Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Groupes d’applications prédéfinis et personnalisés pour l’identification des applications

Vous pouvez définir un groupe d’applications pour des applications prédéfinies et personnalisées. Un groupe d’applications contient des applications qui nécessitent un traitement similaire lors de la définition d’une stratégie de sécurité. Pour plus d’informations, consultez les rubriques suivantes :

Personnalisation des groupes d’applications pour l’identification des applications Junos OS

Dans Junos OS, l’identification des applications vous permet de regrouper les applications dans des stratégies. Les applications peuvent être regroupées sous des groupes d’applications prédéfinis et personnalisés. L’ensemble du groupe d’applications prédéfini peut être téléchargé dans le cadre de l’IDP ou du package de sécurité d’identification d’application. Vous pouvez créer des groupes d’applications personnalisés avec un ensemble d’applications similaires pour une réutilisation cohérente lors de la définition des stratégies.

Le support de groupe d’applications associe les applications connexes sous un nom unique pour une réutilisation simplifiée et cohérente lors de l’utilisation de n’importe quel service d’application.

À mesure que la base de données de signatures prédéfinie change, le contenu d’un groupe d’applications prédéfini peut être modifié pour inclure de nouvelles signatures

Note:

Un groupe d’applications peut contenir des applications et des groupes simultanément. Il est possible d’affecter une application à plusieurs groupes. Il n’y a pas de limite au nombre de groupes d’applications dynamiques contenus dans une règle.

La hiérarchie des groupes d’applications ressemble à une arborescence avec des applications associées comme nœuds feuilles. Le groupe any fait référence au nœud racine. Le groupe non affecté est toujours situé à un niveau de la racine et contient initialement toutes les applications. Lorsqu’un groupe est défini, les applications du groupe non affecté au nouveau groupe. Lorsqu’un groupe est supprimé, ses applications sont déplacées vers le groupe non affecté.

Tous les groupes d’applications prédéfinis ont le préfixe « junos » dans le nom du groupe d’applications pour éviter les conflits de noms avec les groupes d’applications personnalisés. Vous ne pouvez pas modifier la liste des applications au sein d’un groupe d’applications prédéfini. Toutefois, vous pouvez copier un groupe d’applications prédéfini pour l’utiliser comme modèle pour créer un groupe d’applications personnalisé.

Pour personnaliser un groupe d’applications prédéfini, vous devez d’abord désactiver le groupe prédéfini. Notez qu’un groupe d’applications prédéfinies désactivé reste désactivé après une mise à jour de la base de données d’applications. Vous pouvez ensuite utiliser la commande request services application-identification group opérationnelle pour copier le groupe d’applications prédéfini désactivé. Le groupe copié est placé dans le fichier de configuration et le préfixe « junos » devient « my ». À ce stade, vous pouvez modifier la liste des applications dans « mon » groupe d’applications et renommer le groupe avec un nom unique.

Pour réaffecter une application d’un groupe personnalisé à un autre, vous devez supprimer l’application de son groupe d’applications personnalisé actuel, puis la réaffecter à l’autre.

Note:

À partir de Junos OS version 18.2R2 et Junos OS version 18.4R1, les applications chiffrées telles que HTTP, SMTP, IMAP et POP3 sur SSL sont identifiées comme junos :HTTPS, junos :SMTPS, junos :IMAPS et junos :POP3S dans les applications et ensembles d’applications Junos OS prédéfinis.

Par exemple : si vous configurez une stratégie de sécurité pour autoriser ou refuser le trafic HTTPS, vous devez spécifier les critères de correspondance des applications sous la forme junos :HTTPS.

Dans les versions précédentes de Junos OS, les applications HTTP et HTTP chiffrées (HTTPS) pouvaient être configurées à l’aide des mêmes critères de correspondance que junos :HTTP.

Exemple : configuration d’un groupe d’applications personnalisé pour Junos OS Identification d’applications pour une gestion simplifiée

Cet exemple montre comment configurer des groupes d’applications personnalisés pour l’identification des applications Junos OS afin de les réutiliser de manière cohérente lors de la définition des stratégies.

Exigences

Avant de commencer, installez une base de données de signatures complète à partir d’un IDP ou d’un package de sécurité d’identification d’application. Reportez-vous à la section Téléchargement et installation manuelle du package de signatures d’application Junos OS ou Téléchargement et installation du package de signatures d’application Junos OS dans le cadre du package de sécurité IDP.

Aperçu

Dans cet exemple, vous définissez des applications pour un groupe d’applications, supprimez une application d’un groupe d’applications et incluez un groupe d’applications dans un autre groupe d’applications.

Dans Junos OS, l’identification des applications vous permet de regrouper les applications dans des stratégies. Les applications peuvent être regroupées sous des groupes d’applications prédéfinis et personnalisés. L’ensemble du groupe d’applications prédéfini peut être téléchargé dans le cadre de l’IDP ou du package de sécurité d’identification d’application. Vous pouvez créer des groupes d’applications personnalisés avec un ensemble d’applications similaires pour une réutilisation cohérente lors de la définition des stratégies.

Note:

Vous ne pouvez pas modifier les applications définies dans un groupe d’applications prédéfini. Toutefois, vous pouvez copier un groupe d’applications prédéfini à l’aide de la commande request services application-identification group group-name copy opérationnelle pour créer un groupe d’applications personnalisé et modifier la liste des applications. Pour plus d’informations, reportez-vous à la section request services application-identification group.

Configuration

Configuration de Junos OS Identification des applications Groupes d’applications définis par l’utilisateur

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode de configuration.

Pour configurer un groupe d’applications personnalisé pour l’identification des applications :

  1. Définissez le nom de votre groupe d’applications personnalisées.

  2. Ajoutez la liste des applications que vous souhaitez inclure dans votre groupe d’applications personnalisées.

  3. Définissez le nom d’un deuxième groupe d’applications personnalisées.

  4. Ajoutez la liste des applications que vous souhaitez inclure dans le groupe.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show services application-identification group commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.

Suppression d’une application d’un groupe d’applications défini par l’utilisateur

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple, copiez la commande suivante, collez-la dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Pour supprimer une application d’un groupe d’applications personnalisé :

  • Supprimer une application d’un groupe d’applications personnalisé.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show services application-identification application group detail commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.

Création de groupes d’applications enfants pour un groupe d’applications

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.

Procédure étape par étape

Pour configurer des groupes d’applications enfants pour un groupe d’applications personnalisé :

  1. Définissez le nom du groupe d’applications personnalisées dans lequel vous configurez les groupes d’applications enfants.

  2. Ajoutez les groupes d’applications enfants.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show services application-identification application-group application-group-name commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.

Activation ou désactivation de groupes d’applications dans Junos OS Identification des applications

Tous les groupes d’applications sont activés par défaut. Les groupes d’applications prédéfinis sont activés lors de l’installation.

  • Pour les groupes d’applications prédéfinis, vous pouvez désactiver et réactiver un groupe à l’aide de la request services application-identification group commande. Vous ne pouvez pas supprimer une signature prédéfinie ou un groupe de signatures.

    • Pour désactiver un groupe d’applications prédéfini :

      Note:

      Veillez à valider les modifications de configuration ou à restaurer la configuration lorsque vous tentez d’activer une application désactivée ou un groupe d’applications. Les modifications non validées peuvent entraîner l’échec de la configuration.

    • Pour réactiver un groupe d’applications prédéfini désactivé :