Benutzerdefinierte Richtlinienanwendungen
Die benutzerdefinierte Richtlinienanwendung ist eine alternative Funktion für vordefinierte Richtlinienanwendungen. Wenn Sie keine vordefinierten Richtlinienanwendungen in Ihrer Richtlinie verwenden möchten, können Sie benutzerdefinierte Anwendungen erstellen. Mit Junos OS können Sie benutzerdefinierte Anwendungen für Ihre Richtlinie konfigurieren.
Grundlegendes zu benutzerdefinierten Richtlinienanwendungen
Wenn Sie keine vordefinierten Anwendungen in Ihrer Richtlinie verwenden möchten, können Sie problemlos benutzerdefinierte Anwendungen erstellen.
Sie können jeder benutzerdefinierten Anwendung die folgenden Attribute zuweisen:
Namen
Transportprotokoll
Quell- und Zielportnummern für Anwendungen, die TCP oder UDP verwenden
Typ- und Codewerte für Anwendungen, die ICMP verwenden
Timeout-Wert
Benutzerdefinierte Anwendungszuordnungen
Die Anwendungsoption gibt die Layer-7-Anwendung an, die der Layer-4-Anwendung zugeordnet ist, auf die Sie in einer Richtlinie verweisen. Eine vordefinierte Anwendung verfügt bereits über eine Zuordnung zu einer Layer-7-Anwendung. Bei benutzerdefinierten Anwendungen müssen Sie die Anwendung jedoch explizit mit einer Richtlinie verknüpfen, insbesondere wenn die Richtlinie ein Application Layer Gateway (ALG) oder eine gründliche Überprüfung auf die benutzerdefinierte Anwendung anwenden soll.
Junos OS unterstützt ALGs für zahlreiche Anwendungen, darunter DNS, FTP, H.323, HTTP, RSH, SIP, Telnet und TFTP.
Das Anwenden eines ALG auf eine benutzerdefinierte Anwendung umfasst die folgenden zwei Schritte:
Definieren Sie eine benutzerdefinierte Anwendung mit einem Namen, einem Timeoutwert, einem Transportprotokoll sowie Quell- und Zielports.
Verweisen Sie beim Konfigurieren einer Richtlinie auf diese Anwendung und den Anwendungstyp für das ALG, das Sie anwenden möchten.
Beispiel: Hinzufügen und Ändern von benutzerdefinierten Richtlinienanwendungen
In diesem Beispiel wird gezeigt, wie benutzerdefinierte Richtlinienanwendungen hinzugefügt und geändert werden.
Anforderungen
Bevor Sie beginnen, erstellen Sie Adressen und Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Übersicht
In diesem Beispiel erstellen Sie eine benutzerdefinierte Anwendung mit den folgenden Informationen:
Ein Name für die Anwendung:
cust-telnet.Ein Bereich von Quellportnummern:
1bis65535.Eine Zielportnummer: 23000.
Das von der Anwendung verwendete Protokoll: TCP.
Nachdem die benutzerdefinierte Anwendung cust-telnet erstellt wurde, werden die folgenden Informationen geändert:
Das von der Anwendung verwendete Protokoll wird wie folgt geändert: TCP.
Ein Bereich von Quellportnummern:
1bis51100.Eine Zielportnummer: 11000.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So fügen Sie eine benutzerdefinierte Richtlinienanwendung hinzu und ändern sie:
Konfigurieren Sie TCP und geben Sie den Quellport und den Zielport an.
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
Geben Sie an, wie lange die Anwendung inaktiv ist.
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
Ändern Sie die benutzerdefinierte Richtlinienanwendung
cust-telnet:Löschen Sie die für TCP konfigurierten Quell- und Zielports.
Konfigurieren Sie UDP und geben Sie den Quellport und den Zielport an.
Geben Sie an, wie lange UDP inaktiv ist.
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Überprüfen der geänderten benutzerdefinierten Richtlinienanwendung
Zweck
So überprüfen Sie, ob die benutzerdefinierte Richtlinienanwendung erfolgreich geändert wurde.
Aktion
Geben Sie im Betriebsmodus den show applications application cust-telnet Befehl ein, um die Details der benutzerdefinierten Richtlinienanwendung anzuzeigen - cust-telnet.
user@host> show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;Der Timeout-Wert wird in Sekunden angegeben. Wenn Sie ihn nicht festlegen, beträgt der Timeoutwert einer benutzerdefinierten Anwendung 1800 Sekunden. Wenn Sie nicht möchten, dass bei einer Anwendung ein Timeout auftritt, geben Sie never.
Bedeutung
In der Ausgabe werden Informationen zur cust-telnet Anwendung angezeigt. Überprüfen Sie die folgenden Informationen:
Name der konfigurierten Richtlinie.
Quell- und Zielports.
Zeitspanne (in Sekunden), für die die Anwendung inaktiv ist.
Beispiel: Konfigurieren von benutzerdefinierten Optionen für Richtlinienanwendungsausdrücke
In diesem Beispiel wird gezeigt, wie Anwendungseigenschaften und Begriffsoptionen für Anwendungsprotokolle konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Einen PC
Bevor Sie beginnen:
Konfigurieren Sie die erforderlichen Anwendungen. Siehe Beispiel: Hinzufügen und Ändern von benutzerdefinierten Richtlinienanwendungen .
Übersicht
In diesem Beispiel erstellen Sie einen Anwendungsnamen, einen App-Namen und einen Begriff namens custom-options, um die Optionen für den benutzerdefinierten Richtlinienanwendungsausdruck zu definieren.
Sie konfigurieren Domain Name Service (DNS) als ALG-Typ (Application Layer Gateway) und UDP als Netzwerkprotokolltyp. Sie legen den Quellport auf 24000 und den Zielport auf 23000 fest. Anschließend legen Sie den ICMP-Pakettyp (Internet Control Message Protocol) auf 5 und den ICMP-Codewert auf 0 fest. Sie legen den RPC-Programmnummernwert (Remote Procedure Call) auf 50 und den UUID-Wert (Universal Unique Identifier) auf 1be617c0-31a5-11cf-a7d8-00805f48a135 fest. Schließlich legen Sie den Wert für das Inaktivitätstimeout auf 60 fest.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
Schritt-für-Schritt-Anleitung
So konfigurieren Sie benutzerdefinierte Optionen für Richtlinienanwendungsausdrücke:
Konfigurieren Sie den Begriffsnamen.
[edit applications] user@host# set application app-name term custom-options
Konfigurieren Sie den ALG-Typ.
[edit applications] user@host# set application app-name term custom-options alg dns
Konfigurieren Sie den Netzwerkprotokolltyp.
[edit applications] user@host# set application app-name term custom-options protocol udp
Konfigurieren Sie die Quellportnummer.
[edit applications] user@host#set application app-name term custom-options source-port 24000
Konfigurieren Sie die TCP- oder UDP-Zielportnummer.
[edit applications] user@host# set application app-name term custom-options destination-port 23000
Geben Sie den Wert für das Inaktivitäts-Timeout an.
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show applications Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show applications
application app-name {
term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der Konfiguration
Zweck
Überprüfen Sie, ob die Konfiguration korrekt ist.
Aktion
Geben Sie im Betriebsmodus den show applications Befehl ein.
user@host> show applications
application app-name {
term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60;
}