SUR CETTE PAGE
Comprendre les systèmes logiques Service d’identification des applications
Comprendre les systèmes logiques Services de pare-feu applicatif
Exemple : configuration des services de pare-feu d’application pour un système logique principal
Comprendre les services de suivi des applications des systèmes logiques
Exemple : configuration des services de pare-feu d’application pour un système logique utilisateur
Exemple : Configuration d’AppTrack pour un système logique utilisateur
Sécurité des applications dans les systèmes logiques
La sécurité des applications dans les systèmes logiques permet d’identifier le trafic applicatif qui traverse votre réseau, quels que soient le port, le protocole et le chiffrement, offrant ainsi une meilleure visibilité pour contrôler le trafic réseau. La sécurité applicative contrôle le trafic réseau en définissant et en appliquant des politiques de sécurité basées sur des informations précises sur l’application. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre les systèmes logiques Service d’identification des applications
Les signatures d’application prédéfinies et personnalisées identifient une application en faisant correspondre des modèles dans les premiers paquets d’une session. L’identification des applications offre les avantages suivants :
Permet à la détection et prévention d’intrusion (IDP) d’appliquer les objets d’attaque appropriés aux applications exécutées sur des ports non standard.
Améliore les performances en réduisant la portée des signatures d’attaque pour les applications sans décodeur.
Permet de créer des rapports détaillés à l’aide d’AppTrack sur les applications qui passent par l’appareil.
Dans les systèmes logiques, les signatures d’application prédéfinies et personnalisées sont des ressources globales partagées par tous les systèmes logiques. L’administrateur principal est responsable du téléchargement et de l’installation des signatures d’application Juniper Networks prédéfinies, ainsi que de la création de signatures d’application personnalisées et imbriquées pour identifier les applications qui ne font pas partie de la base de données prédéfinie.
L’identification des applications est activée par défaut.
Le cache du système d’application (ASC) enregistre le mappage entre un type d’application et l’adresse IP de destination, le port de destination, le type de protocole et le service correspondants. Chaque système logique d’utilisateur possède son propre ASC. Un administrateur de système logique utilisateur peut afficher les entrées ASC de son système logique à l’aide de la show services application-identification application-system-cache commande. Un administrateur de système logique utilisateur peut utiliser la clear services application-identification application-system-cache commande pour effacer les entrées ASC de son système logique.
À partir de Junos OS version 18.2R1, le comportement par défaut de l’ASC est modifié comme suit :
Les services de sécurité, notamment les politiques de sécurité, le pare-feu des applications (AppFW), le suivi des applications (AppTrack), la qualité de service des applications (AppQoS), Juniper ATP Cloud, l’IDP et Content Security, n’utilisent pas l’ASC par défaut.
Divers services, notamment le routage avancé basé sur des stratégies (APBR), utilisent l’ASC pour identifier les applications par défaut.
Pour plus d’informations, reportez-vous à la section Activation ou désactivation du cache système d’application pour les services d’application.
L’administrateur principal peut afficher ou effacer les entrées ASC de n’importe quel système logique. L’administrateur principal peut également afficher ou effacer les compteurs globaux à l’aide des show services application-identification counter commandes et clear services application-identification counter .
Le package de signature d’application est installé au niveau global, qui est partagé par tous les systèmes logiques de l’utilisateur. L’administrateur principal du système logique peut installer ou désinstaller le package de signature de l’application.
À partir de Junos OS version 18.3R1, la prise en charge de l’identification des applications (AppID) pour les systèmes logiques inclut deux nouvelles options permettant d’afficher et d’effacer les statistiques du système logique et les statistiques des compteurs du système logique.
L’administrateur du système logique principal peut afficher ou effacer les statistiques de tous les systèmes logiques, tandis que l’administrateur du système logique de l’utilisateur peut afficher ou effacer les statistiques de son propre système logique.
L’administrateur système logique de l’utilisateur peut afficher l’état et la version du package de signatures AppID. Les signatures personnalisées configurées par l’administrateur du système logique principal peuvent être configurées dans la section Utiliser les stratégies de sécurité du système logique.
Vous pouvez afficher les informations d’état et de version sur l’état et la version du package de signatures AppID à l’aide des show services application-identification status commandes et show services application-identification version.
Voir aussi
Comprendre les systèmes logiques Services de pare-feu applicatif
Un pare-feu applicatif permet aux administrateurs de systèmes logiques de créer des stratégies de sécurité pour le trafic en fonction de l’identification de l’application définie par les signatures d’application. Le pare-feu applicatif offre une protection de sécurité supplémentaire contre le trafic applicatif dynamique qui pourrait ne pas être contrôlé de manière adéquate par les politiques de pare-feu réseau standard. Le pare-feu des applications contrôle la transmission des informations en autorisant ou en bloquant le trafic provenant de certaines applications.
Pour configurer un pare-feu applicatif, vous devez définir un ensemble de règles qui contient des règles spécifiant l’action à effectuer sur les applications dynamiques identifiées. L’ensemble de règles est configuré indépendamment et affecté à une stratégie de sécurité. Chaque ensemble de règles contient au moins deux règles, une règle correspondante (composée de critères de correspondance et d’action) et une règle par défaut.
Une règle de correspondance définit l’action à effectuer lors de la mise en correspondance du trafic. Lorsque le trafic correspond à une application et à d’autres critères spécifiés dans la règle, le trafic est autorisé ou bloqué en fonction de l’action spécifiée dans la règle.
Une règle par défaut est appliquée lorsque le trafic ne correspond à aucune autre règle de l’ensemble de règles.
L’administrateur principal peut télécharger une base de données prédéfinie de signatures d’applications à partir du site Web d’ingénierie de sécurité de Juniper Networks ou définir des signatures d’applications à l’aide de l’interface de ligne de commande de configuration de Junos OS. Pour plus d’informations sur l’identification et les signatures des applications, consultez le Guide de l’utilisateur de la sécurité des applications pour les appareils de sécurité.
La configuration d’un pare-feu d’application sur un système logique est le même processus que la configuration d’un pare-feu d’application sur un équipement qui n’est pas configuré avec des systèmes logiques. Toutefois, le pare-feu applicatif ne s’applique qu’au système logique pour lequel il est configuré. L’administrateur principal peut configurer, activer et surveiller les pare-feu applicatifs sur le système logique principal et tous les systèmes logiques utilisateur d’un appareil. Les administrateurs de systèmes logiques utilisateurs peuvent configurer, activer et surveiller les pare-feu applicatifs uniquement sur les systèmes logiques utilisateurs auxquels ils ont accès.
Voir aussi
Exemple : configuration des services de pare-feu d’application pour un système logique principal
Cet exemple décrit comment configurer les services de pare-feu d’application sur le système logique principal, ou racine, par un administrateur principal. Seul l’administrateur principal peut configurer, gérer et afficher la configuration du système logique principal, en plus de tous les systèmes logiques utilisateur.
Après avoir configuré les ensembles de règles et les règles du pare-feu de l’application, l’administrateur principal ajoute les informations du jeu de règles du pare-feu de l’application à la stratégie de sécurité du système logique principal.
Pour plus d’informations sur la configuration d’un pare-feu d’application au sein d’une stratégie de sécurité, consultez Présentation du pare-feu d’application.
Exigences
Avant de commencer :
Vérifiez que toutes les interfaces, instances de routage et zones de sécurité ont été configurées sur le système logique principal.
Vérifiez que les ressources du pare-feu de l’application (appfw-rule-set et appfw-rule) ont été allouées dans un profil de sécurité et liées au système logique principal à l’aide de la commande [
system security-profile]. Pour les ressources de pare-feu applicatif, une configuration de profil de sécurité autorise 0 à 10 000 ensembles de règles et 0 à 10 000 règles.Note:L’administrateur principal alloue diverses ressources système globales par le biais d’une configuration de profil de sécurité, qui est ensuite liée aux différents systèmes logiques de l’appareil. L’administrateur principal est propriétaire de cette fonction et configure le profil de sécurité pour tous les systèmes logiques de l’utilisateur, ainsi que pour le système logique principal.
Pour plus d’informations, reportez-vous à la section Présentation des profils de sécurité des systèmes logiques (administrateurs principaux uniquement).
Connectez-vous au système logique principal en tant qu’administrateur principal.
Pour plus d’informations sur les fonctions du rôle d’administrateur principal, reportez-vous à la section Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Aperçu
Dans cet exemple, vous allez créer des services de pare-feu d’application sur le système logique principal, appelé système logique racine, illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple crée la configuration de pare-feu d’application suivante :
Ensemble de règles, root-rs1, avec les règles r1 et r2. Lorsque r1 est mis en correspondance, le trafic telnet est autorisé à traverser le pare-feu. Lorsque r2 est mis en correspondance, le trafic Web est autorisé à traverser le pare-feu.
Ensemble de règles, root-rs2, avec la règle r1. Lorsque r1 est mis en correspondance, le trafic example2 est bloqué par le pare-feu.
Tous les ensembles de règles nécessitent une règle par défaut, qui spécifie s’il faut autoriser ou refuser le trafic qui n’est spécifié dans aucune règle d’un ensemble de règles. L’action de règle par défaut (autoriser ou refuser) doit être l’inverse de l’action spécifiée pour la ou les autres règles de l’ensemble de règles.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r1 match dynamic-application junos:telnet set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r1 then permit set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r2 match dynamic-application-group junos:web set logical-systems root-logical-system security application-firewall rule-sets root-rs1 rule r2 then permit set logical-systems root-logical-system security application-firewall rule-sets root-rs1 default-rule deny set logical-systems root-logical-system security application-firewall rule-sets root-rs2 rule r1 match dynamic-application junos:facebook set logical-systems root-logical-system security application-firewall rule-sets root-rs2 rule r1 then deny set logical-systems root-logical-system security application-firewall rule-sets root-rs2 default-rule permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer le pare-feu d’application d’un système logique principal :
Connectez-vous au système logique principal en tant qu’administrateur principal. Reportez-vous à la section Exemple : Configuration du mot de passe racine pour les systèmes logiques et entrez en mode de configuration.
admin@host> configure admin@host#
Configurez un ensemble de règles de pare-feu d’application pour le système logique racine.
[edit ] admin@host# set logical-systems security application-firewall rule-sets root-rs1
Configurez une règle pour cet ensemble de règles et spécifiez les applications dynamiques et les groupes d’applications dynamiques auxquels la règle doit correspondre.
[edit] admin@host# set logical-systems security application-firewall rule-sets root-rs1 rule r1 match dynamic-application telnet then permit
Configurez la règle par défaut pour cet ensemble de règles et spécifiez l’action à effectuer lorsque l’application dynamique identifiée n’est spécifiée dans aucune règle de l’ensemble de règles.
[edit] admin@host# set logical-systems security application-firewall rule-sets root-rs1 default-rule deny
Répétez ces étapes pour configurer un autre ensemble de règles, root-rs2, si vous le souhaitez.
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security application-firewall rule-sets commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
admin@host# show security application-firewall rule-sets all
...
application-firewall {
rule-sets root-rs1 {
rule r1 {
match {
dynamic-application [junos:telnet];
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets root-rs1 {
rule r2 {
match {
dynamic-application-group [junos:web];
}
then {
permit;
}
}
rule-sets root-rs2 {
rule r1 {
match {
dynamic-application [junos:FACEBOOK];
}
then {
deny;
}
}
default-rule {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration du pare-feu applicatif
But
Affichez la configuration du pare-feu de l’application sur le système logique principal.
Action
À partir du mode opérationnel, entrez la show security application-firewall rule-set logical-system root-logical-system rule-set all commande.
admin@host> show security application-firewall rule-set logical-system root-logical-system rule-set all
Rule-set: root-rs1
Logical system: root-logical-system
Rule: r1
Dynamic Applications: junos:telnet
Action:permit
Number of sessions matched: 10
Default rule:deny
Number of sessions matched: 100
Number of sessions with appid pending: 2
Rule-set: root-rs1
Logical system: root-logical-system
Rule: r2
Dynamic Applications: junos:web
Action:permit
Number of sessions matched: 20
Default rule:deny
Number of sessions matched: 200
Number of sessions with appid pending: 4
Rule-set: root-rs2
Logical system: root-logical-system
Rule: r1
Dynamic Applications: junos:FACEBOOK
Action:deny
Number of sessions matched: 40
Default rule:permit
Number of sessions matched: 400
Number of sessions with appid pending: 10
Comprendre les services de suivi des applications des systèmes logiques
AppTrack est un outil de suivi des applications qui fournit des statistiques pour analyser l’utilisation de la bande passante de votre réseau. Lorsqu’il est activé, AppTrack collecte des statistiques sur les octets, les paquets et la durée des flux d’applications dans la zone spécifiée. Par défaut, à la fermeture de chaque session, AppTrack génère un message indiquant le nombre d’octets et de paquets, ainsi que la durée de la session, et l’envoie à l’équipement hôte. Le gestionnaire STRM (Security Threat Response Manager) récupère les données et fournit une visibilité des applications en fonction des flux.
AppTrack peut être activé et configuré dans n’importe quel système logique. La configuration d’AppTrack dans un système logique revient à la configuration d’AppTrack sur un périphérique qui n’est pas configuré pour les systèmes logiques. Une configuration AppTrack s’applique uniquement au système logique dans lequel elle est configurée. Le nom du système logique est ajouté aux journaux AppTrack. L’administrateur principal peut configurer AppTrack pour n’importe quel système logique, tandis qu’un administrateur de système logique utilisateur ne peut configurer AppTrack que pour le système logique auquel il est connecté.
La configuration du journal système est globale sur l’appareil et doit être configurée par l’administrateur principal. L’administrateur du système logique de l’utilisateur ne peut pas configurer la journalisation système d’un système logique.
Les compteurs gardent une trace du nombre de messages de journal envoyés et de journaux qui ont échoué. Les compteurs AppTrack sont globaux pour l’appareil. L’administrateur principal ainsi que les administrateurs système logiques de l’utilisateur peuvent afficher les compteurs AppTrack à l’aide de la show security application-tracking counters commande.
Voir aussi
Exemple : configuration des services de pare-feu d’application pour un système logique utilisateur
Cet exemple décrit comment configurer les services de pare-feu d’application sur un système logique utilisateur par un administrateur de système logique utilisateur. Les administrateurs de systèmes logiques utilisateurs peuvent gérer et surveiller leurs propres ensembles de règles et de pare-feu système, applicatifs, et gérer les applications dynamiques autorisées ou bloquées sur leurs systèmes logiques respectifs.
Après avoir configuré les ensembles de règles et les règles du pare-feu de l’application, les administrateurs du système logique de l’utilisateur ajoutent les informations du jeu de règles du pare-feu de l’application à la stratégie de sécurité de leurs systèmes logiques individuels.
Pour plus d’informations sur la configuration d’un pare-feu d’application au sein d’une stratégie de sécurité, consultez Présentation du pare-feu d’application.
Exigences
Avant de commencer :
Vérifiez que les zones de sécurité sont configurées pour le système logique de l’utilisateur.
Vérifiez que l’administrateur principal a alloué des ressources de pare-feu d’application (appfw-rule-set et appfw-rule) dans le profil de sécurité lié au système logique de l’utilisateur.
Pour plus d’informations, reportez-vous à la section Présentation des profils de sécurité des systèmes logiques (administrateurs principaux uniquement).
Connectez-vous au système logique en tant qu’administrateur du système logique utilisateur.
Pour plus d’informations sur les fonctions du rôle d’administrateur de système logique de l’utilisateur, consultez Présentation des systèmes logiques de l’utilisateur et Rôle d’administrateur de système logique de l’utilisateur.
Aperçu
Dans cet exemple, vous configurez les services de pare-feu d’application sur le système logique utilisateur ls-product-design illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple crée la configuration de pare-feu d’application suivante :
Jeu de règles, ls-product-design-rs1, avec les règles r1 et r2. Lorsque r1 est mis en correspondance, le trafic telnet est autorisé à traverser le pare-feu. Lorsque r2 est mis en correspondance, le trafic Web est autorisé à traverser le pare-feu.
Ensemble de règles, ls-product-design-rs2, avec la règle r1. Lorsque r1 est mis en correspondance, le trafic Facebook est bloqué par le pare-feu.
Tous les ensembles de règles nécessitent une règle par défaut, qui spécifie s’il faut autoriser ou refuser le trafic qui n’est spécifié dans aucune règle d’un ensemble de règles. L’action de règle par défaut (autoriser ou refuser) doit être l’inverse de l’action spécifiée pour la ou les autres règles de l’ensemble de règles.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security application-firewall rule-sets ls-product-design-rs1 rule r1 match dynamic-application junos:telnet set security application-firewall rule-sets ls-product-design-rs1 rule r1 then permit set security application-firewall rule-sets ls-product-design-rs1 rule r2 match dynamic-application-group junos:web set security application-firewall rule-sets ls-product-design-rs1 rule r2 then permit set security application-firewall rule-sets ls-product-design-rs1 default-rule deny set security application-firewall rule-sets ls-product-design-rs2 rule r1 match dynamic-application junos:facebook set security application-firewall rule-sets ls-product-design-rs2 rule r1 then deny set security application-firewall rule-sets ls-product-design-rs2 default-rule permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer le pare-feu d’application d’un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique de l’utilisateur et passez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez un ensemble de règles de pare-feu d’application pour ce système logique.
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1
Configurez une règle pour cet ensemble de règles et spécifiez les applications dynamiques et les groupes d’applications dynamiques auxquels la règle doit correspondre.
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1 rule r1 match dynamic-application telnet then permit
Configurez la règle par défaut pour cet ensemble de règles et spécifiez l’action à effectuer lorsque l’application dynamique identifiée n’est spécifiée dans aucune règle de l’ensemble de règles.
[edit] lsdesignadmin1@host:ls-product-design# set security application-firewall rule-sets ls-product-design-rs1 default-rule deny
Répétez ces étapes pour configurer un autre ensemble de règles, ls-product-design-rs2, si vous le souhaitez.
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security application-firewall rule-set all commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
lsdesignadmin1@host:ls-product-design# show security application-firewall rule-set all
...
application-firewall {
rule-sets ls-product-design-rs1 {
rule r1 {
match {
dynamic-application [junos:telnet];
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets ls-product-design-rs1 {
rule r2 {
match {
dynamic-application-group [junos:web];
}
then {
permit;
}
}
rule-sets ls-product-design-rs2 {
rule r1 {
match {
dynamic-application [junos:FACEBOOK];
}
then {
deny;
}
}
default-rule {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration du pare-feu applicatif
But
Affichez la configuration du pare-feu de l’application sur le système logique de l’utilisateur.
Action
À partir du mode opérationnel, entrez la show security application-firewall rule-set all commande.
lsdesignadmin1@host:ls-product-design> show security application-firewall rule-set all
Rule-set: ls-product-design-rs1
Logical system: ls-product-design
Rule: r1
Dynamic Applications: junos:telnet
Action:permit
Number of sessions matched: 10
Default rule:deny
Number of sessions matched: 100
Number of sessions with appid pending: 2
Rule-set: ls-product-design-rs1
Logical system: ls-product-design
Rule: r2
Dynamic Applications: junos:web
Action:permit
Number of sessions matched: 20
Default rule:deny
Number of sessions matched: 200
Number of sessions with appid pending: 4
Rule-set: ls-product-design-rs2
Logical system: ls-product-design
Rule: r1
Dynamic Applications: junos:FACEBOOK
Action:deny
Number of sessions matched: 40
Default rule:permit
Number of sessions matched: 400
Number of sessions with appid pending: 10
Exemple : Configuration d’AppTrack pour un système logique utilisateur
Cet exemple montre comment configurer l’outil de suivi AppTrack afin d’analyser l’utilisation de la bande passante de votre réseau.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Reportez-vous à la section Présentation de la configuration des systèmes logiques de l’utilisateur.
(Administrateur principal) Configurez la journalisation système dans le système logique principal. Reportez-vous au Guide de gestion et de surveillance du réseau.
Aperçu
Cet exemple montre comment activer le suivi des applications pour la zone de sécurité ls-product-design-trust dans le système logique utilisateur ls-product-design illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Le premier message est généré au début de la session et des messages de mise à jour sont envoyés toutes les 5 minutes par la suite ou jusqu’à la fin de la session. Un dernier message est envoyé à la fin de la session.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone ls-product-design-trust application-tracking set security application-tracking first-update
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer AppTrack pour un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et passez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Activez AppTrack pour la zone de sécurité.
[edit security] lsdesignadmin1@host:ls-product-design# set zones security-zone ls-product-design-trust application-tracking
Générez des messages de mise à jour au début de la session et toutes les 5 minutes.
[edit security] lsdesignadmin1@host:ls-product-design# set application-tracking first-update
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
lsdesignadmin1@host:ls-product-design# show security
...
application-tracking {
first-update;
}
...
zones {
security-zone ls-product-design-trust {
...
application-tracking;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification du fonctionnement d’AppTrack
- Vérification des statistiques de session du flux de sécurité
- Vérification des statistiques du cache du système d’application
- Vérification de l’état des valeurs des compteurs d’identification des applications
Vérification du fonctionnement d’AppTrack
But
Consultez régulièrement les compteurs AppTrack pour surveiller le suivi.
Action
À partir du mode opérationnel, entrez la show application-tracking counters commande.
Vérification des statistiques de session du flux de sécurité
But
Comparez le nombre d’octets et de paquets dans les messages enregistrés avec les statistiques de session de la sortie de la show security flow session commande.
Action
À partir du mode opérationnel, entrez la show security flow session commande.
Vérification des statistiques du cache du système d’application
But
Comparez les statistiques de cache telles que l’adresse IP, le port, le protocole et le service d’une application à partir de la sortie de la show services application-identification application-system-cache commande.
Action
À partir du mode opérationnel, entrez la show services application-identification application-system-cache commande.
Vérification de l’état des valeurs des compteurs d’identification des applications
But
Comparez les statistiques de session pour les valeurs des compteurs d’identification des applications à partir de la sortie de la show services application-identification counter commande.
Action
À partir du mode opérationnel, entrez la show services application-identification counter commande.