Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Anwendungen und Anwendungssätze für Sicherheitsrichtlinien

Richtlinienanwendungen sind Datenverkehrstypen, für die Protokollstandards vorhanden sind. Der Richtlinienanwendungssatz ist eine Gruppe von Richtlinienanwendungen. Junos OS vereinfacht den Prozess, indem es Ihnen die Verwaltung einer kleinen Anzahl von Richtlinienanwendungssätzen anstelle einer großen Anzahl einzelner Richtlinienanwendungseinträge ermöglicht.

Die Richtlinienanwendung oder der Anwendungssatz wird von Sicherheitsrichtlinien als Übereinstimmungskriterien für Pakete bezeichnet, die Sitzungen initiieren. Mit Junos OS können Sie Richtlinienanwendungen und Anwendungssätze konfigurieren. Sie können einen Anwendungssatz erstellen, der alle genehmigten Anwendungen enthält.

Übersicht über Sicherheitsrichtlinienanwendungen

Anwendungen sind Datenverkehrstypen, für die Protokollstandards vorhanden sind. Jeder Anwendung sind ein Transportprotokoll und Zielportnummern zugeordnet, z. B. TCP/Port 21 für FTP und TCP/Port 23 für Telnet. Wenn Sie eine Richtlinie erstellen, müssen Sie eine Anwendung dafür angeben.

Sie können eine der vordefinierten Anwendungen aus dem Anwendungsbuch oder eine benutzerdefinierte Anwendung oder einen von Ihnen erstellten Anwendungssatz auswählen. Sie können sehen, welche Anwendung Sie in einer Richtlinie verwenden können, indem Sie den show applications CLI-Befehl verwenden.

Hinweis:

Jede vordefinierte Anwendung verfügt über einen Quellportbereich von 1–65535, der den gesamten Satz gültiger Portnummern enthält. Dadurch wird verhindert, dass potenzielle Angreifer über einen Quellport außerhalb der Reichweite Zugriff erhalten. Wenn Sie für eine vordefinierte Anwendung einen anderen Quellportbereich verwenden müssen, erstellen Sie eine benutzerdefinierte Anwendung. Weitere Informationen finden Sie unter Grundlegendes zu benutzerdefinierten Richtlinienanwendungen.

Siehe auch

Übersicht über Sicherheitsrichtlinienanwendungssätze

Wenn Sie eine Richtlinie erstellen, müssen Sie eine Anwendung oder einen Dienst angeben, damit angegeben wird, dass die Richtlinie für Datenverkehr dieses Typs gilt. Manchmal können dieselben Anwendungen oder eine Teilmenge davon in mehreren Richtlinien vorhanden sein, was die Verwaltung erschwert. Mit Junos OS können Sie Gruppen von Anwendungen erstellen, die als Anwendungssätze bezeichnet werden. Anwendungssätze vereinfachen den Prozess, indem sie es Ihnen ermöglichen, eine kleine Anzahl von Anwendungssätzen anstelle einer großen Anzahl einzelner Anwendungseinträge zu verwalten.

Die Anwendung (oder Anwendungsgruppe) wird von Sicherheitsrichtlinien als Übereinstimmungskriterien für Pakete bezeichnet, die Sitzungen initiieren. Wenn das Paket mit dem von der Richtlinie angegebenen Anwendungstyp übereinstimmt und alle anderen Kriterien übereinstimmen, wird die Richtlinienaktion auf das Paket angewendet.

Sie können den Namen eines Anwendungssatzes in einer Richtlinie angeben. Wenn in diesem Fall alle anderen Kriterien übereinstimmen, dient eine der Anwendungen im Anwendungssatz als gültiges Übereinstimmungskriterium. any ist der Standardanwendungsname, der alle möglichen Anwendungen angibt.

Anwendungen werden im .../applications/application/application-name Verzeichnis erstellt. Sie müssen für keinen der vom System vordefinierten Services eine Anwendung konfigurieren.

Zusätzlich zu den vordefinierten Diensten können Sie einen benutzerdefinierten Dienst konfigurieren. Nachdem Sie einen benutzerdefinierten Dienst erstellt haben, können Sie in einer Richtlinie darauf verweisen.

Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen

In diesem Beispiel wird gezeigt, wie Anwendungen und Anwendungssätze konfiguriert werden.

Anforderungen

Bevor Sie beginnen, konfigurieren Sie die erforderlichen Anwendungen. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinienanwendungssätze.

Übersicht

Anstatt mehrere einzelne Anwendungsnamen zu erstellen oder zu einer Richtlinie hinzuzufügen, können Sie einen Anwendungssatz erstellen und auf den Namen des Satzes in einer Richtlinie verweisen. Beispielsweise können Sie für eine Gruppe von Mitarbeitern einen Anwendungssatz erstellen, der alle genehmigten Anträge enthält.

In diesem Beispiel erstellen Sie eine Anwendungsgruppe, die für die Anmeldung bei den Servern in der ABC-Zone (Intranet), für den Zugriff auf die Datenbank und für die Übertragung von Dateien verwendet wird.

  • Definieren Sie die Anwendungen im konfigurierten Anwendungssatz.

  • Manager in Zone A und Manager in Zone B nutzen diese Services. Geben Sie dem Anwendungssatz daher einen generischen Namen, z. B. MgrAppSet.

  • Erstellen Sie einen Anwendungssatz für die Anwendungen, die für E-Mail- und webbasierte Anwendungen verwendet werden, die von den beiden Servern in der externen Zone übermittelt werden.

Topologie

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So konfigurieren Sie eine Anwendung und einen Anwendungssatz:

  1. Erstellen Sie einen Anwendungssatz für Manager.

  2. Erstellen Sie einen weiteren Anwendungssatz für E-Mail- und webbasierte Anwendungen.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show applications Befehl im Konfigurationsmodus ein.

Grundlegendes zur Konfiguration und Suche von Zeitüberschreitungen bei Richtlinienanwendungen

Der Zeitüberschreitungswert für die Anwendung, den Sie für eine Anwendung festlegen, bestimmt das Sitzungstimeout. Sie können den Timeout-Schwellenwert für eine vordefinierte oder benutzerdefinierte Anwendung festlegen. Sie können das Standard-Timeout der Anwendung verwenden, ein benutzerdefiniertes Timeout angeben oder überhaupt kein Timeout verwenden.

Zeitüberschreitungswerte für Anwendungen werden in der TCP- und UDP-Port-basierten Stamm-Timeout-Tabelle und in der protokollbasierten Standard-Timeout-Tabelle gespeichert. Wenn Sie einen Timeout-Wert für die Anwendung festlegen, aktualisiert Junos OS diese Tabellen mit dem neuen Wert. Es gibt auch Standard-Timeout-Werte in der Anwendungseintragsdatenbank, die aus vordefinierten Anwendungen übernommen werden. Sie können ein Timeout festlegen, aber keinen Standardwert ändern.

Jede benutzerdefinierte Anwendung kann mit einem eigenen Timeout für die benutzerdefinierte Anwendung konfiguriert werden. Wenn mehrere benutzerdefinierte Anwendungen mit benutzerdefinierten Timeouts konfiguriert sind, hat jede Anwendung ihr eigenes Timeout für benutzerdefinierte Anwendungen.

Wenn die Anwendung, die für den Datenverkehr abgeglichen wird, einen Timeoutwert hat, wird dieser Timeoutwert verwendet. Andernfalls wird die Suche in der folgenden Reihenfolge fortgesetzt, bis ein Timeoutwert für die Anwendung gefunden wird:

  1. In der TCP- und UDP-Port-basierten Timeout-Stammtabelle wird nach einem Timeout-Wert gesucht.

  2. In der protokollbasierten Standard-Timeout-Tabelle wird nach einem Timeout-Wert gesucht. Siehe Tabelle 1.

    Tabelle 1: Protokollbasiertes Standard-Timeout

    Protokoll

    Standard-Timeout (Sekunden)

    TCP

    1800

    UDP

    60

    ICMP

    60

    OSPF

    60

    Andere

    1800

Grundlegendes zu Timeouts bei Richtlinienanwendungen Eventualitäten

Beachten Sie beim Festlegen von Zeitüberschreitungen die folgenden Eventualitäten:

  • Wenn eine Anwendung mehrere Anwendungsregeleinträge enthält, haben alle Regeleinträge dieselbe Zeitüberschreitung. Sie müssen das Anwendungstimeout nur einmal definieren. Wenn Sie z. B. eine Anwendung mit zwei Regeln erstellen, wird das Timeout für beide Regeln mit den folgenden Befehlen auf 20 Sekunden festgelegt:

  • Wenn mehrere benutzerdefinierte Anwendungen mit benutzerdefinierten Timeouts konfiguriert sind, hat jede Anwendung ihr eigenes Timeout für benutzerdefinierte Anwendungen. Zum Beispiel:

    Bei dieser Konfiguration wendet Junos OS ein Timeout von 10 Sekunden für den Zielport 2121 und ein Timeout von 20 Sekunden für den Zielport 2300 in einer Anwendungsgruppe an.

Beispiel: Festlegen eines Timeouts für Richtlinienanwendungen

In diesem Beispiel wird gezeigt, wie ein Timeoutwert für eine Richtlinienanwendung festgelegt wird.

Anforderungen

Bevor Sie beginnen, sollten Sie sich mit Timeouts für Richtlinienanwendungen vertraut machen. Weitere Informationen finden Sie unter Grundlegendes zur Konfiguration und Suche von Zeitüberschreitungen für Richtlinienanwendungen.

Übersicht

Zeitüberschreitungswerte für Anwendungen werden in der Anwendungseintragsdatenbank und in den entsprechenden vsys TCP- und UDP-Port-basierten Timeout-Tabellen gespeichert. In diesem Beispiel legen Sie das Timeout des Geräts für eine Richtlinienanwendung für die vordefinierte FTP-Anwendung auf 75 Minuten (4500 Sekunden) fest.

Wenn Sie einen Timeout-Wert für die Anwendung festlegen, aktualisiert Junos OS diese Tabellen mit dem neuen Wert.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So legen Sie ein Timeout für Richtlinienanwendungen fest:

  1. Legen Sie den Wert für das Inaktivitäts-Timeout fest.

  2. Bestätigen Sie die Konfiguration, wenn Sie mit der Konfiguration des Geräts fertig sind.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show applications Befehl ein.

Zugehörige Dokumentation