SUR CETTE PAGE
Comprendre l’installation du package d’applications Junos OS
Installation et vérification des licences pour un package de signatures d’application
Téléchargement et installation manuels du package de signatures d’application Junos OS
Téléchargement du package de signatures d’applications Junos OS à partir d’un serveur proxy
Exemple : planification des mises à jour du package de signatures d’application
Vérification de l’identification de l’application Junos OS Package d’applications extrait
Désinstallation du package d’applications d’identification d’application Junos OS
Groupement des signatures d’application nouvellement ajoutées
Signatures d’application prédéfinies pour l’identification des applications
Le package de signatures d’application prédéfinies est un module chargeable dynamiquement qui fournit des fonctionnalités de classification des applications et les attributs de protocole associés. Il est hébergé sur un serveur externe et peut être téléchargé en tant que package et installé sur l’appareil. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre l’installation du package d’applications Junos OS
Juniper Networks met régulièrement à jour la base de données prédéfinie des packages de signatures d’applications et la met à la disposition des abonnés sur le site Web de Juniper Networks. Ce package inclut des définitions de signature d’objets d’application connus qui peuvent être utilisées pour identifier les applications à suivre, les stratégies de pare-feu, la hiérarchisation de la qualité de service et la détection et la prévention des intrusions (IDP). La base de données contient des objets d’application tels que FTP, DNS, Facebook, Kazaa et de nombreux programmes de messagerie instantanée.
Vous devez télécharger et installer le package de signatures d’application avant de configurer les services d’application. Le package de signature de l’application est directement inclus dans l’installation IDP et n’a pas besoin d’être téléchargé séparément.
Si IDP est activé et que vous prévoyez d’utiliser l’identification d’application, vous pouvez continuer à exécuter le téléchargement de la base de données de signatures IDP. Pour télécharger la base de données de signatures IDP, exécutez la commande suivante :
request security idp security-package download. Le téléchargement du package de l’application peut être effectué manuellement ou automatiquement. Reportez-vous à la section Téléchargement et installation du package Junos OS Application Signature dans le cadre du package de sécurité IDP.Note:Si vous disposez d’un périphérique compatible IDP et prévoyez d’utiliser l’identification d’application, nous vous recommandons de télécharger uniquement la base de données des signatures IDP. Cela évitera d’avoir deux versions de la base de données d’application, qui pourraient devenir désynchronisées.
Si IDP n’est pas activé et que vous prévoyez d’utiliser l’identification d’application, vous pouvez exécuter les commandes suivantes :
request services application-identification downloadetrequest services application-identification install. Ces commandes téléchargent la base de données des signatures d’application et l’installent sur l’appareil.Vous pouvez effectuer le téléchargement manuellement ou automatiquement. Lorsque vous téléchargez le package extrait manuellement, vous pouvez modifier l’URL de téléchargement.
Après avoir téléchargé et installé le package de signatures de l’application, utilisez les commandes CLI pour télécharger et installer les mises à jour de la base de données, et afficher un résumé et des informations détaillées sur l’application.
Reportez-vous à la section Téléchargement et installation manuelle du package de signatures d’applications Junos OS ou Exemple : Planification des mises à jour du package de signatures d’application.
Note:La mise à jour du package de signature de l’application Junos OS est un service d’abonnement sous licence distincte. Vous devez installer la clé de licence de mise à jour du package de signatures d’application sur votre appareil pour télécharger et installer les mises à jour de la base de données de signatures fournies par Juniper Networks. Si votre clé de licence expire, vous pouvez continuer à utiliser le contenu du package de signatures d’application stocké localement, mais vous ne pouvez pas mettre à jour les données.
Note:À partir de Junos OS version 15.1X49-D50 et Junos OS version 17.3, lorsque vous mettez à niveau ou rétrogradez un package de signatures d’application, un message d’erreur s’affiche en cas de non-correspondance des ID d’application (numéro d’identification unique d’une signature d’application) entre les bundles de proto, et ces applications sont configurées dans les règles AppFW et AppQoS.
Exemple:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
Pour contourner le problème, désactivez les règles AppFW et AppQoS avant de mettre à niveau ou de rétrograder un package de signature d’application. Vous pouvez réactiver les règles AppFW et AppQoS une fois la procédure de mise à niveau ou de rétrogradation terminée.
Note:Sur tous les équipements de sécurité, les pages J-Web pour AppSecure Services sont préliminaires. Nous vous recommandons d’utiliser l’interface de ligne de commande pour configurer les fonctionnalités d’AppSecure.
Cette fonctionnalité nécessite une licence. Pour en savoir plus sur le package de signatures d’application Junos OS, reportez-vous au Guide des licences Juniper pour obtenir des informations générales sur la gestion des licences. Pour plus de détails, reportez-vous aux fiches techniques des produits sur les passerelles de services SRX Series , ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.
Mise à niveau vers l’identification des applications nouvelle génération
À partir de Junos OS version 12.1X47-D10, l’identification des applications de nouvelle génération est prise en charge. Vous devez installer Junos OS version 12.1X47-D10 pour migrer de l’identification d’applications existantes ou héritées vers l’identification d’application nouvelle génération.
Les équipements de sécurité installés avec les builds Junos OS avec identification d’application héritée incluent les packages de sécurité d’identification des applications hérités. Lorsque vous mettez à niveau ces équipements avec Junos OS version 12.1X47-D10, le package de sécurité d’identification des applications de nouvelle génération est installé avec l’offre groupée de protocoles par défaut. L’appareil est automatiquement mis à niveau vers l’identification d’application de nouvelle génération.
Le package de sécurité d’identification des applications de nouvelle génération introduit des mises à jour incrémentielles du package d’identification des applications hérité. Vous n’êtes pas obligé de supprimer ou de désinstaller des applications existantes.
Les applications prises en charge dans les versions précédentes (Junos OS version 12.1X46 ou antérieure) peuvent avoir de nouveaux alias ou d’autres noms dans la nouvelle version. Ainsi, les configurations existantes utilisant une telle application fonctionnent dans Junos OS version 12.1X47 ; Toutefois, les journaux associés et d’autres informations utiliseront le nouveau nom. Vous pouvez utiliser la
show services application-identification application detail new-application-namecommande pour obtenir les détails des applications.Lorsque vous mettez à niveau Junos OS, vous pouvez inclure les
validateoptions ouno-validatedans larequest system software addcommande. Étant donné que les fonctionnalités existantes, qui ne font pas partie de l’identification des applications de nouvelle génération, sont obsolètes, les problèmes d’incompatibilité ne sont pas détectés.L’identification des applications de nouvelle génération élimine la génération de nouvelles applications imbriquées et traite les applications imbriquées existantes comme des applications normales. En outre, l’identification des applications de nouvelle génération ne prend pas en charge les applications personnalisées ni les groupes d’applications personnalisés. Les configurations existantes impliquant des applications imbriquées, des applications personnalisées ou des groupes d’applications personnalisées sont ignorées avec des messages d’avertissement.
Voir aussi
Installation et vérification des licences pour un package de signatures d’application
La mise à jour du package de signature de l’application Junos OS est un service d’abonnement sous licence distincte. Vous devez installer la clé de licence de mise à jour du package de signatures d’application sur votre appareil pour télécharger et installer les mises à jour de la base de données de signatures fournies par Juniper Networks. Si votre clé de licence expire, vous pouvez continuer à utiliser le contenu du package de signatures d’application stocké localement.
La licence est généralement commandée lors de l’achat de l’appareil, et cette information est liée au numéro de série du châssis. Ces instructions supposent que vous disposez déjà de la licence. Si vous n’avez pas commandé la licence lors de l’achat de l’appareil, contactez votre équipe de compte ou le service client Juniper pour obtenir de l’aide. Pour plus d’informations, reportez-vous à l’article KB9731 de la Base de connaissances à https://kb.juniper.net/InfoCenter/index?page=home.
À partir de Junos OS 15.1X49-D30 et Junos OS version 17.3R1, AppSecure fait partie du package de licences logicielles Junos Software Enhanced (JSE) sur SRX1500 équipements. Aucune clé de licence distincte n’est disponible pour AppSecure. Vous devez utiliser une licence logicielle JSE sur votre appareil pour télécharger et installer les mises à jour de la base de données de signatures AppID, ou pour utiliser d’autres fonctionnalités AppSecure telles que AppFW, AppQoS et AppTrack.
À partir de Junos OS 15.1X49-D30 et Junos OS version 17.3R1, AppSecure fait partie du package de licences logicielles Junos Software Enhanced (JSE) sur les périphériques SRX300, SRX340 et SRX345. Aucune clé de licence distincte n’est disponible pour AppSecure. Vous devez utiliser une licence logicielle JSE sur votre appareil pour télécharger et installer les mises à jour de la base de données de signatures AppID, ou pour utiliser d’autres fonctionnalités AppSecure telles que AppFW, AppQoS et AppTrack.
À partir de 15.1X49-D65 et Junos OS version 17.3R1, sur SRX4100 et SRX4200 appareils, AppSecure fait partie du package de licence Junos Software Enhanced (JSE). Aucune clé de licence distincte n’est disponible pour AppSecure. Vous devez utiliser une licence logicielle JSE sur votre appareil pour télécharger et installer les mises à jour de la base de données de signatures AppID, ou pour utiliser d’autres fonctionnalités AppSecure telles que AppFW, AppQoS et AppTrack.
Le package JSB (Junos Software Base) n’inclut pas de signatures d’application. Pour plus de détails, reportez-vous aux fiches techniques des produits sur les passerelles de services SRX Series , ou contactez votre équipe de compte Juniper ou votre partenaire Juniper.
Vous pouvez installer la licence sur le pare-feu SRX Series à l’aide de la méthode automatique ou manuelle, comme suit :
Installez automatiquement votre licence sur l’appareil.
Pour installer ou mettre à jour votre licence automatiquement, votre appareil doit être connecté à Internet .
user@host> request system license update
Trying to update license keys from https://ae1.juniper.net, use 'show system license' to check status.
Installez les licences manuellement sur l’appareil.
user@host> request system license add terminal
[Type ^D at a new line to end input, enter blank line between each license key]
Collez la clé de licence et appuyez sur Entrée pour continuer.
Vérifiez que la licence est installée sur votre appareil.
Utilisez la commande pour afficher l’utilisation
show system license commanddes licences, comme illustré dans l’exemple suivant :License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signature date-based, 2014-02-17 08:00:00 GMT-8 - 2015-02-11 08:00:00 GMT-8L’exemple de sortie est tronqué pour afficher uniquement les détails d’utilisation de la licence.
Voir aussi
Téléchargement et installation manuels du package de signatures d’application Junos OS
Cet exemple montre comment télécharger le package de signature d’application, créer une stratégie et l’identifier comme stratégie active.
Exigences
Avant de commencer :
Assurez-vous que votre équipement de sécurité dispose d’une connexion Internet pour télécharger les mises à jour des packages de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de fonctionnalité d’identification d’application.
Cet exemple utilise les composants matériels et logiciels suivants :
Un équipement SRX Series
Junos OS version 12.1X47-D10
Aperçu
Juniper Networks met régulièrement à jour la base de données prédéfinie des packages de signatures d’applications et la rend disponible sur le site Web de Juniper Networks. Ce package inclut des objets d’application qui peuvent être utilisés dans Intrusion Detection and Prevention (IDP), la stratégie de pare-feu d’application et AppTrack pour faire correspondre le trafic.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Téléchargement et installation de l’identification des applications
Configuration rapide de l’interface de ligne de commande
La configuration rapide de CLI n’est pas disponible pour cet exemple, car une intervention manuelle est nécessaire pendant la configuration.
Téléchargement et installation de l’identification des applications
Procédure étape par étape
Téléchargez la trousse de demande.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
Le téléchargement récupère le package de l’application à partir du site Web de sécurité de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
Vous pouvez également télécharger une version spécifique du package d’application ou télécharger le package d’application à partir de l’emplacement spécifique à l’aide des options suivantes :
Pour télécharger une version spécifique du package d’application :
user@host>request services application-identification download version version-number
Pour modifier l’URL de téléchargement du package d’application à partir du mode de configuration :
[edit] user@host# set services application-identification download url URL or File Path
Note:Si vous modifiez l’URL de téléchargement et que vous souhaitez conserver cette modification, veillez à valider la configuration.
Vérifiez l’état du téléchargement.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
Note:Vous pouvez également utiliser le journal système pour afficher le résultat du téléchargement. À partir de Junos OS version 20.4R1, les messages du journal système sont mis à jour pour afficher les résultats du téléchargement et de l’installation du package de signatures d’application.
Installez le package d’application.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Le package d’application est installé dans la base de données des signatures d’application sur l’appareil.
Vérifiez l’état d’installation du package d’application.
La sortie de la commande affiche des informations sur les versions téléchargées et installées du package d’application et du bundle de protocoles.
Pour afficher l’état de l’installation :
user@host>request services application-identification install status
Install application package 2345 succeed
Pour afficher l’état du lot de protocoles :
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
Note:Il est possible qu’une signature d’application ait été supprimée de la version la plus récente d’une base de données de signatures d’application. Si cette signature est utilisée dans une stratégie de pare-feu d’application existante sur votre appareil, l’installation de la nouvelle base de données échouera. Un message d’état d’installation identifie la signature qui n’est plus valide. Pour mettre à jour la base de données avec succès, supprimez toutes les références à la signature supprimée de vos stratégies et groupes existants, puis réexécutez la commande install.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’état d’identification de l’application
But
Vérifiez que la configuration d’identification de l’application fonctionne correctement.
Action
En mode opérationnel, saisissez la show services application-identification status commande.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Sens
Le Status: Enabled champ indique que l’identification de l’application est activée sur l’appareil.
Téléchargement et installation du package Junos OS Application Signature Package dans le cadre du package de sécurité IDP
Vous pouvez télécharger et installer des signatures d’application via des packages de sécurité de détection et de prévention des intrusions (IDP).
Cet exemple montre comment renforcer la sécurité en téléchargeant et en installant les signatures IDP et le package de signatures d’application. Dans ce cas, le pack de signatures IDP et le pack de signatures d’application sont téléchargés à l’aide d’une seule commande.
Exigences
Avant de commencer :
Assurez-vous que votre pare-feu SRX Series dispose d’une connexion Internet pour télécharger les mises à jour des packages de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de fonctionnalité d’identification d’application.
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
Junos OS version 12.1X47-D10
Aperçu
Dans cet exemple, vous pouvez télécharger et installer la base de données de signatures à partir du site Web de Juniper Networks.
Configuration
Téléchargement et installation de la base de données de signatures
Configuration rapide de l’interface de ligne de commande
La configuration rapide de CLI n’est pas disponible pour cet exemple, car une intervention manuelle est nécessaire pendant la configuration.
Procédure étape par étape
Pour télécharger et installer les signatures d’application :
Téléchargez la base de données des signatures.
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
Note:Le téléchargement de la base de données peut prendre un certain temps en fonction de la taille de la base de données et de la vitesse de votre connexion Internet.
Vérifiez l’état de téléchargement du package de sécurité.
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
Installez la base de données des attaques.
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
Note:L’installation de la base de données des attaques peut prendre un certain temps en fonction de la taille de la base de données de sécurité.
Vérifiez l’état d’installation de la base de données des attaques. La sortie de la commande affiche des informations sur les versions téléchargées et installées de la base de données des attaques.
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Confirmez la version de votre package de sécurité IDP.
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
Confirmez la version du package d’identification de votre application.
[edit]user@host# run show services application-identification versionApplication package version: 1884
Vérification
Vérifiez que le package de signature de l’application est en cours de mise à jour correctement.
Vérification du package de signatures d’application
But
Vérifiez la version d’identification de l’application de services.
Action
En mode opérationnel, saisissez la show services application-identification version commande.
user@host> show services application-identification version
Application package version: 1884
Sens
L’exemple de sortie montre que la version d’identification de l’application de services est 1884.
Téléchargement du package de signatures d’applications Junos OS à partir d’un serveur proxy
Cet exemple montre comment créer un profil proxy et l’utiliser pour télécharger le package de signatures d’application à partir d’un serveur proxy.
Configuration
Procédure étape par étape
Créez un profil proxy et appliquez-le pour télécharger le package d’application via le serveur proxy.
Créez un profil proxy pour le protocole HTTP.
user@host#set services proxy profile Profile-1 protocol httpSpécifiez l’adresse IP du serveur proxy.
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1Spécifiez le numéro de port utilisé par le serveur proxy.
user@host#set services proxy profile Profile-1 protocol http port 3128Téléchargez le package d’application à partir de l’hôte proxy.
user@host#set services application-identification download proxy-profile Profile-1
Procédure étape par étape
Vous pouvez désactiver le serveur proxy pour télécharger le package de signatures d’application lorsque cela n’est pas nécessaire.
Désactivez le serveur proxy pour le téléchargement de la signature de l’application.
user@host#delete services application-identification download proxy-profile p1
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Licence valide de fonction d’identification des applications installée sur un pare-feu SRX Series.
Pare-feu SRX Series avec Junos OS version 18.3R1 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 18.3R1.
Aperçu
Vous devez télécharger et installer le package de signatures d’application hébergé sur un serveur externe du pare-feu SRX Series. À partir de Junos OS version 18.3R1, vous pouvez télécharger le package de signatures de l’application à l’aide d’un serveur proxy.
Pour activer le téléchargement du package de signatures à partir du serveur proxy :
Configurez un profil avec les détails de l’hôte et du port du serveur proxy à l’aide de la
set services proxy profilecommande.Utilisez la
set services application-identification download proxy-profile profile-namecommande pour vous connecter au serveur proxy et télécharger le package de signature de l’application.
Lorsque vous téléchargez le package de signatures, la demande est acheminée via l’hôte proxy vers le serveur réel hébergeant le package de signatures. L’hôte proxy relaie la réponse de l’hôte réel. Le téléchargement récupère le package d’application à partir du site Web de sécurité de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
La prise en charge de la configuration du profil proxy n’est disponible que pour les connexions HTTP.
Dans cet exemple, vous créez un profil proxy et faites référence au profil lorsque vous téléchargez le package de signature d’application à partir de l’hôte externe. Le tableau 1 détaille les paramètres utilisés dans cet exemple.
Paramètre |
Nom |
|---|---|
Nom du profil |
Profil-1 |
Adresse IP du serveur proxy |
5.0.0.1 |
Numéro de port du serveur proxy |
3128 |
Vérification
- Vérification du téléchargement de la signature d’application via le serveur proxy
- Vérification de l’état de téléchargement de la signature de l’application
Vérification du téléchargement de la signature d’application via le serveur proxy
But
Affichez les détails du téléchargement du package de signatures d’application via un serveur proxy.
Action
En mode opérationnel, saisissez la show services application-identification status commande.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
Sens
Dans la sortie de la commande, vous pouvez trouver les détails du profil proxy dans Proxy Profile et Proxy Address champs.
Vérification de l’état de téléchargement de la signature de l’application
But
Vérifiez l’état de téléchargement du package d’application.
Action
En mode opérationnel, saisissez la request services application-identification download status commande.
user@host> request services application-identification download status
Application package 3058 is downloaded successfully
Sens
La commande affiche l’état de téléchargement du package de signature de l’application.
Exemple : planification des mises à jour du package de signatures d’application
Cet exemple montre comment configurer les mises à jour automatiques du package de signatures d’application prédéfini.
Exigences
Avant de commencer :
Assurez-vous que votre équipement de sécurité dispose d’une connexion Internet pour télécharger les mises à jour des packages de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de fonctionnalité d’identification d’application.
Aperçu
Dans cet exemple, vous souhaitez télécharger régulièrement la version actuelle du package de signature d’application. Le téléchargement devrait commencer à 23h59 le 10 décembre. Pour conserver les informations les plus récentes, vous souhaitez mettre à jour le package automatiquement tous les 2 jours à partir du site intranet de votre entreprise.
Configuration
Procédure
Configuration rapide de l’interface graphique
Pour configurer le téléchargement automatique et la mise à jour périodique avec l’interface J-Web :
Procédure étape par étape
Entrée
Configure>Security>AppSecure Settingspour afficher la page Signature des applications.Cliquez sur
Global Settings.Cliquez sur l’onglet
Download Scheduleret modifiez les champs suivants :URL: https://signatures.juniper.net/cgi-bin/index.cgi
Activer la mise à jour planifiée : activez la case à cocher.
Intervalle: 48
Cliquez
Reset Settingpour effacer l’heure de début existante, entrez la nouvelle heure de début au format AAAA-MM-JJ.hh :mm, puis cliquez surOK.Heure de début : 2019-06-30.10:00:00
Cliquez
Commit Options>Commitpour valider vos modifications.Cliquez
Check Statuspour surveiller la progression d’un téléchargement ou d’une mise à jour actif, ou pour vérifier le résultat de la dernière mise à jour.
Procédure étape par étape
Pour utiliser l’interface de ligne de commande afin de mettre à jour automatiquement le package de signatures de l’application Junos OS :
Spécifiez l’URL du package de sécurité. Le package de sécurité comprend le détecteur et les derniers objets et groupes d’attaque. L’instruction suivante spécifie https://signatures.juniper.net/cgi-bin/index.cgi comme URL de téléchargement des mises à jour de la base de signatures :
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
Spécifiez l’heure et l’intervalle de téléchargement. L’instruction suivante définit l’intervalle à 48 heures et l’heure de début à 10 heures le 10 décembre :
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que le package de signatures d’application est en cours de mise à jour correctement, entrez la show services application-identification version commande. Consultez le numéro de version et les détails de la dernière mise à jour.
Planification des mises à jour du package de signatures d’application dans le cadre du package de sécurité IDP
Les instructions de configuration de cet exemple décrivent comment configurer les mises à jour automatiques du package de signatures d’identification d’application (partie du package de sécurité IDP) à une date et une heure spécifiées.
Exigences
Avant de commencer :
Assurez-vous que votre équipement de sécurité dispose d’une connexion Internet pour télécharger les mises à jour des packages de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de fonctionnalité d’identification d’application.
Aperçu
Dans cet exemple, vous souhaitez télécharger régulièrement la version actuelle du package de signature d’application. Le téléchargement devrait commencer à 23h59 le 10 décembre. Pour conserver les informations les plus récentes, vous souhaitez mettre à jour le package automatiquement tous les 2 jours à partir du site intranet de votre entreprise.
Configuration
Procédure
Configuration rapide de l’interface graphique
Pour configurer le téléchargement automatique et la mise à jour périodique avec l’interface J-Web :
Procédure étape par étape
Entrée
Configure>Security>IDP>Signature Updatespour afficher la page Configuration des signatures de l’IDP de sécurité.Cliquez
Download Settingset modifiez l’URL : https://signatures.juniper.net/cgi-bin/index.cgiCliquez sur l’onglet
Auto Download Settingset modifiez les champs suivants :Intervalle: 48
Heure de début : 2013-12-10.23:59:55
Activer la mise à jour planifiée : activez la case à cocher.
Cliquez
Reset Settingpour effacer les champs existants, entrez les nouvelles valeurs. Cliquez surOK.Cliquez
Commit Options>Commitpour valider vos modifications.Cliquez
Check Statuspour surveiller la progression d’un téléchargement ou d’une mise à jour actif, ou pour vérifier le résultat de la dernière mise à jour.
Procédure étape par étape
Pour utiliser l’interface de ligne de commande afin de mettre à jour automatiquement le package de signatures de l’application Junos OS :
Spécifiez l’URL du package de sécurité. Le package de sécurité comprend le détecteur et les derniers objets et groupes d’attaque. L’instruction suivante spécifie https://signatures.juniper.net/cgi-bin/index.cgi comme URL de téléchargement des mises à jour de la base de signatures :
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Spécifiez l’heure et l’intervalle de téléchargement. L’instruction suivante définit l’intervalle sur 48 heures et l’heure de début à 23 h 55 le 10 décembre 2013 :
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
Activez le téléchargement et la mise à jour automatiques du package de sécurité.
[edit] user@host# set security idp security-package automatic enable
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Vérifiez que le package de signature de l’application est en cours de mise à jour correctement.
Vérification du package de signatures d’application
But
Vérifier la version d’identification de l’application de services
Action
En mode opérationnel, saisissez la show services application-identification version commande.
user@host> show services application-identification version
Application package version: 1884
Sens
L’exemple de sortie montre que la version d’identification de l’application de services est 1884.
Exemple : téléchargement et installation du package d’identification d’application en mode cluster de châssis
Cet exemple montre comment télécharger et installer la base de données du package de signatures d’application sur un périphérique fonctionnant en mode cluster de châssis.
Téléchargement et installation du package d’identification d’application
Procédure étape par étape
L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous au Guide de l’utilisateur de la CLI.
Pour télécharger et installer un package d’application :
Téléchargez le package d’application sur le nœud principal.
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
Vérifiez l’état de téléchargement du package d’application.
{primary:node0}[edit]user@host>request services application-identification download statusLors d’un téléchargement réussi, le message suivant s’affiche
Application package 2345 is downloaded successfully
Le package d’application est installé dans la base de données des signatures d’application sur le nœud principal et les fichiers d’identification de l’application sont synchronisés sur les nœuds principal et secondaire.
Mettez à jour le package d’application à l’aide de
installla commande.{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Vérifiez l’état de mise à jour du package d’application. La sortie de la commande affiche des informations sur les versions téléchargées et installées du package d’application.
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
Note:Il est possible qu’une signature d’application soit supprimée de la nouvelle version d’une base de données de signatures d’application. Si cette signature est utilisée dans une stratégie de pare-feu d’application existante sur votre appareil, l’installation de la nouvelle base de données échouera. Un message d’état d’installation identifie la signature qui n’est plus valide. Pour mettre à jour la base de données avec succès, supprimez toutes les références à la signature supprimée de vos stratégies et groupes existants, puis réexécutez la commande install.
Note:Lors du téléchargement du package de signatures d’application sur le nœud principal, parfois, en raison d’un basculement inattendu, le nœud principal peut ne pas pouvoir télécharger complètement le package de signature d’application. Pour contourner le problème, vous devez supprimer le fichier /var/db/appid/sec-download/.apppack_state et redémarrer l’appareil.
Procédure étape par étape
Pour désinstaller un package d’application :
Désinstallez le package d’application à l’aide de
uninstallla commande.{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Vérifiez l’état de désinstallation du package de l’application.
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
Vérifiez l’état de désinstallation du bundle de protocoles :
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
Exigences
Avant de commencer :
Définissez l’ID de nœud et l’ID de cluster du châssis. Voir Exemple : définition de l’ID de nœud et de l’ID de cluster pour les périphériques de sécurité dans un cluster de châssis .
Assurez-vous que votre équipement de sécurité dispose d’une connexion Internet pour télécharger les mises à jour des packages de sécurité.
Note:DNS doit être configuré car vous devez résoudre le nom du serveur de mise à jour.
Assurez-vous d’avoir installé la licence de fonctionnalité d’identification d’application.
Aperçu
Si vous utilisez l’identification d’application, vous pouvez télécharger la base de données prédéfinie du package de signatures d’application. Juniper Networks met régulièrement à jour la base de données et la rend disponible sur le site Web de Juniper Networks. Ce package inclut des objets d’application qui peuvent être utilisés pour faire correspondre le trafic IDP, les stratégies de pare-feu d’application et le suivi des applications. Pour plus d’informations, voir Présentation de l’installation du package d’applications Junos OS.
Lorsque vous téléchargez le package de sécurité d’identification d’application sur un périphérique fonctionnant en mode cluster de châssis, le package de sécurité est téléchargé sur le nœud principal, puis synchronisé avec le nœud secondaire.
Vérification de l’identification de l’application Junos OS Package d’applications extrait
But
Une fois le téléchargement et l’installation réussis du package d’application, utilisez les commandes suivantes pour afficher le contenu prédéfini du package de signatures d’application.
Action
Consultez la version actuelle du package de demande :
show services application-identification version
Application package version: 1608
Consultez l’état actuel de la trousse de demande :
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Voir aussi
Désinstallation du package d’applications d’identification d’application Junos OS
Vous pouvez désinstaller le package d’application prédéfini. L’opération de désinstallation échoue si des stratégies de sécurité actives sont référencées dans les signatures d’application prédéfinies dans la configuration de Junos OS
Pour désinstaller le package d’application :
Le package d’application et l’offre groupée de protocoles sont désinstallés sur l’appareil. Pour réinstaller l’identification de l’application, vous devez télécharger le package d’application et le réinstaller.
Voir aussi
Restauration du package de signature d’application
À partir de Junos OS version 20.3R1, vous pouvez restaurer la version actuelle du pack de signatures d’application à la version précédente de l’une des méthodes suivantes :
Restauration automatique
Restauration manuelle
Restauration automatique
En cas d’échec de l’installation du package de signature d’application, le système revient automatiquement à la version précédente du package de signatures d’application actuellement installé sur votre périphérique de sécurité.
Lorsque vous téléchargez et installez le package de signatures d’application sur un périphérique fonctionnant en mode cluster de châssis, si l’installation échoue sur un nœud, le système revient à la version précédente de la signature d’application. L’appareil affiche une alarme mineure sur le même nœud où l’installation échoue et la restauration réussit.
Exemple:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
Vérifiez l’état de restauration du package de signatures d’application lorsque l’installation a échoué et que la restauration se termine correctement.
user@host> request services application-identification rollback status
Application package rollback to version 3297 successRestauration manuelle
Vous pouvez restaurer manuellement le package de signatures d’application à la version précédente installée en procédant comme suit :
Restaurez le package de signature de l’application à la version précédente.
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusVérifiez l’état de la restauration.
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
Notez les points suivants pour la restauration manuelle du package de signatures d’application :
Une fois que vous avez restauré manuellement la version du package de signatures d’application de la version Y à la version X, la mise à jour automatique planifiée du package de signatures d’application est ignorée jusqu’à ce qu’une nouvelle version Z, supérieure à la version Y, soit disponible.
Vous pouvez télécharger et installer des signatures d’application via des packages de sécurité de détection et de prévention des intrusions (IDP). Dans ce cas, si l’installation AppID échoue pendant l’installation IDP, AppID revient à la version précédente et l’installation IDP continue avec la version demandée. Dans ce cas, IDP et AppID peuvent avoir des versions différentes.
L’installation du package de signatures d’application ne se poursuit pas en cas de corruption, de suppression ou de modification des fichiers téléchargés du package de signatures. Dans ce cas, le message suivant s’affiche :
user@host>request services application-identification install error: Checksum validation failed for downloaded files.-
Lorsque votre périphérique de sécurité n’inclut aucun package de signatures d’application de version précédente et que vous tentez de restaurer le package de signatures d’application, le périphérique affiche le message d’erreur suivant :
user@host>request services application-identification install No application package available to rollback.
Groupement des signatures d’application nouvellement ajoutées
À partir de Junos OS version 21.1R1, nous avons amélioré le package de signatures d’application en regroupant toutes les signatures d’application nouvellement ajoutées sous le groupe junos :all-new-apps. Lorsque vous téléchargez le package de signature d’application sur votre périphérique de sécurité, l’ensemble du groupe d’applications prédéfini est téléchargé et peut être configuré dans la stratégie de sécurité, comme indiqué dans l’exemple ci-dessous :
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
Nous avons également introduit une liste de balises d’application dans le package de signature d’application. Vous pouvez regrouper des applications similaires en fonction des balises prédéfinies qui sont e en fonction des attributs de l’application. Ce faisant, vous pouvez réutiliser de manière cohérente les groupes d’applications lorsque vous définissez des stratégies de sécurité.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
Exemple
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
Dans l’exemple ci-dessus, vous configurez un groupe d’applications basé sur des balises avec des balises accès à distance et web et un autre groupe de balises avec social_networking. Toutes les applications qui ont des balises comme Web ou Accès distant et social_networking seront ajoutées au groupe d’applications.
Le regroupement d’applications similaires à partir de balises vous aide à réutiliser de manière cohérente les groupes d’applications lors de la définition des stratégies de sécurité.
- Migration des nouvelles applications vers des applications normales :
- Améliorations apportées au package de signatures d’application
Migration des nouvelles applications vers des applications normales :
Le groupe junos :all-new-apps contient un ensemble de toutes les nouvelles applications du pack de signatures d’application installé sur votre périphérique de sécurité par rapport au pack de signatures précédemment installé. Si vous décidez d’installer une version plus récente du package de signatures d’application, cette version contiendra un nouvel ensemble d’applications dans le groupe junos :all-new-apps.
Vous pouvez choisir de migrer les nouvelles applications vers des applications normales dans votre package de signature d’application existant. Cette migration vous aidera à maintenir de manière cohérente les règles de la stratégie de sécurité qui sont créées spécifiquement pour les nouvelles applications chaque fois que vous effectuez une mise à niveau vers des versions de signature d’application plus récentes à l’avenir.
Vous pouvez utiliser les nouvelles commandes suivantes pour déplacer les applications marquées comme nouvelles applications vers des applications normales :
-
Pour migrer uniquement les nouvelles applications spécifiées en tant qu’application normale, utilisez la commande suivante :
request services application-identification new-to-production applications-list [application-1 application-2]
-
Pour migrer toutes les nouvelles applications en tant qu’applications normales, utilisez la commande suivante :
request services application-identification new-to-production all
Après avoir exécuté ces commandes, l’application ne sera plus marquée comme nouvelle et ne fera plus partie du junos:all-new-apps groupe.
Améliorations apportées au package de signatures d’application
À partir de Junos OS version 21.1R1, nous avons apporté les améliorations suivantes au package de signature de l'application :
- Prise en charge de la propagation contextuelle des données FTP
- Saut de l’inspection approfondie des paquets (DPI) pour les sessions déchargées par le routage avancé basé sur des stratégies (APBR) sur le cache du système d’application (ASC). (Lorsque seul le service APBR est activé.)
- Installation forcée du pack de signatures de l’application sur la même version que le pack de signatures. Voir les services de demande identification de l’application installation ignorer la vérification de version en double
- Affichage de la date de publication du pack de signatures de l’application dans la sortie de commande CLI. Voir afficher la version d’identification de l’application des services
- Affichage de la liste des signatures d’application obsolètes disponibles dans le pack de signatures installé dans la sortie de commande CLI. Voir afficher les services identification des applications applications applications obsolètes
Lorsque vous effectuez une mise à niveau vers Junos OS version 21.1 et ultérieure à partir de Junos OS version 20.4 et versions antérieures, nous vous recommandons de mettre à jour la base de données de signatures d’identification d’application à l’aide des request services application-identifications download commandes et request services application-identification install .