Anwendungen und Anwendungssätze für IDP-Richtlinien
Anwendungen sind vordefinierte oder benutzerdefiniert definierte Entitäten, die bestimmte Arten von Netzwerkdatenverkehr oder -diensten darstellen. Anwendungssätze sind Sammlungen von Anwendungen, die zur einfacheren Verwaltung und Richtlinienerstellung gruppiert sind. Sie können einen Anwendungssatz erstellen, der mehrere verwandte Anwendungen enthält, und dann Richtlinien auf den gesamten Satz anwenden.
Anwendungen oder Services stellen Protokolle der Anwendungsebene dar, die definieren, wie Daten auf ihrer Übertragung durch das Netzwerk strukturiert werden.
Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu IDP-Anwendungssätzen
Anwendungen oder Services stellen Protokolle der Anwendungsebene dar, die definieren, wie Daten auf ihrer Übertragung durch das Netzwerk strukturiert werden. Da es sich bei den Diensten, die Sie in Ihrem Netzwerk unterstützen, um dieselben Dienste handelt, die Angreifer für Angriffe auf Ihr Netzwerk verwenden müssen, können Sie angeben, welche Dienste von der Ziel-IP-Adresse unterstützt werden, um Ihre Regeln effizienter zu gestalten. Juniper Networks bietet vordefinierte Anwendungen und Anwendungssets, die auf branchenüblichen Anwendungen basieren. Wenn Sie Anwendungen hinzufügen müssen, die nicht in den vordefinierten Anwendungen enthalten sind, können Sie benutzerdefinierte Anwendungen erstellen oder vordefinierte Anwendungen an Ihre Anforderungen anpassen.
Sie geben eine Anwendung oder einen Dienst an, um anzugeben, dass eine Richtlinie für Datenverkehr dieses Typs gilt. Manchmal können dieselben Anwendungen oder ein Teil davon in mehreren Richtlinien vorhanden sein, wodurch ihre Verwaltung erschwert wird. Mit Junos OS können Sie Gruppen von Anwendungen erstellen, die als Anwendungssatz bezeichnet werden.
Anwendungssätze vereinfachen den Prozess, indem Sie eine kleine Anzahl von Anwendungssätzen anstelle einer großen Anzahl einzelner Anwendungseinträge verwalten können.
Die Anwendung (oder die Anwendungsgruppe) wird als Übereinstimmungskriterium für Pakete konfiguriert. Bei den Paketen muss es sich um den in der Richtlinie angegebenen Anwendungstyp handeln, damit die Richtlinie auf das Paket angewendet wird. Wenn das Paket mit dem in der Richtlinie angegebenen Anwendungstyp übereinstimmt und alle anderen Kriterien übereinstimmen, wird die Richtlinienaktion auf das Paket angewendet. Sie können vordefinierte oder benutzerdefinierte Anwendungen verwenden und in einer Richtlinie darauf verweisen.
Siehe auch
Beispiel: Konfigurieren von IDP-Anwendungssätzen
In diesem Beispiel wird gezeigt, wie Sie einen Anwendungssatz erstellen und ihn einer IDP-Richtlinie zuordnen.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Aktivieren Sie IDP-Anwendungsdienste in einer Sicherheitsrichtlinie.
Definieren von Anwendungen. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Überblick
Um eine Anwendungsmenge zu konfigurieren, fügen Sie vordefinierte oder benutzerdefinierte Anwendungen separat zu einer Anwendungsgruppe hinzu und weisen der Anwendungsmenge einen aussagekräftigen Namen zu. Nachdem Sie den Anwendungssatz benannt haben, geben Sie den Namen als Teil der Richtlinie an. Damit diese Richtlinie auf ein Paket angewendet wird, muss das Paket mit einer der Anwendungen übereinstimmen, die in dieser Gruppe enthalten sind.
In diesem Beispiel wird beschrieben, wie Sie einen Anwendungssatz mit dem Namen "SrvAccessAppSet" erstellen und ihn der IDP-Richtlinie ABC zuordnen. Das Anwendungsset SrvAccessAppSet kombiniert drei Anwendungen. Anstatt drei Anwendungen in der Richtlinienregel anzugeben, geben Sie eine Anwendungsgruppe an. Wenn alle anderen Kriterien übereinstimmen, dient eine der Anwendungen im Anwendungssatz als gültiges Übereinstimmungskriterium.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So erstellen Sie einen Anwendungssatz und ordnen ihn einer IDP-Richtlinie zu:
Erstellen Sie einen Anwendungssatz und schließen Sie drei Anwendungen in den Satz ein.
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
Erstellen Sie eine IDP-Richtlinie.
[edit] user@host# edit security idp idp-policy ABC
Ordnen Sie den Anwendungssatz einer IDP-Richtlinie zu.
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
Geben Sie eine Aktion für die Richtlinie an.
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
Aktivieren Sie die Richtlinie.
[edit] user@host# set security idp active-policy ABC
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security idp Befehle und show applications eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Beispiel: Konfigurieren von IDP-Anwendungen und -Services
In diesem Beispiel wird gezeigt, wie Sie eine Anwendung erstellen und einer IDP-Richtlinie zuordnen.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Aktivieren Sie IDP-Anwendungsdienste in einer Sicherheitsrichtlinie.
Überblick
Um benutzerdefinierte Anwendungen zu erstellen, geben Sie einen aussagekräftigen Namen für eine Anwendung an und ordnen Sie ihr Parameter zu, z. B. Inaktivitätstimeout oder Anwendungsprotokolltyp. In diesem Beispiel erstellen Sie eine spezielle FTP-Anwendung mit dem Namen cust-app, geben sie als Übereinstimmungsbedingung in der IDP-Richtlinie ABC an, die auf Port 78 ausgeführt wird, und geben den Wert für die Zeitüberschreitung bei Inaktivität als 6000 Sekunden an.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So erstellen Sie eine Anwendung und ordnen sie einer IDP-Richtlinie zu:
Erstellen Sie eine Anwendung, und geben Sie ihre Eigenschaften an.
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
Geben Sie die Anwendung als Übereinstimmungsbedingung in einer Richtlinie an.
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
Geben Sie die Bedingung "Keine Aktion" an.
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
Aktivieren Sie die Richtlinie.
[edit] user@host# set security idp active-policy ABC
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security idp Befehle und show applications eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert: