Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Einheitliche Sicherheitsrichtlinien

Einheitliche Richtlinien sind die Sicherheitsrichtlinien, die es Ihnen ermöglichen, dynamische Anwendungen als Übereinstimmungsbedingungen als Teil der vorhandenen 5-Tupel- oder 6-Tuppel-Übereinstimmungsbedingungen (5-Tupel mit Benutzer-Firewall) zu verwenden, um Anwendungsänderungen im Laufe der Zeit zu erkennen.

Einheitliche Richtlinien im Überblick

Einheitliche Richtlinien sind die Sicherheitsrichtlinien, die es Ihnen ermöglichen, dynamische Anwendungen als Übereinstimmungsbedingungen als Teil der vorhandenen 5-Tupel- oder 6-Tuppel-Übereinstimmungsbedingungen (5-Tupel mit Benutzer-Firewall) zu verwenden, um Anwendungsänderungen im Laufe der Zeit zu erkennen. Wenn der Datenverkehr mit der Sicherheitsrichtlinienregel übereinstimmt, werden eine oder mehrere in der Richtlinie definierte Aktionen auf den Datenverkehr angewendet.

Durch das Hinzufügen dynamischer Anwendungen zu den Übereinstimmungskriterien wird der Datenverkehr basierend auf den Ergebnissen der Layer-7-Anwendungsüberprüfung klassifiziert. AppID identifiziert dynamische oder Echtzeit-Layer-4- bis Layer-7-Anwendungen. Nachdem eine bestimmte Anwendung identifiziert und die Abgleichsrichtlinie gefunden wurde, werden die Aktionen gemäß der Richtlinie angewendet.

Die Konfiguration dynamischer Anwendungen als Übereinstimmungskriterien in einer Sicherheitsrichtlinie ist nicht zwingend erforderlich.

Im Folgenden finden Sie Beispiele für die Konfiguration dynamischer Anwendungen als Übereinstimmungsbedingung innerhalb einer Sicherheitsrichtlinie:

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

Im Folgenden finden Sie Beispiele für die Konfiguration dynamischer Anwendungsgruppen als Übereinstimmungsbedingung innerhalb einer Sicherheitsrichtlinie:

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

Nützt

  • Vereinfacht die anwendungsbasierte Verwaltung von Sicherheitsrichtlinien auf Layer 7.

  • Ermöglicht Ihrem Gerät die Anpassung an die dynamischen Datenverkehrsänderungen im Netzwerk.

  • Bietet mehr Kontrolle und Erweiterbarkeit zur Verwaltung des Datenverkehrs dynamischer Anwendungen als eine herkömmliche Sicherheitsrichtlinie.

Vor der Verwendung einheitlicher Richtlinien auf Firewalls der SRX-Serie

Mit der Einführung einheitlicher Richtlinien in Junos OS Version 18.2 sind einige der Befehle veraltet und werden nicht sofort entfernt, um Abwärtskompatibilität zu gewährleisten. Auf diese Weise können Sie Ihre alte Konfiguration mit der neuen Konfiguration in Einklang bringen.

Wenn Sie ein Upgrade auf Junos OS Version 19.4R3 oder 20.2R3 durchführen, zeigt das Sicherheitsgerät die folgende Warnung an, wenn Sie versuchen, die Konfiguration mit den veralteten Befehlen zu bestätigen:

Es wird empfohlen, zu einheitlichen Richtlinien zu migrieren, um Ihre Konfiguration mit den unterstützten Funktionen auf den neuesten Stand zu bringen.

In den folgenden Abschnitten finden Sie Details zu nicht unterstützten Konfigurationen in der älteren Version und wie Sie sie mit der neuen Version aktivieren können.

Anwendungssicherheit

Junos OS Version 15.1X49 Einheitliche Richtlinien (nach Junos OS Version 18.2)

Konfigurieren Sie einzelne Anwendungs-Firewall-Regeln, um Datenverkehr basierend auf Anwendungen zuzulassen oder abzulehnen.

  • Konfigurieren Sie Regeln und Regelsätze auf Hierarchieebene set security application-firewall .
  • Anwendungs-Firewall-Funktionen anwenden

    set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services application-firewall rule-set.

Erstellen Sie Sicherheitsrichtlinien mit dynamischen Anwendungen als Übereinstimmungskriterien, um die gleiche Funktionalität wie die Anwendungs-Firewall zu erhalten.

set security policies from-zone <zone> to-zone <zone> policy <policy> match dynamic-application <application-name>

Beispiel: Die folgenden Beispiele zeigen den Unterschied in der Konfiguration der Anwendungs-Firewall mit 15.1X49 und der Konfiguration in 19.4R3-S1 in einheitlichen Richtlinien. Wir verwenden ein Beispiel für die Einrichtung von Anwendungs-Firewall-Regeln, um Facebook-Anwendungen zu blockieren.

Vor dem Upgrade

Nach dem Upgrade

IDP-Richtlinien

Junos OS Version 15.1X49 Einheitliche Richtlinien (nach Junos OS Version 18.2)

Weisen Sie eine IDP-Richtlinie als aktive IDP-Richtlinie zu und verwenden Sie sie als Übereinstimmungskriterien in einer Sicherheitsrichtlinie, um Intrusion Detection and Prevention durchzuführen.

Konfigurieren Sie mehrere IDP-Richtlinien und wenden Sie sie auf die Sicherheitsrichtlinie an. Sie können sogar eine der IDP-Richtlinien als Standardrichtlinie definieren.

  • Geben Sie eine aktive IDP-Richtlinie an:

    set security idp active-policy <IDP policy name>

  • IDP-Richtlinie in der Sicherheitsrichtlinie anwenden:

    set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services idp

Geben Sie mehrere IDP-Richtlinien pro Firewallregel an:

set security policies from-zone <zone> to-zone <zone> policy <policy-1> then permit application-services <IDP-policy-name-1>

set security policies from-zone <zone> to-zone <zone> policy <policy-2> then permit application-services <IDP-policy-name-2>

set security idp default-policy <IDP-policy name>

Beispiel: Die folgenden Beispiele zeigen den Unterschied zwischen der IDP-Konfiguration mit 15.1X49 und der Konfiguration in 19.4R3 in einheitlichen Richtlinien. Beachten Sie, dass Sie in einheitlichen Richtlinien die Flexibilität haben, mehrere IDP-Richtlinien zu konfigurieren.

Vor dem Upgrade

Nach dem Upgrade

Inhaltssicherheit

Junos OS Version 15.1X49 Einheitliche Richtlinien (nach Junos OS Version 18.2)

Konfigurieren Sie die Parameter der Content Security-Funktionen unter den einzelnen Funktionsprofilen.

  • set security utm feature-profile anti-virus

  • set security utm feature-profile anti-spam
  • set security utm feature-profile web-filtering
  • set security utm feature-profile content-filtering

Konfigurieren Sie Content Security-Funktionen in der Standardkonfiguration. In der Content Security-Standardkonfiguration werden Parameter angewendet, die Sie möglicherweise übersehen haben, wenn Sie sie für eine bestimmte Content Security-Funktion konfigurieren.

  • set security utm default-configuration anti-virus

  • set security utm default-configuration anti-spam
  • set security utm default-configuration web-filtering
  • set security utm default-configuration content-filtering

Beispiel: Die folgenden Beispiele zeigen den Unterschied zwischen der Content Security-Konfiguration mit 15.1X49 und der Konfiguration in 19.4R3-S1 in einheitlichen Richtlinien. Wir verwenden ein Beispiel für die Konfiguration von Sophos Antivirus auf Ihrem Sicherheitsgerät.

Vor dem Upgrade

Nach dem Upgrade

Übersicht über die Konfiguration einheitlicher Richtlinien

In den folgenden Abschnitten finden Sie weitere Informationen zu einheitlichen Richtlinien:

Dynamische Anwendungskonfigurationsoptionen

Tabelle 1 enthält Optionen für die Konfiguration einer einheitlichen Richtlinie mit dynamischen Anwendungen.

Tabelle 1: Dynamische Anwendungskonfigurationsoptionen

Dynamische Anwendungskonfigurationsoptionen

Beschreibung

Dynamische Anwendungen oder Anwendungsgruppen

Geben Sie dynamische Anwendungen oder eine dynamische Anwendungsgruppe an.

Beispiele dafür sind die folgenden:

  • junos:FTP (dynamische Anwendung)

  • junos:web:shopping (dynamische Anwendungsgruppe)

Jegliche

Wenn Sie die dynamische Anwendung als any konfigurieren, wird die Richtlinie mit der Anwendung als Platzhalter installiert (Standard). Wenn eine Anwendung nicht angegeben werden kann, konfigurieren Sie any sie als Standardanwendung. Datenverkehr, der den Parametern in einer einheitlichen Richtlinie entspricht, stimmt unabhängig vom Anwendungstyp mit der Richtlinie überein.

Nichts

Wenn Sie die dynamische Anwendung als none konfigurieren, werden die Klassifizierungsergebnisse von AppID ignoriert und die dynamische Anwendung nicht in Sicherheitsrichtliniensuchen verwendet. Wenn in der Liste der möglichen Übereinstimmungsrichtlinien eine Richtlinie mit einer dynamischen Anwendung als nonekonfiguriert ist, wird diese Richtlinie als endgültige Richtlinie abgeglichen und ist endgültig. Wenn in dieser Richtlinie Layer 7-Services konfiguriert sind, wird eine Deep Packet Inspection für den Datenverkehr durchgeführt.

Beim Upgrade der Junos OS-Version (bei der dynamische Anwendungen nicht unterstützt wurden) werden alle vorhandenen herkömmlichen Richtlinien als Richtlinien betrachtet, wobei die dynamische Anwendung als konfiguriert ist none.

Dynamische Anwendung nicht konfiguriert

Wenn eine dynamische Anwendung nicht innerhalb einer Sicherheitsrichtlinie konfiguriert ist, wird die Richtlinie als herkömmliche Sicherheitsrichtlinie betrachtet. Diese Richtlinie ähnelt einer Richtlinie, bei der die dynamische Anwendung als konfiguriert ist none.

Ab den Junos OS-Versionen 19.4R1 und 20.1R1 unterstützt die Sicherheitsrichtlinie nicht mehr die Verwendung der folgenden Anwendungen als Übereinstimmungskriterien für dynamische Anwendungen:

  • junos:HTTPS

  • junos:POP3S

  • junos:IMAPS

  • junos:SMTPS

Das Software-Upgrade auf die Junos OS-Versionen 19.4R1 und 20.1R1 und höher schlägt während der Überprüfung fehl, wenn eine der Sicherheitsrichtlinien mit junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS als dynamische Anwendungen als Übereinstimmungskriterien konfiguriert ist.

Wir empfehlen Ihnen, dierequest system software validate package-name Option vor dem Upgrade auf die oben genannten Versionen zu verwenden.

Wir empfehlen Ihnen, alle Konfigurationen zu entfernen, die die dynamische Anwendung "junos:HTTPS", "junos:IMAPS", "junos:SMTPS" oder "junos:POP3S" als Übereinstimmungskriterien in den Sicherheitsrichtlinien enthalten.

Standardports und -protokolle als Übereinstimmungskriterien für Anwendungen

Ab Junos OS Version 18.2R1 wird diese junos-defaults Option in der Konfiguration der Sicherheitsrichtlinie als Anwendungsübereinstimmungskriterium eingeführt. Die junos-defaults Gruppe enthält vorkonfigurierte Anweisungen, die vordefinierte Werte für allgemeine Anwendungen enthalten. Da die Standardprotokolle und Ports von junos-defaultsgeerbt werden, ist es nicht erforderlich, die Ports und Protokolle explizit zu konfigurieren, wodurch die Konfiguration der Sicherheitsrichtlinie vereinfacht wird.

Im folgenden Beispiel verwendet junos:HTTP die Sicherheitsrichtlinie L7-test-policy die dynamische Anwendung und erbt die TCP-Ports des Ziels: 80, 3128, 8000 und 8080 als Übereinstimmungskriterien für die Anwendung.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

Wenn die Anwendung nicht über Standardports und -protokolle verfügt, verwendet die Anwendung die Standardports und -protokolle der abhängigen Anwendung. Beispielsweise verwendet junos:FACEBOOK-CHAT die Standardprotokolle und -ports HTTP2, HTTPS und SPDY.

Die junos-defaults Option muss zusammen mit einer dynamischen Anwendung konfiguriert werden. Wenn Sie die junos-defaults Option konfigurieren, ohne eine dynamische Anwendung anzugeben, wird eine Fehlermeldung angezeigt, und der Konfigurationscommit schlägt fehl. Verwenden Sie den show security policies detail Befehl, um die junos-defaults Option zu überprüfen.

Pre-ID-Standardrichtlinie

Eine einheitliche Richtlinie nutzt die Informationen aus der AppID, um sie mit der Anwendung abzugleichen und die in der Richtlinie angegebenen Maßnahmen zu ergreifen. Vor der Identifizierung der endgültigen Anwendung kann die Richtlinie nicht genau zugeordnet werden.

Die Pre-ID-Standardrichtlinie ermöglicht vorübergehend die Erstellung der Sitzung, sodass DPI das Paket abrufen und die Anwendungsidentifikation (AppID) ausführen kann.

Ab Junos OS Version 23.4R1 verweigert die Pre-ID-Standardrichtlinie ( pre-id-default-policy ) den Flow, bevor die Anwendungsidentifizierung (AppID) durchgeführt wird, wenn keine potenziellen Richtlinien vorhanden sind, die den Flow zulassen.

Wenn das Gerät das erste Paket eines Datenverkehrsflusses empfängt, führt es den grundlegenden Abgleich mit 5 Tupeln durch und überprüft die definierten potenziellen Richtlinien, um zu bestimmen, wie das Paket behandelt werden soll. Wenn alle potenziellen Richtlinien die Aktion "Verweigern" haben und die Standardrichtlinienaktion ebenfalls auf "Verweigern" festgelegt ist, verweigert das Gerät den Datenverkehr und führt keine Anwendungsidentifizierung (AppID) durch.

Wenn eine Richtlinie eine andere Aktion als "Verweigern" vorsieht, führt das Gerät DPI aus, um die Anwendung zu identifizieren.

Das Gerät prüft sowohl im Zonenkontext als auch im globalen Kontext nach potenziellen Richtlinien.

Standardmäßige Richtlinienaktionen vor der dynamischen Anwendungsidentifizierung

Bevor eine Anwendung durch die Anwendungsidentifikation (AppID) identifiziert wird, werden die pre-id-default-policy Optionen auf die Sitzung angewendet. Der Wert für die Sitzungszeitüberschreitung wird zusammen mit dem erforderlichen Modus der Sitzungsprotokollierung entsprechend der pre-id-default-policy Konfiguration angewendet. Wenn innerhalb der pre-id-default-policy Zeilengruppe keine Konfiguration vorhanden ist, werden die standardmäßigen Sitzungstimeoutwerte auf die Sitzung angewendet, und es werden keine Protokolle für .pre-id-default-policy

Es wird empfohlen, dass Kunden die set security policies pre-id-default-policy then log session-close Konfiguration, wie unten dargestellt, in ihren eigenen Umgebungen implementieren.

Durch diese Konfiguration wird sichergestellt, dass Sicherheitsprotokolle von der Firewall der SRX-Serie generiert werden, wenn ein Datenstrom die pre-id-default-policy. Diese Ereignisse sind in der Regel darauf zurückzuführen, dass JDPI den Datenverkehr nicht ordnungsgemäß klassifizieren kann, obwohl sie auch auf potenzielle Versuche hinweisen können, die APPID-Engine zu umgehen.

In neueren Versionen von Junos OS umfasst die werkseitige Standardkonfiguration einer Firewall der SRX-Serie die session-close Konfiguration.

VORSICHT:

Durch das Konfigurieren der Session-Init-Protokollierung für kann pre-id-default-policy eine große Menge an Protokollen generiert werden. Jede Sitzung, die in die Firewall der SRX-Serie eintritt und anfänglich mit der pre-id-default-policy übereinstimmt, generiert ein Ereignis. Es wird empfohlen, diese Option nur zu Zwecken der Fehlerbehebung zu verwenden.

Globale Richtliniennutzung mit einheitlichen Richtlinien

Zonenbasierte Sicherheitsrichtlinien haben Vorrang vor globalen Richtlinien, wenn eine Richtliniensuche implementiert wird.

Wenn die Sitzung mit einer einheitlichen Richtlinie übereinstimmt, entweder auf Zonenebene oder auf globaler Ebene, wird die Richtlinie der Liste potenzieller Richtlinienübereinstimmungen hinzugefügt. Wenn die Sitzung nicht mit einer Richtlinie auf Zonenebene übereinstimmt, erfolgt die nächste Richtlinienübereinstimmung auf globaler Ebene. Richtlinien auf globaler Ebene haben die gleichen Übereinstimmungskriterien wie alle anderen Sicherheitsrichtlinien (z. B. Quelladresse, Zieladresse, Anwendung, dynamische Anwendung usw.).

Einheitliche Richtlinienmaßnahmen

Geben Sie in einer einheitlichen Richtlinienkonfiguration eine der folgenden Aktionen an:

  • Zulassen (Permit) – Lassen Sie den Datenverkehr zu.

  • Verweigern: Der Datenverkehr wird gelöscht und die Sitzung geschlossen.

  • Ablehnen: Benachrichtigen Sie den Client, löschen Sie den Datenverkehr und schließen Sie die Sitzung.

Umleitungsprofil für Ablehnungsaktion

Einheitliche Richtlinien protokollieren Verwerfungs- und Ablehnungsaktionen. Einheitliche Richtlinien benachrichtigen verbundene Clients nicht über Abbruch- und Ablehnungsaktionen. Die Clients sind sich nicht bewusst, dass auf die Webseite nicht zugegriffen werden kann, und versuchen möglicherweise weiterhin, darauf zuzugreifen.

Ab Junos OS Version 18.2R1 kann ein Umleitungsprofil innerhalb einer einheitlichen Richtlinie konfiguriert werden. Wenn eine Richtlinie HTTP- oder HTTPS-Datenverkehr mit einer Verweigerungs- oder Ablehnungsaktion blockiert, können Sie in der einheitlichen Richtlinie eine Antwort definieren, um die verbundenen Clients zu benachrichtigen.

Um eine Erklärung für die Aktion bereitzustellen oder den Client auf eine informative Webseite umzuleiten, verwenden Sie die redirect-message Option auf der [edit security dynamic-application profile name] Hierarchieebene mit der Aktion "Ablehnen" oder "Verweigern" in einer einheitlichen Richtlinienkonfiguration, um eine benutzerdefinierte Meldung anzuzeigen.

Wenn Sie die Umleitungsoption konfigurieren, können Sie die benutzerdefinierte Nachricht oder die URL angeben, an die der Client umgeleitet wird.

Einschränkungen bei der Konfiguration eines Umleitungsprofils in einheitlichen Richtlinien

Es gibt Einschränkungen bei der Konfiguration eines Umleitungsprofils in einheitlichen Richtlinien. Diese umfassen:

  • Die Unterstützung für die Umleitungsaktion mit Blocknachrichten mit einer Umleitungs-URL ist für Nicht-HTTP- oder Nicht-HTTPS-Anwendungen nicht verfügbar.

  • Eine einheitliche Richtlinie prüft nicht die Gültigkeit und Zugänglichkeit einer vom Benutzer konfigurierten Umleitungs-URL.

  • Für die Verarbeitung von Klartext, HTTP-Pakete außerhalb der Reihenfolge oder segmentierte HTTP-Anforderungen sind die verfügbaren Richtlinienaktionen "Ablehnen" oder "Verweigern". Ein Weiterleitungsprofil ist nicht verfügbar.

  • Das Umleitungsprofil kann nur in einheitlichen Richtlinien angewendet werden. Die Ablehnungsaktion für herkömmliche Sicherheitsrichtlinien unterstützt keine Umleitungsaktion mit Blocknachrichtenprofilen oder einer Umleitungs-URL.

SSL-Proxy-Profil für Ablehnungsaktion

Ab Junos OS Version 18.2R1 können Sie ein Umleitungsprofil innerhalb einer einheitlichen Richtlinie konfigurieren. Wenn eine Richtlinie HTTP- oder HTTPS-Datenverkehr mit einer Verweigerungs- oder Ablehnungsaktion blockiert, können Sie ein SSL-Proxyprofil auf den Datenverkehr anwenden. SSL-Proxy entschlüsselt den Datenverkehr, und die Anwendungsidentifikationsfunktion identifiziert die Anwendung. Als Nächstes können Sie Maßnahmen ergreifen, um den Datenverkehr gemäß der Konfiguration umzuleiten oder zu löschen.

Betrachten Sie das folgende Beispiel:

In diesem Beispiel lehnen Sie einige der Facebook-Anwendungen wie Chat, Farmville usw. in der Richtlinie "policy-1" ab. Da Facebook eine verschlüsselte Anwendung ist, benötigen Sie zuerst einen SSL-Proxy, um den Datenverkehr zu entschlüsseln.

In diesem Beispiel lehnt die Richtlinie den verschlüsselten Facebook-Datenverkehr ab und wendet das konfigurierte SSL-Proxyprofil an. Der SSL-Proxy entschlüsselt den Datenverkehr, und JDPI identifiziert die Anwendung.

Jetzt führt die Richtlinie basierend auf Ihrer Konfiguration die folgenden Aktionen aus:

  • Leitet den Clientzugriff auf eine andere URL um und schließt die ursprüngliche Sitzung.

  • Benachrichtigt den Client mit vordefinierten Textnachrichten und schließt die Sitzung

  • Schließt nur die Sitzung. Im Beispiel schließt die Richtlinie die Sitzung.

Kriterien und Regeln für einheitliche Richtlinien

Einheitliche Richtlinie Implizite und explizite Übereinstimmung

Ab Junos OS Version 18.2R1 wird der Befehl unified-policy-explicit-match auf Hierarchieebene [edit security policies] eingeführt. Dieser Befehl definiert das explizite und implizite Richtlinienübereinstimmungsverhalten und ist standardmäßig deaktiviert.

  • Explizite Übereinstimmung: Wenn für eine abhängige Anwendung keine Abgleichsrichtlinie vorhanden ist, wird der Datenverkehr gelöscht, wenn die explizite Übereinstimmung aktiviert ist. Es werden nur die Sicherheitsrichtlinien angewendet, die explizit für die Anwendung konfiguriert sind.

  • Implizite Übereinstimmung: Wenn für die abhängige Anwendung keine Abgleichsrichtlinie vorhanden ist, wird die für die Basisanwendung konfigurierte Sicherheitsrichtlinie angewendet.

Standardmäßig setzen die einheitlichen Richtlinien implizite Regeln für abhängige Anwendungen durch.

In dem in Tabelle 2 gezeigten Beispiel ist die einheitliche Richtlinie P3 für FACEBOOK-ACCESS-Datenverkehr konfiguriert. HTTP ist eine abhängige Anwendung von FACEBOOK-ACCESS und hat keine explizit dafür konfigurierte Sicherheitsrichtlinie.

Tabelle 2: Beispiel für eine explizite und implizite Richtlinienübereinstimmung für eine abhängige Anwendung

Dynamische Anwendung

Richtlinie konfiguriert

HTTP (HTTP)

Nichts

FACEBOOK-ZUGANG

P3

Die Ergebnisse für das implizite und explizite Übereinstimmungsverhalten sind in Tabelle 3 dargestellt.

Tabelle 3: Beispiel für eine Richtlinienübereinstimmung (implizite und explizite Übereinstimmungskriterien)

Anwendung identifiziert

Übereinstimmung mit Richtlinien

Expliziter oder impliziter Regeltyp

Ergebnis

Nichts

Platz 3

Implizit (Explicit ist nicht aktiviert)

Bei der identifizierten Anwendung handelt es sich um HTTP. Es gibt keine übereinstimmende Sicherheitsrichtlinie, die für HTTP konfiguriert ist. Der explizite Match ist nicht aktiviert (impliziter Match), so dass der Traffic weiterverarbeitet wird, bis FACEBOOK-ACCESS identifiziert ist. Die Sicherheitsrichtlinie, die für FACEBOOK-ACCESS konfiguriert ist (Richtlinie P3), wird angewendet.

HTTP (HTTP)

FACEBOOK-ZUGANG

HTTP (HTTP)

Nichts

Explizit

Bei der identifizierten Anwendung handelt es sich um HTTP. Für HTTP ist keine Abgleichsrichtlinie verfügbar. Die explizite Übereinstimmung ist aktiviert, sodass in diesem Fall keine Sicherheitsrichtlinie angewendet wird.

Profilüberlappung für Layer 7-Services

Wenn bei der Verwendung einheitlicher Richtlinien die endgültige Anwendung noch nicht identifiziert wurde, gibt eine Richtliniensuche möglicherweise eine Liste von Richtlinien anstelle einer festen Richtlinie zurück. Diese Richtlinien werden als Richtlinien für potenzielle Übereinstimmungen bezeichnet. Bevor die endgültige Anwendung identifiziert wird, kann aufgrund mehrerer Richtlinienübereinstimmungen ein Konflikt auftreten.

In diesem Fall wird ein entsprechendes Profil oder Standardprofil für Services wie AppQoS, SSL-Proxy, Inhaltssicherheit und IDP angewendet.

Richtlinien-Neuanpassung

Wenn die policy rematch Option aktiviert ist, ermöglicht die einheitliche Richtlinie dem Gerät, eine aktive Sitzung neu auszuwerten, wenn die zugehörige Sicherheitsrichtlinie geändert wird.

Die Sitzung bleibt geöffnet, wenn sie weiterhin mit der Richtlinie übereinstimmt, die die Sitzung ursprünglich zugelassen hat. Die Sitzung wird geschlossen, wenn die zugehörige Richtlinie umbenannt, deaktiviert oder gelöscht wird. Verwenden Sie die extensive Option, um eine aktive Sitzung neu auszuwerten, wenn die zugehörige Sicherheitsrichtlinie umbenannt, deaktiviert oder gelöscht wird.

Wenn die Richtlinienanpassung vor einer endgültigen Übereinstimmung in einer einheitlichen Richtlinie konfiguriert wird, kann das Verhalten bei erneuter Anpassung zu einer Schließung der Sitzung führen. Nach der letzten Übereinstimmung löst eine erneute Richtlinienanpassung eine weitere Richtliniensuche aus, die auf den Übereinstimmungskriterien mit 6 Tupeln und der endgültigen identifizierten Anwendung basiert.

Konfigurieren policy-rematch und die policy-rematch extensive Optionen auf der [edit security policies] Hierarchieebene.

Einschränkungen bei der Konfiguration einheitlicher Richtlinien

Es gibt Einschränkungen bei der Konfiguration einheitlicher Richtlinien. Diese umfassen:

  • Eine vorhandene Sitzung kann in den folgenden Fällen geschlossen werden:

    • Wenn es eine Änderung in der endgültigen Übereinstimmung für die Richtlinie gibt.

    • Wenn eine neue Richtlinie in die vorhandenen Richtlinien eingefügt wird und wenn diese neue Richtlinie mit neuen Diensten konfiguriert wird.

    • Wenn eine Richtlinie für die endgültige Übereinstimmung neue Dienste nach der Erstellung der Sitzung und vor der endgültigen Übereinstimmung aktiviert.

  • Richtlinienbasiertes VPN wird für einheitliche Richtlinien nicht unterstützt und kann nur auf die herkömmliche Richtlinie angewendet werden.

  • Bei der Verarbeitung des ALG-Datenverkehrs auf den vereinheitlichten Richtlinien werden keine ALG-Funktionen aktiviert.
  • ALGs werden beim Abgleich mit herkömmlichen Sicherheitsrichtlinien angewendet.
    • Richtlinien, die eine Übereinstimmungsbedingung von verwenden, dynamic-application as none werden wie herkömmliche Richtlinien behandelt.
  • FTP ist eine Ausnahme von der ALG-Unterstützung für einheitliche Richtlinien, die das Scannen von FTP-Dateien für Content Security Antivirus ermöglichen.

  • Eine Sicherheitsrichtlinie, die mit GPRS konfiguriert ist, funktioniert möglicherweise nicht, wenn die Richtlinie Teil einer potenziellen Übereinstimmungsliste ist.

  • Ein Gruppen-VPN und eine Benutzer-Firewall-Authentifizierung können auf eine herkömmliche Sicherheitsrichtlinie angewendet werden.

  • In den Session-Init-Protokollen für Richtlinien, die dynamische Anwendungen nutzen, sind möglicherweise keine endgültigen Informationen zur Richtlinienübereinstimmung verfügbar.

Siehe auch

Beispiel: Konfigurieren einer einheitlichen Richtlinie mithilfe eines Umleitungsnachrichtenprofils

In diesem Beispiel wird beschrieben, wie eine einheitliche Richtlinie mit einem Umleitungsnachrichtenprofil konfiguriert wird. In diesem Beispiel konfigurieren Sie ein Umleitungsprofil mit einer Umleitungs-URL. Sie verwenden das Weiterleitungsprofil als Sperrmeldung in der Richtlinie für den Verkehr in den dynamischen Anwendungen GMAIL und FACEBOOK-CHAT. Gleichzeitig konfigurieren Sie die Anwendung junos-defaults so, dass der Standardport und das Standardprotokoll aus den dynamischen Anwendungen als Zielport und Protokollübereinstimmungskriterien der aktuellen Richtlinie geerbt werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Firewall der SRX-Serie mit Junos OS Version 18.2R1 Dieses Konfigurationsbeispiel wurde mit Junos OS Version 18.2R1 getestet.

Bevor Sie beginnen, konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Überblick

In diesem Beispiel definieren Sie das Umleitungsprofil als Antwort, wenn eine Richtlinie HTTP- oder HTTPS-Datenverkehr mit einer Verweigerungs- oder Ablehnungsaktion blockiert. Über ein Umleitungsprofil geben Sie eine Erklärung für die Aktion an, oder Sie leiten die Clientanforderung auf eine informative Webseite um, wenn die Ablehnungs- oder Ablehnungsaktion in einer Sicherheitsrichtlinie angewendet wird.

Um diese Ziele zu erreichen, führen Sie die folgenden Aufgaben aus:

  • Konfigurieren Sie das Umleitungsprofil mit einer Umleitungs-URL, z. B. http://abc.company.com/information/block-message , und verwenden Sie sie in der Richtlinie als Blockierungsnachricht.

  • Konfigurieren Sie die Übereinstimmungskriterien source-address für die Sicherheitsrichtlinie und destination-address mit dem Wert any.

  • Konfigurieren Sie die Anwendung mit junos-defaults, sodass der Standardport und das Standardprotokoll von dynamic-application als Zielport und Protokollübereinstimmungskriterien der aktuellen Richtlinie geerbt werden.

  • Konfigurieren Sie dynamic-application mit [junos:GMAIL, junos:FACEBOOK-CHAT] , damit die Richtlinie das Profil für Blockierungsmeldungen auf die Anwendungen anwenden kann.

Konfiguration

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine einheitliche Richtlinie mit einem Umleitungsnachrichtenprofil:

  1. Konfigurieren von Sicherheitszonen.

  2. Erstellen Sie ein Profil für die Umleitungsnachricht.

  3. Erstellen Sie eine Sicherheitsrichtlinie mit einer dynamischen Anwendung als Übereinstimmungskriterium.

  4. Definieren Sie die Richtlinienmaßnahme.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security dynamic-application eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der einheitlichen Richtlinienkonfiguration

Zweck

Vergewissern Sie sich, dass die einheitliche Richtlinienkonfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller Sicherheitsrichtlinien auf dem Gerät anzuzeigen.

Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine detaillierte Zusammenfassung aller Sicherheitsrichtlinien auf dem Gerät anzuzeigen.

Bedeutung

In der Ausgabe werden Informationen zu allen derzeit aktiven Sicherheitssitzungen auf dem Gerät angezeigt. Überprüfen Sie die folgenden Informationen:

  • Name der konfigurierten Richtlinie

  • Quell- und Zieladressen

  • Konfigurierte Anwendungen

  • Konfigurierte dynamische Anwendungen

  • Aktion zum Ablehnen von Richtlinien

Siehe auch

Konfigurieren einer URL-Kategorie mit einheitlichen Richtlinien

Grundlegendes zur URL-Kategorie mit einheitlichen Richtlinien

Ab Junos OS Version 18.4R1 wurde die Funktion "Vereinheitlichte Richtlinien" erweitert, um URL-Kategorien als Übereinstimmungskriterien für die Webfilterungskategorie einzubeziehen. URL-Kategorien können nach einheitlichen Richtlinien mit oder ohne Anwendung dynamischer Anwendungen konfiguriert werden. .

Wenn die URL-Kategorie als url-category any Richtlinie konfiguriert ist, stimmt die Richtlinie mit allen Datenverkehrskategorien überein, die für die vereinheitlichten Richtlinien konfiguriert sind.

Wenn die URL-Kategorie als url-category none Richtlinie konfiguriert ist, wird die URL-Kategorie bei der Richtliniensuche nicht verwendet. Die einheitliche Richtlinie, die mit konfiguriert ist url-category none , wird als die höchste Priorität für die Richtlinienübereinstimmung für einen Datenverkehr betrachtet. Wenn die URL-Kategorie für eine Richtlinie nicht konfiguriert ist oder wenn Sie ein Gerät von einer früheren Version auf die neueste Version aktualisieren, wird die URL-Kategorie aller Richtlinien als url-category nonebetrachtet.

Einschränkungen der URL-Kategorie mit einheitlichen Richtlinien

Für die Verwendung von URL-Kategorien in einer einheitlichen Richtlinie gelten folgende Einschränkungen:

  • Nur die Ports, die im Allgemeinen verwendet werden, wie HTTP- und HTTPS-Datenverkehr, werden von unterstützt url-category. Daher unterstützt die Richtliniensuche HTTP- und HTTPS-Datenverkehr.

Beispiel: Konfigurieren einer einheitlichen Richtlinie mithilfe der URL-Kategorie

In diesem Beispiel wird beschrieben, wie eine einheitliche Richtlinie mit einer URL-Kategorie konfiguriert wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Firewall der SRX-Serie mit Junos OS Version 18.4R1 Dieses Konfigurationsbeispiel wurde mit Junos OS Version 18.4R1 getestet.

Bevor Sie beginnen, konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Überblick

In diesem Beispiel wird die URL-Kategorie der Sicherheitsrichtlinie als Übereinstimmungskriterium für die Webfilterungskategorie hinzugefügt.

Um diese Ziele zu erreichen, führen Sie die folgenden Aufgaben aus:

  • Konfigurieren Sie die Übereinstimmungskriterien source-address für die Sicherheitsrichtlinie und destination-address mit dem Wert any.

  • Konfigurieren Sie die Anwendung mit junos-defaults, sodass der Standardport und das Standardprotokoll von dynamic-application als Zielport und Protokollübereinstimmungskriterien der aktuellen Richtlinie geerbt werden.

  • Konfigurieren Sie dynamic-application mit [junos:GMAIL, junos:FACEBOOK-CHAT] , damit die Richtlinie das Profil für Blockierungsmeldungen auf die Anwendungen anwenden kann.

  • Konfigurieren url-category mit Enhanced_News_and_Media als Übereinstimmungskriterien für die Webfilterungskategorie.

Konfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

CLI Schnellkonfiguration
Schritt-für-Schritt-Anleitung
Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine einheitliche Richtlinie mit einem Umleitungsnachrichtenprofil:

  1. Konfigurieren von Sicherheitszonen.

  2. Erstellen Sie eine Sicherheitsrichtlinie mit einer URL-Kategorie als Übereinstimmungskriterium.

  3. Definieren Sie die Richtlinienmaßnahme.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security dynamic-application eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der einheitlichen Richtlinienkonfiguration
Zweck

Vergewissern Sie sich, dass die einheitliche Richtlinienkonfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller Sicherheitsrichtlinien auf dem Gerät anzuzeigen.

Bedeutung

In der Ausgabe werden Informationen zu allen derzeit aktiven Sicherheitssitzungen auf dem Gerät angezeigt. Überprüfen Sie die folgenden Informationen:

  • Name der konfigurierten Richtlinie

  • Quell- und Zieladressen

  • Konfigurierte Anwendungen

  • Konfigurierte dynamische Anwendungen

  • Konfigurierte URL-Kategorie

  • Aktion zum Ablehnen von Richtlinien

Konfigurieren von Anwendungen in einheitlichen Richtlinien

Anwendungen in einheitlichen Richtlinien

Ab Junos OS Version 19.1R1 ist die Konfiguration der application Anweisung auf Hierarchieebene [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] optional, wenn die dynamic-application Anweisung auf derselben Hierarchieebene konfiguriert ist.

In Versionen vor Junos OS Version 19.1R1 ist es obligatorisch, die application Anweisung zu konfigurieren, auch wenn die dynamic-application Anweisung konfiguriert ist.

  • Wenn die application Option definiert ist, wird die definierte Anwendung verwendet.

  • Wenn die application Option nicht definiert ist und die dynamic-application Option als anydefiniert ist, wird die Anwendung any implizit hinzugefügt.

  • Wenn die application Option nicht definiert ist und die dynamic-application Option definiert ist (und nicht als anykonfiguriert ist), wird die Anwendung junos-defaults implizit hinzugefügt.

Beispiel: Konfigurieren einer einheitlichen Richtlinie mithilfe dynamischer Anwendungen

In diesem Beispiel wird beschrieben, wie eine einheitliche Richtlinie mithilfe dynamischer Anwendungen konfiguriert wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Firewall der SRX-Serie mit Junos OS Version 19.1R1 Dieses Konfigurationsbeispiel wurde mit Junos OS Version 19.1R1 getestet.

Bevor Sie beginnen, konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Überblick

In diesem Beispiel werden der Sicherheitsrichtlinie dynamische Anwendungen als Übereinstimmungskriterien hinzugefügt.

Führen Sie die folgenden Aufgaben aus, um diese Ziele zu erreichen:

  • Konfigurieren Sie die Übereinstimmungskriterien source-address für die Sicherheitsrichtlinie und destination-address mit dem Wert any.

  • Konfigurieren Sie dynamic-application mit [junos:CNN, junos:BBC] , damit die Richtlinie die Anwendungen junos:CNN und junos:BBC zulässt.

Konfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

CLI Schnellkonfiguration
Schritt-für-Schritt-Anleitung
Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine einheitliche Richtlinie mit dynamischen Anwendungen:

  1. Konfigurieren von Sicherheitszonen.

  2. Erstellen Sie eine Sicherheitsrichtlinie mit einer dynamischen Anwendung als Übereinstimmungskriterium.

  3. Definieren Sie die Richtlinienmaßnahme.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der einheitlichen Richtlinienkonfiguration
Zweck

Vergewissern Sie sich, dass die einheitliche Richtlinienkonfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller Sicherheitsrichtlinien auf dem Gerät anzuzeigen.

Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine detaillierte Zusammenfassung aller Sicherheitsrichtlinien auf dem Gerät anzuzeigen.

Bedeutung

In der Ausgabe werden Informationen zu allen derzeit aktiven Sicherheitssitzungen auf dem Gerät angezeigt. Überprüfen Sie die folgenden Informationen:

  • Name der konfigurierten Richtlinie

  • Quell- und Zieladressen

  • Konfigurierte Anwendungen

    Anmerkung:

    Das Applications Feld wird automatisch ausgefüllt, und sein Wert junos-defaults wird implizit hinzugefügt.

  • Konfigurierte dynamische Anwendungen

  • Politische Maßnahmen

Siehe auch

Konfiguration von Mikroanwendungen in einheitlichen Richtlinien

Ab Junos OS Version 19.2R1 können Sie Mikroanwendungen in einer einheitlichen Richtlinie konfigurieren. Mikroanwendungen sind Teilfunktionen einer Anwendung. Mikroanwendungen ermöglichen eine granulare Steuerung einer Anwendung auf der Ebene einer Unterfunktion, anstatt die gesamte Anwendung zu blockieren oder zuzulassen. Standardmäßig ist die Erkennung von Mikroanwendungen deaktiviert.

Das Modul zur Anwendungsidentifikation (AppID) erkennt eine Anwendung auf einer Unterfunktionsebene in Ihrem Netzwerk. Sicherheitsrichtlinien nutzen die vom AppID-Modul ermittelten Informationen zur Anwendungsidentität. Nachdem eine bestimmte Anwendung identifiziert wurde, wird eine Aktion wie Zulassen, Verweigern, Ablehnen oder Umleiten auf den Datenverkehr gemäß der auf dem Gerät konfigurierten Richtlinie angewendet. Sie müssen die Erkennung von Mikroanwendungen aktivieren, um sie in einer Sicherheitsrichtlinie verwenden zu können. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Erkennung von Mikroanwendungen.

Begrenzen Sie die Anzahl der Richtlinienabfragen

Um eine Richtlinie zu verarbeiten, muss die Richtliniensuche den endgültigen Übereinstimmungsstatus für die Anwendung zurückgeben. Wenn Sie eine Mikroanwendung verwenden, erreicht die Anwendungsklassifizierung nicht den endgültigen Übereinstimmungsstatus , da sich die Mikroanwendung während der Sitzung ständig ändert. Da sich die Mikroanwendung von einer Transaktion zur anderen ändert, wird eine unbegrenzte Anzahl von Richtliniensuchvorgängen versucht.

Verwenden Sie die unified-policy max-lookups Anweisung auf Hierarchieebene [edit security policies] , um die Anzahl der Richtliniensuchvorgänge zu begrenzen.

Konfiguration von Mikroanwendungen

Um eine Anwendung auf Basisebene und alle davon abhängigen Mikroanwendungen zuzulassen, können Sie eine einheitliche Richtlinie konfigurieren, indem Sie die Anwendung auf Basisebene als Abgleichskriterium angeben. Sie müssen nicht jede abhängige Anwendung explizit als Übereinstimmungskriterien für die Richtlinie angeben. Wenn Sie z. B. die Anwendung junos-MODBUS der Basisebene als Abgleichskriterium in einer einheitlichen Richtlinie angeben, müssen Sie die Mikroanwendungen der junos-MODBUS Anwendung (junos:MODBUS-READ-COILS und junos:MODBUS-WRITE-SINGLE-COIL) nicht als Abgleichskriterien für die Richtlinie konfigurieren.

Wenn Sie eine einheitliche Richtlinie für die Steuerung auf granularer Ebene definieren möchten, müssen Sie die Mikroanwendungen der Basisanwendung als Übereinstimmungskriterien für die Richtlinie angeben. Sie dürfen die Anwendung auf Basisebene nicht als Übereinstimmungskriterien in der Richtlinie definieren. Für eine detailliertere Richtlinienkonfiguration geben Sie als Abgleichskriterien in einer einheitlichen Richtlinie an junos:MODBUS-READ-COILS . Stellen Sie sicher, dass die Anwendung junos:MODBUS auf Basisebene nicht als Übereinstimmungskriterium in derselben einheitlichen Richtlinie definiert ist.

Richtliniensuche mit Mikroanwendungen

Die Erkennung von Mikroanwendungen ist standardmäßig deaktiviert. Um Mikroanwendungen als Abgleichskriterien für die Richtliniensuche zu verwenden, müssen Sie die Erkennung von Mikroanwendungen aktivieren und diese dann als Übereinstimmungskriterien für die einheitliche Richtlinie angeben. Wenn Sie die Erkennung von Mikroanwendungen nicht aktiviert haben, erkennt das Modul zur Anwendungsidentifikation (AppID) keine Mikroanwendungen und betrachtet die Anwendung auf Basisebene als endgültiges Übereinstimmungskriterium. Betrachten Sie z. B. die Basisanwendung junos-:MODBUS mit zwei Mikroanwendungen junos:MODBUS-READ-COILS und junos:MODBUS-WRITE-SINGLE-COIL:

  • Wenn Sie die Erkennung von Mikroanwendungen nicht aktiviert haben, junos:MODBUS wird dies als der endgültige Übereinstimmungsstatus für die AppID-Klassifizierung betrachtet. Wenn Sie Mikroanwendungen aktivieren, können Sie diese in einer einheitlichen Richtlinie wie jede andere vordefinierte dynamische Anwendung konfigurieren. Diese Mikroanwendung wird für die Richtliniensuche verwendet.

  • Wenn Sie die Erkennung von Mikroanwendungen aktiviert haben, betrachtet junos:MODBUS das AppID-Modul den Zustand vor der Übereinstimmung . Wenn das AppID-Modul entweder junos:MODBUS-READ-COILS oder junos:MODBUS-WRITE-SINGLE-COILerkennt, betrachtet AppID dieses Ergebnis als endgültigen Übereinstimmungsstatus und fährt mit der Richtliniensuche anhand dieses Übereinstimmungskriteriums fort.

Siehe auch

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
Änderung-abgeschlossen
Änderung-abgeschlossen
Änderung-abgeschlossen