primären Knoten ein Fehler auftritt, erfolgt das Rollback nur auf dem primären Knoten. Wenn die Installation auf dem sekundären Knoten fehlschlägt, wird das Rollback nur auf dem sekundären Knoten ausgelöst.
Wenn die Installation fehlschlägt, zeigt das System die folgenden Meldungen an:
Primärer Knoten
user@host> request services application-identification install status Install Application package 3450 and Protocol bundle failed ( Install Application package (3450) failed in data plane validation, auto rollback triggered)
Sekundärer Knoten
user@host> request services application-identification install status Application package(3420) installation was skipped due to failure in the master RE installation
Wenn ein Knoten während der Installation auf dem primären Knoten vom primären Status in den sekundären Status wechselt, zeigt das System die folgende Meldung an:
Primärer Knoten
user@host> request services application-identification install status
Install Application package 3440 and Protocol bundle failed ( Install Application package (3440) failed due to changes in the master ship of the cluster)Sekundärer Knoten
user@host> request services application-identification install status
Application package (3320) installation was skipped due to changes in the master ship of the clusterWenn das primäre System den sekundären Knoten aufgrund unerwarteter Probleme nicht innerhalb der Zeit (ca. 35 Minuten) aktualisieren kann, wird der Installationsvorgang auf dem sekundären System abgebrochen.
user@host> request services application-identification install status Application package(3600) installation was skipped due to master RE did not respond within the timeout
Sobald der primäre Knoten die Installation und Validierung abgeschlossen hat, initiiert das System die Installation auf dem sekundären Knoten. Falls sich die primäre und sekundäre Rolle aufgrund eines Failovers ändern, fährt der vorherige-sekundäre Knoten (jetzt primär) mit der Installation des Signaturpakets fort.
Anwendungssignaturpaket: Haupt- und Nebenversionen
Wir haben die Installation von Anwendungssignaturpaketen um die folgenden Funktionen erweitert:
- Installationsstatus auf dem Signaturpaketserver
- Major- und Minor-Signaturpaket
- Herunterladen eines Signaturpakets nur für Minderjährige
- Herabstufen der Version des Anwendungssignaturpakets
- Aktualisierung der Offlineanwendungsidentifikation (AppID)
- Syslog-Meldung für veraltete Anwendungen
- Veraltete Anwendungsgruppen auflisten
Installationsstatus auf dem Signaturpaketserver
Das Anwendungssignaturmodul sendet den Status an den Signaturpaketserver, wenn die Installation erfolgreich oder fehlgeschlagen ist. Wenn während der Installation des Anwendungssignaturpakets Fehler im Paket gefunden werden, wird die Installation angehalten und auf die vorherige aktive Version zurückgesetzt, und der Status wird an den Server gesendet. Wenn mehrere Geräte ein fehlerhaftes Anwendungssignaturpaket melden, analysiert der Server diese Daten, markiert das Paket als ungültig und verhindert zukünftige Downloads.
Das Markieren eines Signaturpakets als ungültig ist nur für das Hauptsignaturpaket verfügbar.
Das als ungültig markierte Signaturpaket ist für zukünftige Downloads nur über CLI verfügbar. Beim Herunterladen und Installieren durch Security Director sowie bei Offline-Downloads wird eine Fehlermeldung angezeigt, die darüber informiert, dass das angeforderte Anwendungspaket nicht zum Download verfügbar ist.
Major- und Minor-Signaturpaket
Jetzt unterstützen wir zwei Arten von Signaturpaketen, die für die Updates verfügbar sind:
- Zu den wichtigsten Updates gehören IDP-Signaturen, IDP-Detektor und Protobundle zur Anwendungsidentifikation.
- Zu den kleineren Updates gehören regelmäßige Signatur-Updates.
Lassen Sie uns den Unterschied zwischen Haupt- und Nebenupdates anhand eines Beispiels verstehen:
- Die Version des Signaturpakets mit veröffentlichtem Protokollpaket hat die Version 3585. Dies ist ein großes Update. Alle Minor-Signature-Pakete nach 3585 enthalten dieses aktualisierte Protokollpaket, bis wir das nächste größere Signature-Package-Update haben.
- Die nächste Version des Pakets enthält den IDP-Detektor und hat die Version 3598. Dies ist wieder ein großes Update. Alle kleineren Signaturpakete nach 3598 enthalten diesen aktualisierten Detektor, bis wir das nächste größere Update haben.
Wenn Ihre Firewall über die Hauptsignaturpaketversion 3598 verfügt und Sie versuchen, die Nebenversion 3588 mithilfe der manuellen Downloadmethode oder des automatischen Downloads herunterzuladen, schlägt der Download mit der folgenden Fehlermeldung fehl:
user@host> request services application-identification download status Downloading application package (latest) failed with error (No suitable version available for this device, please re-try the download manually without minor)
Herunterladen eines Signaturpakets nur für Minderjährige
Sie können ein Anwendungssignaturpaket herunterladen, das als minderjährig gekennzeichnet ist. Das Standardverhalten prüft nicht, ob eine Haupt- oder Nebenversion vorliegt.
So legen Sie den automatischen Download des Minor-Signaturpakets fest:
[edit] user@host# set services application-identification download automatic minor-only
Durch die Angabe minor-only im Befehl wird die Nebenversion des Signaturpakets heruntergeladen.
So laden Sie das Minor Signature-Paket herunter:
[edit] user@host> request services application-identification download minor-only
Durch die Angabe minor-only im Befehl wird die Nebenversion des Signaturpakets heruntergeladen.
Überprüfen Sie die verfügbaren Versionen des Signaturpakets:
user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
Mit dem Befehl werden alle verfügbaren Versionen des Anwendungssignaturpakets angezeigt.
Überprüfen Sie die verfügbaren Versionen des Signaturpakets:
user@host> show services application-identification version Application package version: 3666 (Major)
Mit dem Befehl wird die neueste Version des Hauptsignaturpakets der Anwendung angezeigt.
Sehen Sie sich die Version Ihres Signaturpakets an:
user@host> show services application-identification status Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 2097152 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3666 (Major) Release date Mon Oct 10 14:55:29 2022 UTC Status Active PB Version 1.550.2-31 (build date Oct 10 2022) Engine version 5.7.0-47 (build date Mar 25 2022) Micro-App Version 1.1.0-0 Sessions 0 Custom-App Infra Version 1.0.0-0 Rollback version details: Application package version 3662 (Major) PB Version 1.550.2-43 Engine version 5.7.1-47 Micro-App Version 1.2.0-1 Custom-App Infra Version 1.0.0-1
Mit dem Befehl wird die Version des auf Ihrem Gerät installierten Anwendungssignaturpakets im Application package version Feld angezeigt.
Die Version des Signaturpakets finden Sie auf der Sicherheitswebsite von Juniper Networks.
user@host> request services application-identification download check-server Download server URL: https://signatures.juniper.net/cgi-bin/index.cgi Sigpack Version: 3666 (Major) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09Sigpack Version: 3659 (Minor) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09
Der Befehl zeigt die neueste Version der Haupt- und Nebenpakete für Anwendungssignaturen an, die auf der Sicherheitswebsite von Juniper Networks verfügbar sind.
Herabstufen der Version des Anwendungssignaturpakets
Sie können ein Downgrade der Version des Anwendungssignaturpakets durchführen, indem Sie die Version des Signaturpakets angeben. Führen Sie für ein Downgrade die folgenden Schritte aus:
Überprüfen Sie die verfügbaren Versionen des Signaturpakets mit dem
show services application-identification recent-appid-sigpack-versionsBefehl.user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
Führen Sie den folgenden Befehl aus, um die erforderliche Version herunterzuladen:
user@host> request services application-identification download version <old-ver>
Aktualisierung der Offlineanwendungsidentifikation (AppID)
Das Update zur Offline-Anwendungsidentifikation (AppID) und die damit verbundenen Funktionen verbessern die Verwaltbarkeit und Wartungsfreundlichkeit von Netzwerksystemen erheblich, insbesondere in Umgebungen mit eingeschränkter Konnektivität.
Mit der Offline-AppID-Aktualisierungsfunktion können Sie das Signaturpaket aus einer lokalen tar-Datei mit dem folgenden CLI-Befehl aktualisieren:
user@host> request services application-identification offline-download package-path <path>
Wenn Sie diesen Befehl eingeben, dekomprimiert das System das Signaturpaket und platziert die extrahierten Dateien an den richtigen Speicherorten auf dem Gerät.
Beispiel:
- Kopieren Sie das Offlineanwendungspaket, oder laden Sie es von der URL herunter: https://support.juniper.net/support/downloads/?p=282
- Geben Sie den Befehl zum Extrahieren des Signaturpakets ein:
user@host> request services application-identification offline-download package-path /var/tmp/282_3722_offline-update.tar.gz Please use command "request services application-identification offline-download status" to check offline download status
- Überprüfen Sie den Status des Offline-Downloads des Signaturpakets:
user@host> request services application-identification offline-download status AppID sigpack offline download is in progress...
user@host> request services application-identification offline-download status AppID sigpack offline download : Complete
Das System zeigt die folgende Fehlermeldung an, wenn der Paketpfad nicht korrekt ist:
AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)
- Verwenden Sie den
request services application-identification installBefehl, um das Signaturpaket auf dem Gerät zu installieren.
Der Vorgang wird mit einer Systemprotokollmeldung abgeschlossen, die angibt, ob die Aktualisierung erfolgreich war oder ob Fehler aufgetreten sind, sodass eine sofortige Rückmeldung für die Fehlerbehebung gegeben wird. Beispiel für Syslog-Meldungen:
- Die Bestätigung
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Complete, dass ein Update erfolgreich war. - Das
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)zeigt einen Fehler zusammen mit einer bestimmten Fehlermeldung an
Diese Funktion ist besonders nützlich in Umgebungen mit eingeschränkter oder keiner Internetkonnektivität, z. B. an entfernten Standorten oder in sicheren Einrichtungen.
Syslog-Meldung für veraltete Anwendungen
Sie können jetzt veraltete Anwendungen und Anwendungsgruppen verwalten. Nach der Aktualisierung eines Signaturpakets listet eine Systemprotokollmeldung veraltete Anwendungen auf, sodass Sie veraltete Anwendungen identifizieren und verwalten können, die sich auf Ihre Sicherheitsrichtlinien auswirken könnten.
Wenn Sie veraltete Anwendungen behandeln, listet die Systemprotokollmeldung APPIDD_DEPRECATED_APPLIST: Obsolete apps: app1, app2, app3, app4... veraltete Anwendungen auf, sodass Sie entsprechende Maßnahmen ergreifen können.
Veraltete Anwendungsgruppen auflisten
Mit dem folgenden Befehl können Sie alle veralteten Anwendungsgruppen auflisten:
user@host> show services application-identification group obsolete-groupsMit dem Befehl können Sie veraltete Anwendungsgruppen auflisten, um sicherzustellen, dass diese Gruppen die Gerätekonfiguration nicht beeinträchtigen und Commit-Fehler aufgrund versteckter veralteter Gruppen verhindern.
Sie können die folgende Systemprotokollmeldung verwenden, um veraltete Anwendungsgruppen anzuzeigen:
APPIDD_DEPRECATED_GROUPS: Obsolete groups: group1, group2, …
Zusätzliche Plattforminformationen für Lizenzen
Ein separater Lizenzschlüssel für Application Security ist nicht mehr erforderlich. Stattdessen müssen Sie die entsprechende JSE- oder JSB-Softwarelizenz verwenden, die Ihrem Produkt und Gerät entspricht (Tabelle 2 und Tabelle 3). Mit dieser Lizenz können Sie:
- Herunterladen und Installieren von Updates für die AppID-Signaturdatenbank
- Zugriff auf AppSecure-Funktionen wie AppFW, AppQoS und AppTrack
Dies stellt eine Änderung gegenüber dem Vorgängermodell dar, bei dem eine dedizierte Application Security-Abonnementlizenz erworben und auf jedem Gerät separat installiert werden musste.
Die Anwendungssicherheit ist Teil des Junos Software Enhanced (JSE)-Softwarelizenzpakets für die in Tabelle 2 dargestellten Firewalls der SRX-Serie.
| Plattformen | Ab der Version |
| SRX4100 und SRX4200 Geräte | Junos OS Version 15.1X49-D65 und Junos OS Version 17.3R1 |
| SRX1500-, SRX300-, SRX320-, SRX340- und SRX345-Geräte | Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 |
| SRX5400, SRX5600, SRX5800, vSRX und cSRX | Junos OS Version 25.2R1 |
Die Anwendungssicherheit ist Teil des Junos Software Base (JSB)-Softwarelizenzpakets für die in Tabelle 3 dargestellten Firewalls der SRX-Serie.
| Plattformen | Ab der Version |
| SRX380, SRX4600 | Junos OS Version 20.2R1 |
| SRX1600, SRX2300 SRX4300 | Junos OS Version 23.4R1 |
| SRX4120 | Junos OS Version 25.2R1 |
Weitere Informationen zur Softwarelizenzierung von Junos OS finden Sie im Lizenzierungshandbuch von Juniper.
Weitere Informationen finden Sie in den Produktdatenblättern unter Services Gateways der SRX-Serie oder wenden Sie sich an Ihr Juniper Account-Team oder Ihren Juniper Partner.
Im Funktions-Explorer finden Sie Funktionen, die von einem Produkt in einer Softwareversion unterstützt werden
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
junos:all-new-apps "Gruppe" gruppiert haben.