SUR CETTE PAGE
Présentation de l’installation du package d’application Junos OS
Téléchargement et installation manuels du package de signatures d’application Junos OS
Téléchargement du package de signature d’application Junos OS à partir d’un serveur proxy
Exemple : Planification des mises à jour du package de signatures d’application
Vérification du package d’application extrait de l’identification de l’application Junos OS
Désinstallation du package d’application d’identification des applications Junos OS
Regroupement des signatures d’applications nouvellement ajoutées
Améliorations apportées à l’installation du package de signatures d’application
Package de signatures d’applications versions majeures et mineures
Informations supplémentaires sur la plate-forme pour les licences
Installer le package de signatures d’application
Un package de signature d’application prédéfini est un module chargeable dynamiquement qui fournit la fonctionnalité de classification des applications et les attributs de protocole associés. Il est hébergé sur un serveur externe et peut être téléchargé sous forme de package et installé sur l’appareil. Pour plus d’informations, consultez les rubriques suivantes :
Présentation de l’installation du package d’application Junos OS
Juniper Networks met régulièrement à jour la base de données prédéfinie des packages de signatures d’applications et la met à la disposition des abonnés sur le site Web de Juniper Networks. Ce package comprend des définitions de signature d’objets d’application connus qui peuvent être utilisées pour identifier les applications à suivre, des politiques de pare-feu, la hiérarchisation de la qualité de service et la détection et prévention d’intrusion (IDP). La base de données contient des objets d’application tels que FTP, DNS, Facebook, Kazaa et de nombreux programmes de messagerie instantanée.
Vous devez télécharger et installer le package de signature d’application avant de configurer les services d’application. Utilisez l’une des options suivantes :
Si vous avez activé l’IDP et que vous prévoyez d’utiliser l’identification de l’application, vous pouvez continuer à exécuter le téléchargement de la base de données de signatures IDP. Reportez-vous à la section Téléchargement et installation du package de signatures d’application Junos OS dans le cadre du package de sécurité IDP.
Si vous disposez d’un appareil compatible IDP et que vous prévoyez d’utiliser l’identification des applications, nous vous recommandons de télécharger uniquement la base de données de signatures IDP. Cela évitera d’avoir deux versions de la base de données de l’application, qui pourraient se désynchroniser.
Si vous n’avez pas activé l’IDP et que vous prévoyez d’utiliser l’identification de l’application, téléchargez et installez la base de données de signatures d’application. Reportez-vous à la section Téléchargement et installation manuels du package de signatures d’application Junos OS ou Exemple : Planification des mises à jour du package de signatures d’application.
Note:Lorsque vous mettez à niveau ou rétrogradez un package de signatures d’application, un message d’erreur s’affiche en cas d’incompatibilité d’ID d’application (numéro d’identification unique d’une signature d’application) entre les bundles proto et si ces applications sont configurées dans les règles AppFW et AppQoS.
Exemple:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
Pour contourner ce problème, désactivez les règles AppFW et AppQoS avant de mettre à niveau ou de rétrograder un package de signatures d’application. Vous pouvez réactiver les règles AppFW et AppQoS une fois la procédure de mise à niveau ou de rétrogradation terminée.
Note:Sur tous les dispositifs de sécurité, les pages J-Web pour AppSecure Services sont préliminaires. Nous vous recommandons d’utiliser l’interface de ligne de commande pour configurer les fonctionnalités d’AppSecure.
Mise à niveau vers l’identification des applications de nouvelle génération
Les équipements de sécurité installés avec les builds de Junos OS avec identification des applications héritées comprennent les packages de sécurité d’identification des applications héritées. Lorsque vous mettez à niveau ces périphériques avec des versions plus récentes, le package de sécurité d’identification des applications de nouvelle génération est installé avec le bundle de protocoles par défaut. L’appareil est automatiquement mis à niveau avec l’identification des applications de nouvelle génération.
Notez ce qui suit à propos du package de sécurité d’identification des applications nouvelle génération :
-
Le package de sécurité d’identification des applications de nouvelle génération introduit des mises à jour incrémentielles par rapport à l’ancien package d’identification des applications. Vous n’êtes pas obligé de supprimer ou de désinstaller des applications existantes.
-
Les applications des versions antérieures de Junos OS peuvent avoir de nouveaux alias dans les versions ultérieures. Les configurations existantes continueront de fonctionner, mais les journaux et les informations associées refléteront les noms mis à jour. Utilisez la
show services application-identification application detail new-application-namecommande pour obtenir les détails des applications. -
Lorsque vous mettez à niveau Junos OS, vous pouvez inclure les
validateoptions ouno-validateavec larequest system software addcommande. Étant donné que les fonctionnalités existantes, qui ne font pas partie de l’identification des applications de nouvelle génération, sont obsolètes, les problèmes d’incompatibilité ne sont pas détectés. -
L’identification des applications de nouvelle génération élimine la génération de nouvelles applications imbriquées et traite les applications imbriquées existantes comme des applications normales. De plus, l’identification des applications nouvelle génération ne prend pas en charge les applications personnalisées ou les groupes d’applications personnalisés. Les configurations existantes impliquant des applications imbriquées, des applications personnalisées ou des groupes d’applications personnalisées sont ignorées par des messages d’avertissement.
Voir aussi
Téléchargement et installation manuels du package de signatures d’application Junos OS
Cet exemple montre comment télécharger le package de signatures d’application, créer une stratégie et l’identifier comme stratégie active.
Exigences
Avant de commencer :
Assurez-vous que votre dispositif de sécurité dispose d’une connexion à Internet pour télécharger les mises à jour du package de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous que vous disposez des licences requises. Voir Prise en charge des licences spécifiques à la plate-formeGuide des licences Juniper. Pour plus d’informations, reportez-vous aux fiches techniques des passerelles de services SRX Series ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.
Cet exemple utilise les composants matériels et logiciels suivants :
Un équipement SRX Series
Junos OS version 12.1X47-D10
Aperçu
Juniper Networks met régulièrement à jour la base de données prédéfinie des packages de signatures d’applications et la met à disposition sur le site Web de Juniper Networks. Ce package inclut des objets d’application qui peuvent être utilisés dans la détection et la prévention d’intrusion (IDP), la stratégie de pare-feu d’application et AppTrack pour faire correspondre le trafic.
Lorsque vous effectuez une mise à niveau vers Junos OS version 21.1 et ultérieure à partir de Junos OS version 20.4 et antérieures, nous vous recommandons de mettre également à jour la base de données des signatures d’identification des applications.
Configuration
Configuration rapide de la CLI
La configuration rapide de l’interface de ligne de commande n’est pas disponible pour cet exemple, car une intervention manuelle est nécessaire lors de la configuration.
Téléchargement et installation de l’identification des applications
Procédure étape par étape
Téléchargez la trousse de demande.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
Télécharger récupère le package d’application à partir du site Web de sécurité Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
Vous pouvez également télécharger une version spécifique du package de demande ou télécharger le package de demande à partir de l’emplacement spécifique en utilisant les options suivantes :
Pour télécharger une version spécifique du package de demande :
user@host>request services application-identification download version version-number
Pour modifier l’URL de téléchargement du package d’application à partir du mode de configuration :
[edit] user@host# set services application-identification download url URL or File Path
Vérifiez l’état du téléchargement.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
Vous pouvez également utiliser le journal système pour afficher le résultat du téléchargement.
Installez le package d’application.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Le package d’application est installé dans la base de données de signatures d’application de l’appareil.
Vérifiez l’état d’installation du package d’application.
La sortie de la commande affiche des informations sur les versions téléchargées et installées du package d’application et du bundle de protocoles.
Pour afficher l’état de l’installation :
user@host>request services application-identification install status
Install application package 2345 succeed
Pour afficher l’état du bundle de protocoles, procédez comme suit :
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
Il est possible qu’une signature d’application ait été supprimée de la version la plus récente d’une base de données de signatures d’application. Si cette signature est utilisée dans une stratégie de pare-feu d’application existante sur votre appareil, l’installation de la nouvelle base de données échouera. Un message d’état de l’installation identifie la signature qui n’est plus valide. Pour mettre à jour la base de données, supprimez toutes les références à la signature supprimée de vos stratégies et groupes existants, puis réexécutez la commande install.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’état d’identification de l’application
But
Vérifiez que la configuration d’identification des applications fonctionne correctement.
Action
À partir du mode opérationnel, entrez la show services application-identification status commande.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Signification
Le Status: Enabled champ indique que l’identification de l’application est activée sur l’appareil.
Téléchargement et installation du package de signatures d’application Junos OS dans le cadre du package de sécurité IDP
Vous pouvez télécharger et installer des signatures d’application via les packages de sécurité de détection et prévention d’intrusion (IDP).
Cet exemple montre comment renforcer la sécurité en téléchargeant et en installant les signatures IDP et le package de signatures d’application. Dans ce cas, le pack de signatures IDP et le pack de signatures d’application sont téléchargés à l’aide d’une seule commande.
Exigences
Avant de commencer :
Assurez-vous que votre pare-feu SRX Series dispose d’une connexion Internet pour télécharger les mises à jour des packages de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de la fonctionnalité d’identification de l’application.
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
Junos OS version 12.1X47-D10
Aperçu
Dans cet exemple, vous téléchargez et installez la base de données de signatures à partir du site Web de Juniper Networks.
Configuration
Téléchargement et installation de la base de données de signatures
Configuration rapide de la CLI
La configuration rapide de l’interface de ligne de commande n’est pas disponible pour cet exemple, car une intervention manuelle est nécessaire lors de la configuration.
Procédure étape par étape
Pour télécharger et installer les signatures d’application :
Téléchargez la base de données de signatures.
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
Note:Le téléchargement de la base de données peut prendre un certain temps en fonction de la taille de la base de données et de la vitesse de votre connexion Internet.
Vérifiez l’état de téléchargement du package de sécurité.
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
Installez la base de données d’attaque.
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
Note:L’installation de la base de données d’attaque peut prendre un certain temps en fonction de la taille de la base de données de sécurité.
Vérifiez l’état d’installation de la base de données d’attaque. La sortie de la commande affiche des informations sur les versions téléchargées et installées de la base de données d’attaque.
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Confirmez la version de votre package de sécurité IDP.
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
Confirmez la version de votre package d’identification de la demande.
[edit]user@host# run show services application-identification versionApplication package version: 1884
Vérification
Vérifiez que le package de signatures d’application est correctement mis à jour.
Vérification du dossier de signature de la demande
But
Vérifiez la version d’identification de l’application de services.
Action
À partir du mode opérationnel, entrez la show services application-identification version commande.
user@host> show services application-identification version
Application package version: 1884
Signification
L’exemple de sortie montre que la version d’identification de l’application de services est 1884.
Téléchargement du package de signature d’application Junos OS à partir d’un serveur proxy
Cet exemple montre comment créer un profil proxy et l’utiliser pour télécharger le package de signature d’application à partir d’un serveur proxy.
Configuration
Procédure étape par étape
Créez un profil proxy et appliquez-le au téléchargement du package d’application via le serveur proxy.
Créez un profil proxy pour le protocole HTTP.
user@host#set services proxy profile Profile-1 protocol httpSpécifiez l’adresse IP du serveur proxy.
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1Spécifiez le numéro de port utilisé par le serveur proxy.
user@host#set services proxy profile Profile-1 protocol http port 3128Téléchargez le package d’application à partir de l’hôte proxy.
user@host#set services application-identification download proxy-profile Profile-1
Procédure étape par étape
Vous pouvez désactiver le serveur proxy pour le téléchargement du package de signature d’application lorsqu’il n’est pas nécessaire.
Désactivez le serveur proxy pour le téléchargement de la signature de l’application.
user@host#delete services application-identification download proxy-profile p1
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Licence valide de fonctionnalité d’identification d’application installée sur un pare-feu SRX Series.
Pare-feu SRX Series avec Junos OS version 18.3R1 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 18.3R1.
Aperçu
Vous devez télécharger et installer le package de signatures d’application hébergé sur un serveur externe sur le pare-feu SRX Series. À partir de la version 18.3R1 de Junos OS, vous pouvez télécharger le package de signatures d’application à l’aide d’un serveur proxy.
Pour activer le téléchargement du package de signatures à partir du serveur proxy :
Configurez un profil avec les détails de l’hôte et du port du serveur proxy à l’aide de la
set services proxy profilecommande.Utilisez la
set services application-identification download proxy-profile profile-namecommande pour vous connecter au serveur proxy et télécharger le package de signature de l’application.
Lorsque vous téléchargez le package de signatures, la demande est acheminée via l’hôte proxy vers le serveur hébergeant le package de signatures. L’hôte proxy relaie la réponse de l’hôte réel. Le téléchargement récupère le package d’application à partir du site Web de sécurité Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
La prise en charge de la configuration de profil proxy n’est disponible que pour les connexions HTTP.
Dans cet exemple, vous créez un profil proxy et faites référence au profil lorsque vous téléchargez le package de signature d’application à partir de l’hôte externe. Le Tableau 1 fournit le détail des paramètres utilisés dans cet exemple.
Paramètre |
Nom |
|---|---|
Nom du profil |
Profil-1 |
Adresse IP du serveur proxy |
5.0.0.1 |
Numéro de port du serveur proxy |
3128 |
Vérification
- Vérification du téléchargement de la signature de l’application via le serveur proxy
- Vérification de l’état de téléchargement de la signature de l’application
Vérification du téléchargement de la signature de l’application via le serveur proxy
But
Affichez les détails du téléchargement du package de signature d’application via un serveur proxy.
Action
À partir du mode opérationnel, entrez la show services application-identification status commande.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
Signification
Dans la sortie de la commande, vous pouvez trouver les détails du profil proxy dans Proxy Profile les champs et Proxy Address .
Vérification de l’état de téléchargement de la signature de l’application
But
Vérifiez l’état de téléchargement du package d’application.
Action
À partir du mode opérationnel, entrez la request services application-identification download status commande.
user@host> request services application-identification download statusApplication package 3058 is downloaded successfully
Signification
La commande affiche l’état de téléchargement du package de signature de l’application.
Exemple : Planification des mises à jour du package de signatures d’application
Cet exemple montre comment configurer les mises à jour automatiques du package de signature d’application prédéfini.
Exigences
Avant de commencer :
Assurez-vous que votre dispositif de sécurité dispose d’une connexion à Internet pour télécharger les mises à jour du package de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de la fonctionnalité d’identification de l’application.
Aperçu
Dans cet exemple, vous souhaitez télécharger régulièrement la version actuelle du package de signatures d’application. Le téléchargement devrait commencer à 23h59 le 10 décembre. Pour conserver les informations les plus récentes, vous souhaitez mettre à jour le package automatiquement tous les 2 jours à partir du site intranet de votre entreprise.
Configuration
Procédure
Configuration rapide de l’interface graphique
Pour configurer le téléchargement automatique et la mise à jour périodique avec l’interface J-Web :
Procédure étape par étape
Entrée
Configure>Security>AppSecure Settingspour afficher la page Signature des applications.Cliquez sur
Global Settings.Cliquez sur l’onglet
Download Scheduleret modifiez les champs suivants :URL: https://signatures.juniper.net/cgi-bin/index.cgi
Activer la mise à jour planifiée : cochez la case.
Intervalle: 48
Cliquez pour
Reset Settingeffacer l’heure de début existante, entrez la nouvelle heure de début au format AAAAA-MM-JJ.hh :mm, puis cliquez surOK.Heure de début : 2019-06-30.10:00:00
Cliquez sur ce bouton
Commit Options>Commitpour valider vos modifications.Cliquez sur ce bouton
Check Statuspour suivre la progression d’un téléchargement ou d’une mise à jour en cours, ou pour vérifier le résultat de la dernière mise à jour.
Procédure étape par étape
Pour utiliser la CLI afin de mettre à jour automatiquement le package de signatures d’application Junos OS :
Spécifiez l’URL du package de sécurité. Le pack de sécurité comprend le détecteur ainsi que les derniers objets et groupes d’attaque. L’instruction suivante spécifie https://signatures.juniper.net/cgi-bin/index.cgi comme URL de téléchargement des mises à jour de la base de données de signatures :
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
Spécifiez l’heure et l’intervalle de téléchargement. L’instruction suivante définit l’intervalle sur 48 heures et l’heure de début sur 10 h le 10 décembre :
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que le package de signature de l’application est correctement mis à jour, entrez la show services application-identification version commande. Consultez le numéro de version et les détails de la dernière mise à jour.
Planification des mises à jour du package de signatures d’application dans le cadre du package de sécurité IDP
Les instructions de configuration de cet exemple décrivent comment configurer les mises à jour automatiques du package de signatures d’identification d’application (qui fait partie du package de sécurité IDP) à une date et une heure spécifiées.
Exigences
Avant de commencer :
Assurez-vous que votre dispositif de sécurité dispose d’une connexion à Internet pour télécharger les mises à jour du package de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de la fonctionnalité d’identification de l’application.
Aperçu
Dans cet exemple, vous souhaitez télécharger régulièrement la version actuelle du package de signatures d’application. Le téléchargement devrait commencer à 23h59 le 10 décembre. Pour conserver les informations les plus récentes, vous souhaitez mettre à jour le package automatiquement tous les 2 jours à partir du site intranet de votre entreprise.
Configuration
Procédure
Configuration rapide de l’interface graphique
Pour configurer le téléchargement automatique et la mise à jour périodique avec l’interface J-Web :
Procédure étape par étape
Entrée
Configure>Security>IDP>Signature Updatespour afficher la page Configuration de la signature de Security IDP.Cliquez sur
Download Settingsl’URL et modifiez-la : https://signatures.juniper.net/cgi-bin/index.cgiCliquez sur l’onglet
Auto Download Settingset modifiez les champs suivants :Intervalle: 48
Heure de début : 2013-12-10.23:59:55
Activer la mise à jour planifiée : cochez la case.
Cliquez pour
Reset Settingeffacer les champs existants, saisissez les nouvelles valeurs. Cliquez surOK.Cliquez sur ce bouton
Commit Options>Commitpour valider vos modifications.Cliquez sur ce bouton
Check Statuspour suivre la progression d’un téléchargement ou d’une mise à jour en cours, ou pour vérifier le résultat de la dernière mise à jour.
Procédure étape par étape
Pour utiliser la CLI afin de mettre à jour automatiquement le package de signatures d’application Junos OS :
Spécifiez l’URL du package de sécurité. Le pack de sécurité comprend le détecteur ainsi que les derniers objets et groupes d’attaque. L’instruction suivante spécifie https://signatures.juniper.net/cgi-bin/index.cgi comme URL de téléchargement des mises à jour de la base de données de signatures :
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Spécifiez l’heure et l’intervalle de téléchargement. L’instruction suivante définit l’intervalle sur 48 heures et l’heure de début sur 23 h 55 le 10 décembre 2013 :
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
Activez le téléchargement et la mise à jour automatiques du package de sécurité.
[edit] user@host# set security idp security-package automatic enable
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Vérifiez que le package de signatures d’application est correctement mis à jour.
Vérification du dossier de signature de la demande
But
Vérifier la version d’identification de l’application des services
Action
À partir du mode opérationnel, entrez la show services application-identification version commande.
user@host> show services application-identification version
Application package version: 1884
Signification
L’exemple de sortie montre que la version d’identification de l’application de services est 1884.
Exemple : téléchargement et installation du package d’identification d’application en mode cluster de châssis
Cet exemple montre comment télécharger et installer la base de données du package de signatures d’application sur un périphérique fonctionnant en mode cluster de châssis.
Téléchargement et installation du package d’identification d’application
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous au Guide de l’utilisateur de la CLI.
Pour télécharger et installer un package d’application :
Téléchargez le package de demande sur le nœud principal.
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
Vérifiez l’état de téléchargement du package d’application.
{primary:node0}[edit]user@host>request services application-identification download statusUne fois le téléchargement réussi, le message suivant s’affiche
Application package 2345 is downloaded successfully
Le package d’application est installé dans la base de données de signatures d’application sur le nœud principal, et les fichiers d’identification d’application sont synchronisés sur les nœuds principal et secondaire.
Mettez à jour le package d’application à l’aide
installde la commande.{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Vérifiez l’état de mise à jour du package d’application. La sortie de la commande affiche des informations sur les versions téléchargées et installées du package d’application.
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
Note:Il est possible qu’une signature d’application soit supprimée de la nouvelle version d’une base de données de signatures d’application. Si cette signature est utilisée dans une stratégie de pare-feu d’application existante sur votre appareil, l’installation de la nouvelle base de données échouera. Un message d’état de l’installation identifie la signature qui n’est plus valide. Pour mettre à jour la base de données, supprimez toutes les références à la signature supprimée de vos stratégies et groupes existants, puis réexécutez la commande install.
Note:Lors du téléchargement du package de signatures d’application sur le nœud principal, il peut arriver que, en raison d’un basculement inattendu, le nœud principal ne puisse pas télécharger complètement le package de signatures d’application. Pour contourner ce problème, vous devez supprimer le fichier /var/db/appid/sec-download/.apppack_state et redémarrer l’appareil.
Procédure étape par étape
Pour désinstaller un package d’application :
Désinstallez le package d’application à l’aide
uninstallde la commande.{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Vérifiez l’état de désinstallation du package d’application.
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
Vérifiez l’état de désinstallation du bundle de protocoles :
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
Exigences
Avant de commencer :
Définissez l’ID de nœud du cluster de châssis et l’ID de cluster. Reportez-vous à la section Exemple : Définition de l’ID de nœud et de l’ID de cluster pour les équipements de sécurité d’un cluster de châssis .
Assurez-vous que votre dispositif de sécurité dispose d’une connexion à Internet pour télécharger les mises à jour du package de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de fonctionnalité d’identification des applications.
Aperçu
Si vous utilisez l’identification d’application, vous pouvez télécharger la base de données prédéfinie du package de signatures d’application. Juniper Networks met régulièrement à jour la base de données et la met à disposition sur le site Web de Juniper Networks. Ce package comprend des objets d’application qui peuvent être utilisés pour faire correspondre le trafic dans IDP, les politiques de pare-feu d’application et le suivi des applications. Pour plus d’informations, reportez-vous à la section Présentation de l’installation du package d’application Junos OS.
Lorsque vous téléchargez le package de sécurité d’identification d’application sur un périphérique fonctionnant en mode cluster de châssis, le package de sécurité est téléchargé sur le nœud principal, puis synchronisé avec le nœud secondaire.
Vérification du package d’application extrait de l’identification de l’application Junos OS
But
Une fois le téléchargement et l’installation réussis du package d’application, utilisez les commandes suivantes pour afficher le contenu prédéfini du package de signatures d’application.
Action
Consultez la version actuelle de la trousse de demande :
show services application-identification version
Application package version: 1608
Consultez l’état actuel de la trousse de demande :
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Voir aussi
Désinstallation du package d’application d’identification des applications Junos OS
Vous pouvez désinstaller le package d’application prédéfini. L’opération de désinstallation échoue si des stratégies de sécurité actives sont référencées dans les signatures d’application prédéfinies dans la configuration de Junos OS
Pour désinstaller le package d’application :
Le package d’applications et le bundle de protocoles sont désinstallés sur l’appareil. Pour réinstaller l’identification de l’application, vous devez télécharger le package de l’application et le réinstaller à nouveau.
Voir aussi
Restauration du package de signatures d’application
À partir de Junos OS version 20.3R1, vous pouvez restaurer la version actuelle du pack de signatures d’application à la version précédente en utilisant l’une des méthodes suivantes :
-
Restauration automatique
-
Restauration manuelle
Restauration automatique
En cas d’échec de l’installation du package de signatures d’application, le système revient automatiquement à la version précédente du package de signatures d’application actuellement installé sur votre dispositif de sécurité.
Lorsque vous téléchargez et installez le package de signature d’application sur un périphérique fonctionnant en mode cluster de châssis, si l’installation échoue sur un nœud, le système revient à la version précédente de la signature d’application. L’appareil affiche une alarme mineure sur le même nœud où l’installation échoue et où la restauration réussit.
Exemple:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
Vérifiez l’état de restauration du package de signature de l’application lorsque l’installation a échoué et que la restauration s’est terminée avec succès.
user@host> request services application-identification rollback status
Application package rollback to version 3297 successRestauration manuelle
Vous pouvez restaurer manuellement le package de signatures d’application à la version installée précédente en procédant comme suit :
Restaurez le package de signatures d’application à la version précédente.
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusVérifiez l’état de la restauration.
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
Notez les points suivants pour la restauration manuelle d’un package de signatures d’application :
-
Une fois que vous avez restauré manuellement la version du package de signatures d’application de la version Y à la version X, la mise à jour automatique planifiée d’un package de signatures d’application est ignorée jusqu’à ce qu’une nouvelle version Z, supérieure à la version Y, soit disponible.
-
Vous pouvez télécharger et installer des signatures d’application via les packages de sécurité de détection et prévention d’intrusion (IDP). Dans ce cas, si l’installation d’AppID échoue pendant l’installation de l’IDP, AppID revient à la version précédente et l’installation d’IDP se poursuit avec la version demandée. Dans ce cas, IDP et AppID peuvent avoir des versions différentes.
-
L’installation du package de signatures de l’application ne se poursuit pas en cas d’altération, de suppression ou de modification des fichiers du package de signatures téléchargés. Dans ce cas, le message suivant s’affiche :
user@host>request services application-identification install error: Checksum validation failed for downloaded files. -
Lorsque votre dispositif de sécurité n’inclut aucun package de signatures d’application de version précédente et que vous tentez de restaurer le package de signatures d’application, le message d’erreur suivant s’affiche :
user@host>request services application-identification install No application package available to rollback.
Regroupement des signatures d’applications nouvellement ajoutées
Nous avons amélioré le package de signatures d’application en regroupant toutes les signatures d’application nouvellement ajoutées sous junos:all-new-apps groupe. Lorsque vous téléchargez le package de signature d’application sur votre dispositif de sécurité, l’ensemble du groupe d’applications prédéfini est téléchargé et disponible pour que vous puissiez le configurer dans la stratégie de sécurité, comme illustré dans l’exemple ci-dessous :
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
Nous avons également introduit une liste de balises d’application dans le package de signature d’application. Vous pouvez regrouper des applications similaires sur des balises prédéfinies basées sur des attributs d’application. Ainsi, vous pouvez réutiliser les groupes d’applications de manière cohérente lorsque vous définissez des stratégies de sécurité.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
Exemple
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
Dans l’exemple ci-dessus, vous configurez un groupe d’applications basé sur des balises avec des balises remote-access et web un autre groupe de balises avec social_networking. Toutes les applications qui ont des balises comme ou web remote-access et social_networking seront ajoutées au groupe d’applications.
Le regroupement d’applications similaires en fonction de balises vous permet de réutiliser systématiquement les groupes d’applications lors de la définition des stratégies de sécurité.
- Migration des nouvelles applications vers les applications normales :
- Améliorations apportées au package de signatures d’application
Migration des nouvelles applications vers les applications normales :
Le groupe junos :all-new-apps contient un ensemble de toutes les nouvelles applications dans le pack de signatures d’applications installé sur votre périphérique de sécurité par rapport au pack de signatures précédemment installé. Si vous décidez d’installer une version plus récente du package de signature d’application, cette version contiendra un nouvel ensemble d’applications dans le groupe junos :all-new-apps.
Vous pouvez choisir de migrer les nouvelles applications vers des applications normales dans votre package de signature d’application existant. Cette migration vous aidera à maintenir de manière cohérente les règles de stratégie de sécurité qui sont créées spécifiquement pour les nouvelles applications chaque fois que vous effectuez une mise à niveau vers des versions de signature d’application plus récentes à l’avenir.
Vous pouvez utiliser les nouvelles commandes suivantes pour déplacer les applications marquées comme nouvelles applications vers les applications normales :
-
Pour migrer uniquement les nouvelles applications spécifiées en tant qu’application normale, utilisez la commande suivante :
request services application-identification new-to-production applications-list [application-1 application-2]
-
Pour migrer toutes les nouvelles applications en tant qu’applications normales, utilisez la commande suivante :
request services application-identification new-to-production all
Après avoir exécuté ces commandes, l’application ne sera plus marquée comme nouvelle et ne fera plus partie du junos:all-new-apps groupe.
Améliorations apportées au package de signatures d’application
Nous avons apporté les améliorations suivantes au package de signature d'application :
- Prise en charge de la propagation du contexte des données FTP
- Ignorer l’inspection approfondie des paquets (DPI) pour les sessions déchargées par le routage avancé basé sur des stratégies (APBR) en cas d’accès au cache du système d’application (ASC). (Lorsque seul le service APBR est activé.)
- Installation forcée du pack de signatures de l’application sur la même version du pack de signatures. Voir les services de demande d’identification de l’application installer, ignorer la vérification des versions dupliquées
- Affichage de la date de publication du pack de signatures de l’application dans la sortie de la commande CLI. Voir la version d’identification de l’application show services
- Affichage de la liste des signatures d’application obsolètes disponibles dans le pack de signatures installé dans la sortie de la commande CLI. Voir afficher les services, identification des applications, applications obsolètes,
Améliorations apportées à l’installation du package de signatures d’application
Vous pouvez utiliser les options d’installation de package de signature d’application améliorées suivantes :
- Échec de l’installation du package de signatures d’application
- Amélioration de la restauration automatique
- Installation du package de signatures d’application sur un cluster de châssis
Échec de l’installation du package de signatures d’application
Lors de l’installation du package de signature d’application, si une erreur se produit ou si le processus se bloque de manière inattendue, l’installation s’arrête automatiquement et revient à la version précédemment installée.
Le système affiche les messages d’erreur suivants lorsque vous essayez de vérifier l’état de téléchargement du package de signatures d’application défectueux :
- Avec la version spécifiée du package de signature de l’application :
user@host> request services application-identification download status Requested application package 3501 failed data plane validation. Please download another version
- Sans version spécifiée du package de signature d’application :
user@host> request services application-identification download status Downloading application package (latest) failed with error (Requested application package 3657 failed data plane validation. Please download another version)
Le système affiche les messages suivants lorsque vous vérifiez l’état d’installation de la signature de l’application :
-
Lorsque l’installation de la trousse de demande est terminée et qu’elle est en cours de validation pour tout défaut :
user@host> request services application-identification install status Data plane validation of application package version (3698) is in progress ...
-
Lorsque vous essayez d’installer le package de signature de l’application qui est marqué comme défectueux :
user@host> request services application-identification install status Install Application package 3501 and Protocol bundle failed (Requested application package 3501 failed data plane validation. Please install another version)
-
Lorsque le package de signatures de l’application installé est détecté comme défectueux :
user@host> request services application-identification install status Install Application package 3656 and Protocol bundle failed ( Install Application package (3656) failed in data plane validation, auto rollback triggered)
Vous pouvez afficher les détails de la version ayant échoué à l’aide de la commande suivante :
user@host> show services application-identification version detail Application package version: 3654 Release date: Thu Nov 23 14:07:48 2023 UTC Dataplane validation failure version details: Application package version 3620 PB Version 1.550.2-43 (build date Apr 5 2023) Engine version 5.7.1-47 (build date Mar 30 2023)
Pour planifier la mise à jour automatique du package de signatures d’application : pendant l’installation en cours, et si le package d’installation rencontre des problèmes, le système restaure le package de signatures d’application à la version précédente. Lors de la mise à jour automatique suivante, le système ne continue pas avec le package de signatures problématique pour le téléchargement et l’installation.
Amélioration de la restauration automatique
La fonctionnalité de restauration automatique permet désormais au système de revenir à une version précédemment fonctionnelle du package de signatures d’application. En outre, il conserve la version de restauration précédemment désignée en cas de problème lors de l’installation du package de signatures d’application
Par exemple, si votre appareil dispose actuellement de la version Y du package de signature d’application et que vous avez défini la version de restauration sur X, voici ce qui se passe lors d’une tentative d’installation :
- Vous essayez d’installer la nouvelle version Z.
- Si des problèmes surviennent lors de l’installation ou si l’installation de la version Z échoue, le système revient automatiquement à la version actuelle Y.
- La version X précédemment désignée reste inchangée.
De cette façon, le système assure une transition en douceur en revenant à une version de travail connue si nécessaire.
Installation du package de signatures d’application sur un cluster de châssis
Lors de l’utilisation d’une configuration de cluster de châssis, le système installe d’abord le package de signatures d’application sur le nœud principal et recherche les éventuels problèmes.
L’installation du package de signature d’application démarre immédiatement sur le nœud principal. Pendant l’installation, le noeud secondaire attend que le noeud principal termine la validation du package d’installation. Si la validation réussit, le système procède à l’installation du même package sur le nœud secondaire, sinon, il ignore l’installation.
Vous pouvez vérifier l’état de l’installation à l’aide de la commande suivante :
user@host> request services application-identification install status node0: -------------------------------------------------------------------------- Checking compatibility of application package version 3577 ... node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the application package ...
Si l’installation échoue sur le noeud principal, la restauration n’a lieu que sur le noeud principal. De même, si l’installation échoue sur le noeud secondaire, la restauration est déclenchée sur le noeud secondaire uniquement.
En cas d’échec de l’installation, le système affiche les messages suivants :
noeud principal
user@host> request services application-identification install status Install Application package 3450 and Protocol bundle failed ( Install Application package (3450) failed in data plane validation, auto rollback triggered)
noeud secondaire
user@host> request services application-identification install status Application package(3420) installation was skipped due to failure in the master RE installation
Lorsqu’un noeud passe de l’état primaire à l’état secondaire alors que l’installation est en cours sur le noeud principal, le système affiche le message suivant :
noeud principal
user@host> request services application-identification install status
Install Application package 3440 and Protocol bundle failed ( Install Application package (3440) failed due to changes in the master ship of the cluster)noeud secondaire
user@host> request services application-identification install status
Application package (3320) installation was skipped due to changes in the master ship of the clusterSi le système principal ne peut pas mettre à jour le nœud secondaire dans un délai d’environ 35 minutes en raison de problèmes inattendus, le processus d’installation sur le système secondaire sera annulé.
user@host> request services application-identification install status Application package(3600) installation was skipped due to master RE did not respond within the timeout
Une fois que le noeud principal a terminé l’installation et la validation, le système lance l’installation sur le noeud secondaire. En cas de changement dans les rôles principal et secondaire en raison d’un basculement, le nœud secondaire précédent (désormais principal) continue d’installer le package de signature.
Package de signatures d’applications versions majeures et mineures
Nous avons amélioré l'installation du package de signatures d'applications avec les fonctionnalités suivantes :
- État de l’installation sur le serveur de package de signatures
- Ensemble Signature Majeur et Mineur
- Téléchargement d’un package Signature réservé aux mineurs
- Rétrogradation de la version du package de signatures d’application
- Mise à jour de l’identification des applications hors ligne (AppID)
- Message Syslog pour les applications obsolètes
- Répertorier les groupes d’applications obsolètes
État de l’installation sur le serveur de package de signatures
Le moteur de signature d’application envoie l’état au serveur de package de signatures pour la réussite ou l’échec de l’installation. Lors de l’installation du package de signature d’application, si des erreurs sont détectées dans le package, l’installation s’arrête et revient à la version active précédente et l’état est envoyé au serveur. Si plusieurs périphériques signalent un package de signatures d’application défectueux, le serveur analyse ces données, marque le package comme non valide et empêche tout téléchargement futur.
Le marquage d’un package de signatures comme non valide n’est disponible que pour le package de signatures principal.
Le package de signatures marqué comme non valide ne sera pas disponible pour les futurs téléchargements uniquement par CLI. Le téléchargement et l’installation par Security Director et les téléchargements hors connexion affichent un message d’erreur indiquant que le package d’application demandé n’est pas disponible au téléchargement.
Ensemble Signature Majeur et Mineur
Désormais, nous prenons en charge deux types de packages de signatures sont disponibles pour les mises à jour :
- Les principales mises à jour incluent les signatures IDP, le détecteur IDP et le prototype d’identification des applications.
- Les mises à jour mineures comprennent les mises à jour régulières des signatures.
Prenons un exemple pour comprendre la différence entre les mises à jour majeures et mineures :
- La version du package de signature avec le bundle de protocoles publié a la version 3585. Il s’agit d’une mise à jour majeure. Tous les paquets de signatures mineures postérieurs à 3585 contiennent ce bundle de protocoles mis à jour jusqu’à ce que nous ayons la prochaine mise à jour majeure du package de signatures.
- La prochaine version du package inclut le détecteur IDP et a la version 3598. Il s’agit là encore d’une mise à jour majeure. Tous les paquets de signatures mineures après 3598 contiennent ce détecteur mis à jour jusqu’à ce que nous ayons la prochaine mise à jour majeure.
Si votre pare-feu dispose d’une version majeure du pack de signatures 3598 et que vous tentez de télécharger une version mineure telle que 3588 à l’aide de la méthode de téléchargement manuelle ou du téléchargement automatique, le téléchargement échoue avec le message d’erreur suivant :
user@host> request services application-identification download status Downloading application package (latest) failed with error (No suitable version available for this device, please re-try the download manually without minor)
Téléchargement d’un package Signature réservé aux mineurs
Vous pouvez télécharger un package de signatures d’application marqué comme mineur. Le comportement par défaut ne vérifie pas la version majeure ou mineure.
Pour paramétrer le téléchargement automatique du package de signature mineure :
[edit] user@host# set services application-identification download automatic minor-only
La spécification minor-only dans la commande télécharge la version mineure du package de signatures.
Pour télécharger le package de signature mineure :
[edit] user@host> request services application-identification download minor-only
La spécification minor-only dans la commande télécharge la version mineure du package de signatures.
Vérifiez les versions disponibles du package de signature :
user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
La commande affiche toutes les versions disponibles du package de signatures d’application.
Vérifiez les versions disponibles du package de signature :
user@host> show services application-identification version Application package version: 3666 (Major)
La commande affiche toutes les dernières versions du package de signature d’application principal.
Voir la version de votre package de signature :
user@host> show services application-identification status Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 2097152 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3666 (Major) Release date Mon Oct 10 14:55:29 2022 UTC Status Active PB Version 1.550.2-31 (build date Oct 10 2022) Engine version 5.7.0-47 (build date Mar 25 2022) Micro-App Version 1.1.0-0 Sessions 0 Custom-App Infra Version 1.0.0-0 Rollback version details: Application package version 3662 (Major) PB Version 1.550.2-43 Engine version 5.7.1-47 Micro-App Version 1.2.0-1 Custom-App Infra Version 1.0.0-1
La commande affiche la version du package de signature de l’application installée sur votre appareil dans Application package version le champ.
Vérifiez la version du package de signatures sur le site Web de sécurité de Juniper Networks.
user@host> request services application-identification download check-server Download server URL: https://signatures.juniper.net/cgi-bin/index.cgi Sigpack Version: 3666 (Major) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09Sigpack Version: 3659 (Minor) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09
La commande affiche la dernière version des packages de signatures d’application majeure et mineure, disponibles sur le site Web de sécurité de Juniper Networks.
Rétrogradation de la version du package de signatures d’application
Vous pouvez rétrograder la version de votre package de signatures d’application en spécifiant la version du package de signatures. Pour rétrograder, procédez comme suit :
Vérifiez les versions disponibles du package de signatures à l’aide de la
show services application-identification recent-appid-sigpack-versionscommande.user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
Exécutez la commande pour télécharger la version requise :
user@host> request services application-identification download version <old-ver>
Mise à jour de l’identification des applications hors ligne (AppID)
La mise à jour de l’identification des applications hors ligne (AppID) et les fonctionnalités associées améliorent considérablement la gérabilité et la facilité d’entretien des systèmes réseau, en particulier dans les environnements à connectivité limitée.
La fonctionnalité de mise à jour AppID hors connexion vous permet de mettre à jour le package de signatures à partir d’un fichier tar local à l’aide de la commande CLI suivante :
user@host> request services application-identification offline-download package-path <path>
Lorsque vous entrez cette commande, le système décompresse le package de signatures et place les fichiers extraits aux emplacements appropriés sur l’appareil.
Exemple:
- Copiez ou téléchargez le package de candidature hors ligne à partir de l’URL : https://support.juniper.net/support/downloads/?p=282
- Entrez la commande pour extraire le package de signature :
user@host> request services application-identification offline-download package-path /var/tmp/282_3722_offline-update.tar.gz Please use command "request services application-identification offline-download status" to check offline download status
- Vérifiez l’état du téléchargement hors ligne du package de signature :
user@host> request services application-identification offline-download status AppID sigpack offline download is in progress...
user@host> request services application-identification offline-download status AppID sigpack offline download : Complete
Le système affiche le message d’erreur suivant lorsque le chemin d’accès au package n’est pas correct :
AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)
- Utilisez la
request services application-identification installcommande pour installer le package de signatures sur l’appareil.
L’opération se termine par un message du journal système indiquant si la mise à jour a réussi ou si elle a rencontré des erreurs, fournissant un retour immédiat pour le dépannage. Exemple de messages syslog :
- Le
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Completeconfirme une mise à jour réussie. - Le
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)indique un échec ainsi qu’un message d’erreur spécifique
Cette fonctionnalité est particulièrement utile dans les environnements où la connectivité Internet est limitée ou inexistante, tels que les sites distants ou les installations sécurisées.
Message Syslog pour les applications obsolètes
Vous pouvez désormais gérer les applications et les groupes d’applications obsolètes. Après avoir effectué une mise à jour du pack de signatures, un message du journal système répertorie les applications obsolètes, ce qui vous aide à identifier et à gérer les applications obsolètes susceptibles d’avoir un impact sur vos stratégies de sécurité.
Lors de la gestion d’applications obsolètes, le message APPIDD_DEPRECATED_APPLIST: Obsolete apps: app1, app2, app3, app4... du journal système répertorie les applications obsolètes, ce qui vous permet de prendre les mesures appropriées.
Répertorier les groupes d’applications obsolètes
Vous pouvez répertorier tous les groupes d’applications obsolètes à l’aide de la commande suivante :
user@host> show services application-identification group obsolete-groupsLa commande vous permet de répertorier les groupes d’applications obsolètes, en veillant à ce que ces groupes n’interfèrent pas avec la configuration des périphériques et en évitant les échecs de validation dus à des groupes obsolètes cachés.
Vous pouvez utiliser le message de journal système suivant pour afficher les groupes d’applications obsolètes :
APPIDD_DEPRECATED_GROUPS: Obsolete groups: group1, group2, …
Informations supplémentaires sur la plate-forme pour les licences
Une clé de licence distincte pour la sécurité des applications n’est plus nécessaire. Au lieu de cela, vous devez utiliser la licence logicielle JSE ou JSB appropriée correspondant à votre produit et à votre équipement (Tableaux 2 et 3). Cette licence vous permet de :
- Télécharger et installer les mises à jour de la base de données de signatures AppID
- Accédez aux fonctionnalités d’AppSecure telles qu’AppFW, AppQoS et AppTrack
Il s’agit d’un changement par rapport au modèle précédent, où une licence d’abonnement dédiée à Application Security devait être achetée et installée séparément sur chaque appareil.
La sécurité des applications fait partie du package de licences logicielles Junos Software Enhanced (JSE) pour les pare-feu SRX Series illustrés dans le Tableau 2 .
| Plates-formes | À partir de la version |
| appareils SRX4100 et SRX4200 | Junos OS version 15.1X49-D65 et Junos OS version 17.3R1 |
| Appareils SRX1500, SRX300, SRX320, SRX340 et SRX345 | Junos OS version 15.1X49-D30 et Junos OS version 17.3R1 |
| SRX5400, SRX5600, SRX5800, vSRX et cSRX | Junos OS version 25.2R1 |
La sécurité des applications fait partie du package de licences logicielles Junos Software Base (JSB) pour les pare-feu SRX Series illustrés dans le tableau 3.
| Plates-formes | À partir de la version |
| SRX380, SRX4600 | Junos OS version 20.2R1 |
| SRX1600, SRX2300 SRX4300 | Junos OS version 23.4R1 |
| SRX4120 | Junos OS version 25.2R1 |
Pour en savoir plus sur les licences logicielles Junos OS, reportez-vous au Guide des licences Juniper.
Pour plus d’informations, reportez-vous aux fiches techniques des passerelles de services SRX Series ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.
Reportez-vous à l’Explorateur de fonctionnalités pour connaître les fonctionnalités prises en charge sur un produit dans une version logicielle
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
junos:all-new-apps groupe.