Applications et ensembles d’applications pour les stratégies IDP
Les applications sont des entités prédéfinies ou personnalisées qui représentent des types spécifiques de trafic ou de services réseau. Les ensembles d’applications sont des ensembles d’applications regroupées pour faciliter la gestion et la création de stratégies. Vous pouvez créer un ensemble d’applications qui inclut plusieurs applications associées, puis appliquer des stratégies à l’ensemble de l’ensemble.
Les applications ou services représentent des protocoles de couche applicative qui définissent la manière dont les données sont structurées lorsqu’elles transitent sur le réseau.
Pour plus d’informations, consultez les rubriques suivantes :
Comprendre les ensembles d’applications IDP
Les applications ou services représentent des protocoles de couche applicative qui définissent la manière dont les données sont structurées lorsqu’elles transitent sur le réseau. Étant donné que les services que vous prenez en charge sur votre réseau sont les mêmes que ceux que les attaquants doivent utiliser pour attaquer votre réseau, vous pouvez spécifier quels services sont pris en charge par l’adresse IP de destination pour rendre vos règles plus efficaces. Juniper Networks propose des applications prédéfinies et des ensembles d’applications basés sur des applications standard de l’industrie. Si vous avez besoin d’ajouter des applications qui ne sont pas incluses dans les applications prédéfinies, vous pouvez créer des applications personnalisées ou modifier des applications prédéfinies en fonction de vos besoins.
Vous spécifiez une application, ou un service, pour indiquer qu’une stratégie s’applique au trafic de ce type. Parfois, les mêmes applications ou un sous-ensemble de celles-ci peuvent être présentes dans plusieurs stratégies, ce qui les rend difficiles à gérer. Junos OS vous permet de créer des groupes d’applications appelés ensembles d’applications.
Les ensembles d’applications simplifient le processus en vous permettant de gérer un petit nombre d’ensembles d’applications, plutôt qu’un grand nombre d’entrées d’applications individuelles.
L’application (ou l’ensemble d’applications) est configuré en tant que critère de correspondance pour les paquets. Les paquets doivent être du type d’application spécifié dans la stratégie pour que la stratégie s’applique au paquet. Si le paquet correspond au type d’application spécifié par la stratégie et que tous les autres critères correspondent, l’action de stratégie est appliquée au paquet. Vous pouvez utiliser des applications prédéfinies ou personnalisées et y faire référence dans une stratégie.
Voir aussi
Exemple : configuration d’ensembles d’applications IDP
Cet exemple montre comment créer un ensemble d’applications et l’associer à une stratégie IDP.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Activez les services applicatifs IDP dans une stratégie de sécurité.
Définir les applications. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Aperçu
Pour configurer un ensemble d’applications, vous devez ajouter séparément des applications prédéfinies ou personnalisées à un ensemble d’applications et lui attribuer un nom significatif. Une fois que vous avez nommé l’ensemble d’applications, vous spécifiez le nom dans le cadre de la stratégie. Pour que cette stratégie s’applique à un paquet, celui-ci doit correspondre à l’une des applications incluses dans cet ensemble.
Cet exemple décrit comment créer un ensemble d’applications appelé SrvAccessAppSet et l’associer à la stratégie IDP ABC. L’ensemble d’applications SrvAccessAppSet combine trois applications. Au lieu de spécifier trois applications dans la règle de stratégie, vous spécifiez un ensemble d’applications. Si tous les autres critères correspondent, n’importe laquelle des applications de l’ensemble de demandes sert de critère de correspondance valide.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour créer un ensemble d’applications et l’associer à une stratégie IDP :
Créez un ensemble d’applications et incluez-en trois.
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
Créez une stratégie IDP.
[edit] user@host# edit security idp idp-policy ABC
Associez l’ensemble d’applications à une stratégie IDP.
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
Spécifiez une action pour la stratégie.
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
Activez la stratégie.
[edit] user@host# set security idp active-policy ABC
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp commandes and show applications . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Exemple : configuration d’applications et de services IDP
Cet exemple montre comment créer une application et l’associer à une stratégie IDP.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Activez les services applicatifs IDP dans une stratégie de sécurité.
Aperçu
Pour créer des applications personnalisées, spécifiez un nom significatif pour une application et associez-lui des paramètres (par exemple, délai d’expiration d’inactivité ou type de protocole d’application). Dans cet exemple, vous créez une application FTP spéciale appelée cust-app, vous la spécifiez en tant que condition de correspondance dans la stratégie IDP ABC s’exécutant sur le port 78 et vous spécifiez la valeur du délai d’inactivité de 6000 secondes.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour créer une application et l’associer à une stratégie IDP :
Créez une application et spécifiez ses propriétés.
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
Spécifiez l’application en tant que condition de correspondance dans une stratégie.
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
Spécifiez la condition d’absence d’action.
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
Activez la stratégie.
[edit] user@host# set security idp active-policy ABC
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp commandes and show applications . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.