Groupes d’applications prédéfinis et personnalisés pour l’identification des applications
Vous pouvez définir un groupe d’applications pour des applications prédéfinies et personnalisées. Un groupe d’applications contient des applications qui nécessitent un traitement similaire lors de la définition d’une stratégie de sécurité. Pour plus d’informations, consultez les rubriques suivantes :
Personnalisation des groupes d’applications pour l’identification des applications Junos OS
Dans Junos OS, l’identification des applications vous permet de regrouper les applications dans des stratégies. Les applications peuvent être regroupées sous des groupes d’applications prédéfinis et personnalisés. L’ensemble du groupe d’applications prédéfini peut être téléchargé dans le cadre de l’IDP ou du package de sécurité d’identification d’application. Vous pouvez créer des groupes d’applications personnalisés avec un ensemble d’applications similaires pour une réutilisation cohérente lors de la définition des stratégies.
Le support de groupe d’applications associe les applications connexes sous un nom unique pour une réutilisation simplifiée et cohérente lors de l’utilisation de n’importe quel service d’application.
À mesure que la base de données de signatures prédéfinie change, le contenu d’un groupe d’applications prédéfini peut être modifié pour inclure de nouvelles signatures
Un groupe d’applications peut contenir des applications et des groupes simultanément. Il est possible d’affecter une application à plusieurs groupes. Il n’y a pas de limite au nombre de groupes d’applications dynamiques contenus dans une règle.
La hiérarchie des groupes d’applications ressemble à une arborescence avec des applications associées comme nœuds feuilles. Le groupe any fait référence au nœud racine. Le groupe non affecté est toujours situé à un niveau de la racine et contient initialement toutes les applications. Lorsqu’un groupe est défini, les applications du groupe non affecté au nouveau groupe. Lorsqu’un groupe est supprimé, ses applications sont déplacées vers le groupe non affecté.
Tous les groupes d’applications prédéfinis ont le préfixe « junos » dans le nom du groupe d’applications pour éviter les conflits de noms avec les groupes d’applications personnalisés. Vous ne pouvez pas modifier la liste des applications au sein d’un groupe d’applications prédéfini. Toutefois, vous pouvez copier un groupe d’applications prédéfini pour l’utiliser comme modèle pour créer un groupe d’applications personnalisé.
Pour personnaliser un groupe d’applications prédéfini, vous devez d’abord désactiver le groupe prédéfini. Notez qu’un groupe d’applications prédéfinies désactivé reste désactivé après une mise à jour de la base de données d’applications. Vous pouvez ensuite utiliser la commande request services application-identification group opérationnelle pour copier le groupe d’applications prédéfini désactivé. Le groupe copié est placé dans le fichier de configuration et le préfixe « junos » devient « my ». À ce stade, vous pouvez modifier la liste des applications dans « mon » groupe d’applications et renommer le groupe avec un nom unique.
Pour réaffecter une application d’un groupe personnalisé à un autre, vous devez supprimer l’application de son groupe d’applications personnalisé actuel, puis la réaffecter à l’autre.
À partir de Junos OS version 18.2R2 et Junos OS version 18.4R1, les applications chiffrées telles que HTTP, SMTP, IMAP et POP3 sur SSL sont identifiées comme junos :HTTPS, junos :SMTPS, junos :IMAPS et junos :POP3S dans les applications et ensembles d’applications Junos OS prédéfinis.
Par exemple : si vous configurez une stratégie de sécurité pour autoriser ou refuser le trafic HTTPS, vous devez spécifier les critères de correspondance des applications sous la forme junos :HTTPS.
Dans les versions précédentes de Junos OS, les applications HTTP et HTTP chiffrées (HTTPS) pouvaient être configurées à l’aide des mêmes critères de correspondance que junos :HTTP.
Voir aussi
Exemple : configuration d’un groupe d’applications personnalisé pour Junos OS Identification d’applications pour une gestion simplifiée
Cet exemple montre comment configurer des groupes d’applications personnalisés pour l’identification des applications Junos OS afin de les réutiliser de manière cohérente lors de la définition des stratégies.
Exigences
Avant de commencer, installez une base de données de signatures complète à partir d’un IDP ou d’un package de sécurité d’identification d’application. Reportez-vous à la section Téléchargement et installation manuelle du package de signatures d’application Junos OS ou Téléchargement et installation du package de signatures d’application Junos OS dans le cadre du package de sécurité IDP.
Aperçu
Dans cet exemple, vous définissez des applications pour un groupe d’applications, supprimez une application d’un groupe d’applications et incluez un groupe d’applications dans un autre groupe d’applications.
Dans Junos OS, l’identification des applications vous permet de regrouper les applications dans des stratégies. Les applications peuvent être regroupées sous des groupes d’applications prédéfinis et personnalisés. L’ensemble du groupe d’applications prédéfini peut être téléchargé dans le cadre de l’IDP ou du package de sécurité d’identification d’application. Vous pouvez créer des groupes d’applications personnalisés avec un ensemble d’applications similaires pour une réutilisation cohérente lors de la définition des stratégies.
Vous ne pouvez pas modifier les applications définies dans un groupe d’applications prédéfini. Toutefois, vous pouvez copier un groupe d’applications prédéfini à l’aide de la commande request services application-identification group group-name copy opérationnelle pour créer un groupe d’applications personnalisé et modifier la liste des applications. Pour plus d’informations, reportez-vous à la section request services application-identification group.
Configuration
- Configuration de Junos OS Identification des applications Groupes d’applications définis par l’utilisateur
- Suppression d’une application d’un groupe d’applications défini par l’utilisateur
- Création de groupes d’applications enfants pour un groupe d’applications
Configuration de Junos OS Identification des applications Groupes d’applications définis par l’utilisateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set services application-identification application-group my_web set services application-identification application-group my_web applications junos:HTTP set services application-identification application-group my_web applications junos:FTP set services application-identification application-group my_web applications junos:AMAZON set services application-identification application-group my_web applications junos:GOPHER set services application-identification application-group my_peer set services application-identification application-group my_peer applications junos:BITTORRENT set services application-identification application-group my_peer applications junos:BITTORRENT-APPLICATION set services application-identification application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
Procédure étape par étape
L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode de configuration.
Pour configurer un groupe d’applications personnalisé pour l’identification des applications :
Définissez le nom de votre groupe d’applications personnalisées.
[edit services application-identification] user@host# set application-group my_web
Ajoutez la liste des applications que vous souhaitez inclure dans votre groupe d’applications personnalisées.
[edit services application-identification] user@host# set application-group my_web applications junos:HTTP user@host# set application-group my_web applications junos:FTP user@host# set application-group my_web applications junos:GOPHER user@host# set application-group my_web applications junos:AMAZON
Définissez le nom d’un deuxième groupe d’applications personnalisées.
[edit services application-identification] user@host# set application-group my_peer
Ajoutez la liste des applications que vous souhaitez inclure dans le groupe.
[edit services application-identification] user@host# set application-group my_peer applications junos:BITTORRENT user@host# set application-group my_peer applications junos:BITTORRENT-APPLICATION user@host# set application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show services application-identification group commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host#show services application-identification application-group my_webapplications { junos:HTTP; junos:FTP; junos:GOPHER; junos:AMAZON } user@host#show services application-identification application-group my_peerapplications { junos:BITTORRENT; junos:BITTORRENT-APPLICATION; junos:BITTORRENT-WEB-CLIENT; }
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Suppression d’une application d’un groupe d’applications défini par l’utilisateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez la commande suivante, collez-la dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
[edit] delete services application-identification application-group my_web applications junos:AMAZON
Procédure étape par étape
Pour supprimer une application d’un groupe d’applications personnalisé :
Supprimer une application d’un groupe d’applications personnalisé.
[edit services application-identification] user@host# delete application-group my_web applications junos:AMAZON
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show services application-identification application group detail commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show services application-identification group detail
application group my_web {
junos:HTTP;
junos:FTP;
junos:GOPHER;
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Création de groupes d’applications enfants pour un groupe d’applications
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set services application-identification application-group p2p set services application-identification application-group p2p application-groups my_web set services application-identification application-group p2p application-groups my_peer
Procédure étape par étape
Pour configurer des groupes d’applications enfants pour un groupe d’applications personnalisé :
Définissez le nom du groupe d’applications personnalisées dans lequel vous configurez les groupes d’applications enfants.
[edit services application-identification] user@host# set application-group p2p
Ajoutez les groupes d’applications enfants.
[edit services application-identification] user@host# set application-group p2p application-groups my_web uer@host# set application-group p2p application-groups my_peer
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show services application-identification application-group application-group-name commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show services application-identification application-group p2p
applications-groups {
my_web;
my_peer;
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Activation ou désactivation de groupes d’applications dans Junos OS Identification des applications
Tous les groupes d’applications sont activés par défaut. Les groupes d’applications prédéfinis sont activés lors de l’installation.
Pour les groupes d’applications prédéfinis, vous pouvez désactiver et réactiver un groupe à l’aide de la
request services application-identification groupcommande. Vous ne pouvez pas supprimer une signature prédéfinie ou un groupe de signatures.Pour désactiver un groupe d’applications prédéfini :
user@host> request services application-identification group disable predefined-application-group-name
Note:Veillez à valider les modifications de configuration ou à restaurer la configuration lorsque vous tentez d’activer une application désactivée ou un groupe d’applications. Les modifications non validées peuvent entraîner l’échec de la configuration.
Pour réactiver un groupe d’applications prédéfini désactivé :
user@host> request services application-identification group enable predefined-application-group-name