Stratégies de sécurité unifiées
Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques comme conditions de correspondance dans le cadre des conditions de correspondance existantes à 5 ou 6 uplets (5 uplets avec pare-feu utilisateur) existantes pour détecter les modifications apportées à l’application au fil du temps.
Présentation des stratégies unifiées
Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques comme conditions de correspondance dans le cadre des conditions de correspondance existantes à 5 ou 6 uplets (5 uplets avec pare-feu utilisateur) existantes pour détecter les modifications apportées à l’application au fil du temps. Si le trafic correspond à la règle de stratégie de sécurité, une ou plusieurs actions définies dans la stratégie sont appliquées au trafic.
En ajoutant des applications dynamiques aux critères de correspondance, le trafic de données est classifié en fonction des résultats de l’inspection des applications de couche 7. AppID identifie les applications dynamiques ou en temps réel de couche 4 à 7. Une fois qu’une application particulière est identifiée et que la stratégie correspondante est trouvée, les actions sont appliquées en fonction de la stratégie.
Il n’est pas obligatoire de configurer des applications dynamiques en tant que critères de correspondance dans une stratégie de sécurité.
Voici des exemples de configuration d’applications dynamiques en tant que condition de correspondance au sein d’une stratégie de sécurité :
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE
Voici des exemples de configuration de groupes d’applications dynamiques en tant que condition de correspondance au sein d’une stratégie de sécurité :
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping
Avantages
Simplifie la gestion des politiques de sécurité basée sur les applications au niveau de la couche 7.
Permet à votre appareil de s’adapter aux changements dynamiques du trafic sur le réseau.
Offre un meilleur contrôle et une plus grande extensibilité pour gérer le trafic des applications dynamiques qu’une stratégie de sécurité traditionnelle.
Avant d’utiliser les stratégies unifiées sur les pare-feu SRX Series
Avec l’introduction de stratégies unifiées dans Junos OS version 18.2, certaines commandes sont déconseillées (plutôt que immédiatement supprimées) pour assurer la rétrocompatibilité. Cela vous permet de mettre votre ancienne configuration en conformité avec la nouvelle.
Lorsque vous effectuez une mise à niveau vers Junos OS versions 19.4R3 ou 20.2R3, le dispositif de sécurité affiche l’avertissement suivant lorsque vous tentez de valider la configuration incluant les commandes obsolètes :
#show security appliction-firewall {## warning: 'application-firewall' is deprecated
Nous vous recommandons de migrer vers des stratégies unifiées pour mettre à jour votre configuration avec les fonctionnalités prises en charge.
Les sections suivantes fournissent des détails sur les configurations non prises en charge dans l’ancienne version et sur la façon dont vous pouvez les activer avec la nouvelle version.
Sécurité des applications
Junos OS version 15.1X49 | (après Junos OS version 18.2) |
---|---|
Configurez des règles de pare-feu pour chaque application afin d’autoriser ou de rejeter le trafic en fonction des applications.
|
Créez des politiques de sécurité avec des applications dynamiques comme critères de correspondance pour obtenir les mêmes fonctionnalités que le pare-feu d’applications.
|
Exemple: Les exemples suivants montrent la différence entre la configuration du pare-feu d’application avec la version 15.1X49 et la configuration avec la version 19.4R3-S1 dans les stratégies unifiées. Nous utilisons un exemple de configuration de règles de pare-feu d'application pour bloquer les applications Facebook.
Avant la mise à niveau
set security policies from-zone untrust to-zone trust policy policy1 match source-address any set security policies from-zone untrust to-zone trust policy policy1 match destination-address any set security policies from-zone untrust to-zone trust policy policy1 match application junos-http set security policies from-zone untrust to-zone trust policy policy1 then permit application-services application-firewall rule-set rs1 set security application-firewall rule-sets rs1 rule r1 match dynamic-application [junos:FACEBOOK-ACCESS] set security application-firewall rule-sets rs1 rule r1 then deny set security application-firewall rule-sets rs1 default-rule permit
Après la mise à niveau
set security policies from-zone trust to-zone untrust policy policy-1 match source-address any set security policies from-zone trust to-zone untrust policy policy-1 match destination-address any set security policies from-zone trust to-zone untrust policy policy-1 match application any set security policies from-zone trust to-zone untrust policy policy-1 match dynamic-application junos:FACEBOOK-ACCESS set security policies from-zone trust to-zone untrust policy policy-1 then reject profile profile1
Stratégies IDP
Junos OS version 15.1X49 | (après Junos OS version 18.2) |
---|---|
Attribuez une stratégie IDP en tant que stratégie IDP active et utilisez-la comme critère de correspondance dans une stratégie de sécurité pour détecter et prévenir les intrusions. |
Configurez plusieurs stratégies IDP et appliquez-les à la stratégie de sécurité. Vous pouvez même définir l’une des stratégies IDP comme stratégie par défaut. |
|
Spécifiez plusieurs stratégies IDP par règle de pare-feu :
|
Exemple: Les exemples suivants montrent la différence entre la configuration IDP avec 15.1X49 et la configuration avec 19.4R3 dans les stratégies unifiées. Notez que, dans les stratégies unifiées, vous avez la possibilité de configurer plusieurs stratégies IDP.
Avant la mise à niveau
set security idp active-policy recommended set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match source-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match destination-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos:GMAIL set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 then permit application-services idp
Après la mise à niveau
set security idp idp-policy recommended set security idp idp-policy idpengine set security idp default-policy recommended set from-zone trust to-zone untrust policy P2 match source-address any set from-zone trust to-zone untrust policy P2 match destination-address any set from-zone trust to-zone untrust policy P2 match application junos-defaults set from-zone trust to-zone untrust policy P2 match dynamic-application junos:GMAIL set from-zone trust to-zone untrust policy P1 then permit application-services idp-policy recommended set from-zone trust to-zone untrust policy P2 then permit application-services idp-policy idpengine
Sécurité du contenu
Junos OS version 15.1X49 | (après Junos OS version 18.2) |
---|---|
Configurez les paramètres de la fonctionnalité de sécurité du contenu sous chaque profil de fonctionnalité.
|
Configurez les fonctionnalités de sécurité du contenu dans la configuration par défaut. La configuration par défaut de Content Security applique des paramètres que vous n’avez peut-être pas configurés pour une fonctionnalité de Content Security spécifique.
|
Exemple: Les exemples suivants montrent la différence entre la configuration de Content Security avec 15.1X49 et la configuration avec 19.4R3-S1 dans les stratégies unifiées. Nous utilisons un exemple de configuration de l'antivirus Sophos sur votre appareil de sécurité.
Avant la mise à niveau
edit security utm feature-profile anti-virus mime-whitelist edit security utm feature-profile anti-virus url-whitelist edit security utm feature-profile anti-virus sophos-engine
Après la mise à niveau
edit security utm default-configuration anti-virus mime-whitelist edit security utm default-configuration anti-virus url-whitelist edit security utm default-configuration anti-virus sophos-engine
Présentation de la configuration des stratégies unifiées
Les sections suivantes fournissent plus d’informations sur les stratégies unifiées :
- Options de configuration dynamique des applications
- Ports et protocoles par défaut comme critères de correspondance des applications
- Politique par défaut de pré-ID
- Actions de stratégie par défaut avant l’identification dynamique des applications
- Utilisation globale des stratégies avec des stratégies unifiées
- Actions stratégiques unifiées
- Profil de redirection pour l’action de rejet
- Profil proxy SSL pour l’action de rejet
- Critères et règles de correspondance pour des stratégies unifiées
- Limites de la configuration de stratégies unifiées
Options de configuration dynamique des applications
Le Tableau 1 présente les options de configuration d’une stratégie unifiée avec des applications dynamiques.
Options de configuration dynamique des applications |
Description |
---|---|
Applications dynamiques ou groupes d’applications |
Spécifiez des applications dynamiques ou un groupe d’applications dynamiques. En voici quelques exemples :
|
Quelconque |
La configuration de l’application dynamique en tant qu’installe |
Aucun |
La configuration de l’application dynamique en tant qu’ignore Lors de la mise à niveau de la version de Junos OS (où les applications dynamiques n’étaient pas prises en charge), toutes les stratégies traditionnelles existantes sont considérées comme des stratégies avec l’application dynamique configurée en tant que |
Application dynamique non configurée |
Si une application dynamique n’est pas configurée dans une stratégie de sécurité, celle-ci est considérée comme une stratégie de sécurité traditionnelle Cette stratégie est similaire à une stratégie avec l’application dynamique configurée en tant que |
À partir des versions 19.4R1 et 20.1R1 de Junos OS, la stratégie de sécurité ne prend pas en charge l’utilisation des applications suivantes comme critères de correspondance des applications dynamiques :
-
junos :HTTPS
-
junos :POP3S
-
junos :IMAPS
-
junos :SMTPS
La mise à niveau logicielle vers les versions 19.4R1 et 20.1R1 et ultérieures de Junos OS échoue pendant la validation si l’une des stratégies de sécurité est configurée avec junos :HTTPS, junos :POP3S, junos :IMAPS, junos :SMTPS comme applications dynamiques comme critères de correspondance.
Nous vous recommandons d’utiliser cetterequest system software validate package-name
option avant de passer aux versions mentionnées ci-dessus.
Nous vous recommandons de supprimer toute configuration qui inclut les applications dynamiques junos :HTTPS, junos :IMAPS, junos :SMTPS ou junos :POP3S comme critères de correspondance dans les stratégies de sécurité.
Ports et protocoles par défaut comme critères de correspondance des applications
À partir de Junos OS version 18.2R1, l’option junos-defaults
est introduite dans la configuration de la stratégie de sécurité en tant que critère de correspondance de l’application. Le junos-defaults
groupe contient des instructions préconfigurées qui incluent des valeurs prédéfinies pour les applications courantes. Étant donné que les protocoles et les ports par défaut sont hérités de junos-defaults
, il n’est pas nécessaire de les configurer explicitement de manière explicite, ce qui simplifie la configuration des stratégies de sécurité.
Dans l’exemple suivant, la stratégie de sécurité L7-test-policy utilise junos:HTTP
comme application dynamique et hérite des ports TCP de destination : 80, 3128, 8000 et 8080 comme critères de correspondance de l’application.
set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP
Si l’application ne dispose pas de ports et de protocoles par défaut, elle utilise les ports et protocoles par défaut de l’application dépendante. Par exemple, junos :FACEBOOK-CHAT utilise les protocoles et les ports HTTP2, HTTPS et SPDY par défaut.
L’option junos-defaults
doit être configurée en même temps qu’une application dynamique. Si vous configurez l’option sans spécifier d’application junos-defaults
dynamique, un message d’erreur s’affiche et la validation de la configuration échoue. Utilisez la show security policies detail
commande pour valider l’option junos-defaults
.
Politique par défaut de pré-ID
Une stratégie unifiée exploite les informations de l’AppID pour qu’elles correspondent à l’application et prennent les mesures spécifiées dans la stratégie. Avant d’identifier l’application finale, il n’est pas possible de faire correspondre précisément la politique.
La stratégie par défaut de pré-ID permet temporairement à la session d’être créée afin que DPI puisse récupérer le paquet et effectuer l’identification de l’application (AppID).
À partir de Junos OS version 23.4R1, la stratégie par défaut antérieure à l’ID ( pre-id-default-policy
) refuse le flux avant d’effectuer l’identification de l’application (AppID) lorsqu’il n’existe aucune stratégie potentielle pour autoriser le flux.
Lorsque l’équipement reçoit le premier paquet d’un flux de trafic, il effectue la correspondance de base à 5 uplets et vérifie les stratégies potentielles définies pour déterminer comment traiter le paquet. Si l’action « refuser » de toutes les stratégies potentielles est « refuser » et que l’action de stratégie par défaut est également définie sur « refuser », l’appareil refuse le trafic et n’effectue pas d’identification de l’application (AppID).
Si une stratégie comporte une action autre que « refuser », l’appareil exécute une résolution pour identifier l’application.
L’appareil recherche d’éventuelles politiques sur le contexte de zone et le contexte global.
Actions de stratégie par défaut avant l’identification dynamique des applications
Avant qu’une application ne soit identifiée par l’ID d’application (AppID), les pre-id-default-policy
options sont appliquées à la session. La valeur du délai d’expiration de session, ainsi que le mode de journalisation de session requis, sont appliqués en fonction de la pre-id-default-policy
configuration. S’il n’y a pas de configuration dans la pre-id-default-policy
strophe, les valeurs par défaut du délai d’expiration de session sont appliquées à la session et aucun journal n’est généré pour le pre-id-default-policy
fichier .
Nous recommandons aux clients d’implémenter la set security policies pre-id-default-policy then log session-close
configuration, comme indiqué ci-dessous, dans leurs propres environnements.
# show security policies pre-id-default-policy then { log { session-close; } }
Cette configuration garantit que les journaux de sécurité sont générés par le pare-feu SRX Series si un flux ne peut pas quitter le pre-id-default-policy
. Ces événements résultent généralement de l’incapacité de JDPI à classer correctement le trafic, bien qu’ils puissent également indiquer des tentatives potentielles d’échapper au moteur AppID.
Dans les versions récentes de Junos OS, la configuration d’usine par défaut d’un pare-feu SRX Series inclut la session-close
configuration.
La configuration de la journalisation session-init pour le pre-id-default-policy
peut générer une grande quantité de journaux. Chaque session qui pénètre dans le pare-feu SRX Series et qui correspond initialement à la stratégie pre-id-default-policy génère un événement. Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.
Utilisation globale des stratégies avec des stratégies unifiées
Lorsqu’une recherche de stratégie est implémentée, les stratégies de sécurité basées sur des zones sont prioritaires sur les stratégies globales.
Si la session correspond à une stratégie unifiée, que ce soit au niveau de la zone ou au niveau global, la stratégie est ajoutée à la liste des correspondances potentielles des stratégies. Si la session ne correspond pas à une stratégie au niveau de la zone, la correspondance de stratégie suivante se produit au niveau global. Les stratégies de niveau global ont les mêmes critères de correspondance que n’importe quelle autre stratégie de sécurité (par exemple : adresse source, adresse de destination, application, application dynamique, etc.).
Actions stratégiques unifiées
Dans une configuration de stratégie unifiée, spécifiez l’une des actions suivantes :
-
Permit (Autoriser) : autorise le trafic.
-
Refuser : abandonne le trafic et ferme la session.
-
Rejeter : notifie le client, abandonne le trafic et ferme la session.
Profil de redirection pour l’action de rejet
Stratégies unifiées, consignation des actions d’abandon et de rejet. Les stratégies unifiées n’informent pas les clients connectés des actions d’abandon et de rejet. Les clients ne savent pas que la page Web n’est pas accessible et peuvent continuer leurs tentatives d’y accéder.
À partir de Junos OS version 18.2R1, un profil de redirection peut être configuré au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez définir une réponse dans la stratégie unifiée pour avertir les clients connectés.
Pour fournir une explication de l’action ou pour rediriger le client vers une page Web informative, utilisez l’option au niveau de la redirect-message
[edit security dynamic-application profile name]
hiérarchie avec l’action de rejet ou de refus dans une configuration de stratégie unifiée pour afficher un message personnalisé.
Lorsque vous configurez l’option de redirection, vous pouvez spécifier le message personnalisé ou l’URL vers laquelle le client est redirigé.
Limites de la configuration d’un profil de redirection dans les stratégies unifiées
La configuration d’un profil de redirection dans les stratégies unifiées présente des limites. Il s’agit notamment de :
-
La prise en charge de l’action de redirection avec des messages de blocage avec une URL de redirection n’est pas disponible pour les applications non-HTTP ou non-HTTPS.
-
Une stratégie unifiée ne vérifie pas la validité et l’accessibilité d’une URL de redirection configurée par l’utilisateur.
-
Pour le traitement de texte clair, les paquets HTTP désordonnés ou les requêtes HTTP segmentées, les actions de stratégie disponibles sont rejeter ou refuser. Un profil de redirection n’est pas disponible.
-
Le profil de redirection ne peut être appliqué que dans les stratégies unifiées. L’action de rejet des stratégies de sécurité traditionnelles ne prend pas en charge une action de redirection avec des profils de messages de blocage ou une URL de redirection.
Profil proxy SSL pour l’action de rejet
À partir de Junos OS version 18.2R1, vous pouvez configurer un profil de redirection au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez appliquer un profil proxy SSL au trafic. Le proxy SSL déchiffre le trafic et la fonctionnalité d’identification des applications permet d’identifier l’application. Ensuite, vous pouvez prendre des mesures pour rediriger ou supprimer le trafic en fonction de la configuration.
Prenons l’exemple suivant :
Dans cet exemple, vous rejetez certaines des applications Facebook telles que chat, Farmville, etc. dans la politique « policy-1 ». Comme Facebook est une application cryptée, vous avez d’abord besoin d’un proxy SSL pour déchiffrer le trafic.
policy policy-1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:FACEBOOK-CHAT junos:FACEBOOK-FARMVILLE junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-SUPERPOKE junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-VIDEO ]; } then { reject { ssl-proxy { profile-name test; } } log { session-init; session-close; } } }
Dans cet exemple, la stratégie rejette le trafic Facebook chiffré et applique le profil proxy SSL configuré. Le proxy SSL déchiffre le trafic et JDPI identifie l’application.
La stratégie prend maintenant les mesures suivantes en fonction de votre configuration :
-
Redirige l’accès du client vers une autre URL et ferme la session d’origine.
-
Notifie le client à l’aide de messages texte prédéfinis et ferme la session
-
Ferme uniquement la session. Dans l’exemple, la stratégie ferme la session.
Critères et règles de correspondance pour des stratégies unifiées
- Correspondance implicite et explicite unifiée des politiques
- Chevauchement des profils pour les services de couche 7
- Déséquilibre des politiques
Correspondance implicite et explicite unifiée des politiques
À partir de Junos OS version 18.2R1, la commande unified-policy-explicit-match
est introduite au niveau de la [edit security policies]
hiérarchie. Cette commande définit le comportement explicite et implicite de correspondance des stratégies et est désactivée par défaut.
-
Correspondance explicite : si une application dépendante n’a pas de stratégie de correspondance, le trafic est abandonné si la correspondance explicite est activée. Seules les stratégies de sécurité explicitement configurées pour l’application sont appliquées.
-
Correspondance implicite : si l’application dépendante n’a pas de stratégie de correspondance, la stratégie de sécurité configurée pour l’application de base est appliquée.
Par défaut, les stratégies unifiées appliquent des règles implicites aux applications dépendantes.
Dans l’exemple du tableau 2, la stratégie unifiée P3 est configurée pour le trafic FACEBOOK-ACCESS. HTTP est une application dépendante de FACEBOOK-ACCESS et aucune stratégie de sécurité n’est explicitement configurée pour elle.
Application dynamique |
Stratégie configurée |
---|---|
HTTP (en anglais) |
Aucun |
ACCÈS FACEBOOK |
|
Les résultats pour le comportement de correspondance implicite et explicite sont présentés dans le tableau 3.
Application identifiée |
Correspondance des stratégies |
Type de règle explicite ou implicite |
Résultat |
---|---|---|---|
Aucun |
P3 (en anglais) |
Implicite (explicite n’est pas activé) |
L’application identifiée est HTTP. Il n’y a pas de stratégie de sécurité correspondante configurée pour HTTP. La correspondance explicite n’est pas activée (correspondance implicite), de sorte que le trafic est traité jusqu’à ce que FACEBOOK-ACCESS soit identifié. La politique de sécurité configurée pour FACEBOOK-ACCESS (stratégie P3) est appliquée. |
HTTP (en anglais) |
|||
ACCÈS FACEBOOK |
|||
HTTP (en anglais) |
Aucun |
Explicite |
L’application identifiée est HTTP. Il n’y a pas de stratégie de correspondance disponible pour HTTP. La correspondance explicite est activée, de sorte qu’aucune stratégie de sécurité n’est appliquée dans ce cas. |
Chevauchement des profils pour les services de couche 7
Lors de l’utilisation de stratégies unifiées, si les résultats d’AppID n’ont pas encore identifié l’application finale, une recherche de stratégies peut renvoyer une liste de stratégies au lieu d’une stratégie fixe. Ces stratégies sont appelées stratégies de correspondance potentielle. Avant que l’application finale ne soit identifiée, un conflit peut se produire en raison de plusieurs correspondances de stratégie.
Dans ce cas, un profil approprié ou un profil par défaut est appliqué à des services tels que AppQoS, le proxy SSL, la sécurité du contenu et l’IDP.
Déséquilibre des politiques
Lorsque l’option policy rematch
est activée, la stratégie unifiée permet à l’appareil de réévaluer une session active lorsque sa stratégie de sécurité associée est modifiée.
La session reste ouverte si elle continue à correspondre à la stratégie qui l’a autorisée initialement. La session se ferme si la stratégie associée est renommée, désactivée ou supprimée. Utilisez cette extensive
option pour réévaluer une session active lorsque la stratégie de sécurité associée est renommée, désactivée ou supprimée.
Si la réappariation de stratégie est configurée dans une stratégie unifiée avant une correspondance finale, le comportement de réappariement peut entraîner la fermeture d’une session. Après la correspondance finale, une réappariation de stratégie déclenche une autre recherche de stratégie en fonction des critères de correspondance à 6 uplets et de l’application finale identifiée.
Configurer policy-rematch
et les policy-rematch extensive
options au niveau de la [edit security policies]
hiérarchie.
Limites de la configuration de stratégies unifiées
La configuration de stratégies unifiées présente des limites. Il s’agit notamment de :
-
Une session existante peut se fermer dans les cas suivants :
-
Lorsqu’il y a un changement dans la correspondance finale de la stratégie.
-
Lorsqu’une nouvelle stratégie est insérée dans les stratégies existantes, et si cette nouvelle stratégie est configurée avec de nouveaux services.
-
Lorsqu’une stratégie de correspondance finale permet d’activer de nouveaux services après la création de la session et avant la correspondance finale.
-
-
Le VPN basé sur les stratégies n’est pas pris en charge pour les stratégies unifiées et ne peut être appliqué qu’à la stratégie traditionnelle.
- Le traitement du trafic ALG sur les stratégies unifiées n’engage pas les fonctions ALG.
- Les ALG sont appliquées lors de la mise en correspondance avec les stratégies de sécurité traditionnelles.
- Les stratégies utilisant une condition de correspondance de
dynamic-application as none
sont traitées comme des stratégies classiques.
- Les stratégies utilisant une condition de correspondance de
- FTP est une exception à la prise en charge d’ALG sur les stratégies unifiées autorisant l’analyse de fichiers FTP pour Content Security Antivirus.
- Nécessite l’utilisation de ou
dynamic-application junos:FTP
.dynamic-application any
- Reportez-vous à la section Activation de l’analyse antivirus FTP (procédure CLI)
- Nécessite l’utilisation de ou
-
Une stratégie de sécurité configurée avec GPRS peut ne pas fonctionner si elle fait partie d’une liste de correspondances potentielles.
-
Une authentification par VPN de groupe et pare-feu utilisateur peut être appliquée à une stratégie de sécurité traditionnelle.
-
Les informations finales sur la correspondance des stratégies peuvent ne pas être disponibles dans les journaux d’initialisation de session pour les stratégies exploitant des applications dynamiques.
Voir aussi
Exemple : Configurer une stratégie unifiée à l’aide d’un profil de message de redirection
Cet exemple décrit comment configurer une stratégie unifiée avec un profil de message de redirection. Dans cet exemple, vous configurez un profil de redirection avec une URL de redirection. Vous utilisez le profil de redirection comme message de blocage dans la stratégie de trafic dans les applications dynamiques GMAIL et FACEBOOK-CHAT. Simultanément, vous configurez l’application junos-defaults
de manière à ce que le port et le protocole par défaut des applications dynamiques soient hérités en tant que critère de correspondance du port de destination et du protocole de la stratégie actuelle.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series exécutant Junos OS version 18.2R1. Cet exemple de configuration est testé avec Junos OS version 18.2R1.
Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous définissez le profil de redirection en tant que réponse lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet. Par le biais d’un profil de redirection, vous fournissez une explication de l’action ou vous redirigez la demande du client vers une page Web informative lorsque l’action de rejet ou de refus est appliquée dans une stratégie de sécurité.
Pour atteindre ces objectifs, vous devez effectuer les tâches suivantes :
Configurez le profil de redirection avec une URL de redirection telle que http://abc.company.com/information/block-message et utilisez-la dans la stratégie comme message de blocage.
Configurez les critères
source-address
de correspondance de la politique de sécurité etdestination-address
avec la valeurany
.Configurez l’application avec
junos-defaults
, de sorte que le port et le protocole par défaut de soient hérités en tant que critère de correspondance du port de destination et du protocole dedynamic-application
la stratégie actuelle.Configurez
dynamic-application
avec[junos:GMAIL, junos:FACEBOOK-CHAT]
afin que la stratégie puisse appliquer le profil de message de blocage sur les applications.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone trust set security zones security-zone untrust set security dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie unifiée avec un profil de message de redirection :
Configurez les zones de sécurité.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Créez un profil pour le message de redirection.
[edit security] user@host# set dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message
Créez une politique de sécurité avec une application dynamique comme critère de correspondance.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Définissez l’action de stratégie.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies
commandes and show security dynamic-application
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; } then { reject { profile profile1; } } } }
[edit]
user@host#
show security dynamic-application profile profile1 { redirect-message { type { redirect-url { content http://abc.company.com/information/block-message; } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de la configuration unifiée des politiques
But
Vérifiez que la configuration de la stratégie unifiée est correcte.
Action
À partir du mode opérationnel, entrez la show security policies
commande pour afficher un résumé de toutes les stratégies de sécurité sur l’appareil.
user@host>
show security policies
Default policy: deny-all
Pre ID default policy: permit-all
From zone: trust, To zone: untrust
Policy: p2, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:GMAIL, junos:FACEBOOK-CHAT
dynapp-redir-profile: profile1
À partir du mode opérationnel, entrez la show security policies detail
commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’appareil.
user@host>
show security policies detail
Default policy: deny-all
Pre ID default policy: permit-all
Policy: p2, action-type: reject, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [443-443]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [5432-5432]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [80-80]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [3128-3128]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8000-8000]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8080-8080]
IP protocol: 17, ALG: 0, Inactivity timeout: 60
Source port range: [0-0]
Destination port range: [1-65535]
Dynamic Application:
junos:GMAIL: 51
dynapp-redir-profile: profile1
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Signification
La sortie affiche des informations sur toutes les sessions de sécurité actuellement actives sur l’appareil. Vérifiez les informations suivantes :
Nom de la stratégie configurée
Adresses source et de destination
Applications configurées
Applications dynamiques configurées
Action de rejet de stratégie
Configurer une catégorie d’URL avec des stratégies unifiées
- Comprendre la catégorie d’URL avec les stratégies unifiées
- Exemple : Configuration d’une stratégie unifiée à l’aide d’une catégorie d’URL
Comprendre la catégorie d’URL avec les stratégies unifiées
À partir de la version 18.4R1 de Junos OS, la fonctionnalité de stratégies unifiées a été améliorée pour inclure les catégories d’URL comme critères de correspondance pour les catégories de filtrage Web. Les catégories d’URL peuvent être configurées selon des politiques unifiées, avec ou sans application dynamique. .
Lorsque la catégorie d’URL est configurée en tant que url-category any
stratégie, la stratégie correspond à toutes les catégories de trafic configurées pour les stratégies unifiées.
Lorsque la catégorie d’URL est configurée en tant que url-category none
stratégie, la catégorie d’URL n’est pas utilisée dans la recherche de stratégie. La stratégie unifiée configurée avec url-category none
est considérée comme la priorité la plus élevée pour la correspondance de stratégie pour un trafic. Lorsque la catégorie d’URL d’une stratégie n’est pas configurée ou lorsque vous mettez à niveau un appareil de la version précédente vers la dernière version, la catégorie d’URL de toutes les stratégies est considérée comme url-category none
.
Limites de la catégorie d’URL avec des stratégies unifiées
L’utilisation de catégories d’URL dans une stratégie unifiée présente les limitations suivantes :
Seuls les ports généralement utilisés, tels que les trafics HTTP et HTTPs, sont pris en charge par
url-category
. Par conséquent, la recherche de stratégie prend en charge les trafics HTTP et HTTPs.
Exemple : Configuration d’une stratégie unifiée à l’aide d’une catégorie d’URL
Cet exemple décrit comment configurer une stratégie unifiée avec une catégorie d’URL.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series exécutant Junos OS version 18.4R1. Cet exemple de configuration est testé avec Junos OS version 18.4R1.
Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, la catégorie URL est ajoutée à la stratégie de sécurité en tant que critère de correspondance pour la catégorie de filtrage Web.
Pour atteindre ces objectifs, vous devez effectuer les tâches suivantes :
Configurez les critères
source-address
de correspondance de la politique de sécurité etdestination-address
avec la valeurany
.Configurez l’application avec
junos-defaults
, de sorte que le port et le protocole par défaut de soient hérités en tant que critère de correspondance du port de destination et du protocole dedynamic-application
la stratégie actuelle.Configurez
dynamic-application
avec[junos:GMAIL, junos:FACEBOOK-CHAT]
afin que la stratégie puisse appliquer le profil de message de blocage sur les applications.Configurez
url-category
avecEnhanced_News_and_Media
des critères de correspondance pour la catégorie de filtrage Web.
Configuration
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
Configuration rapide de la CLI
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procédure étape par étape
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie unifiée avec un profil de message de redirection :
Configurez les zones de sécurité.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Créez une politique de sécurité avec une catégorie d’URL comme critère de correspondance.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Définissez l’action de stratégie.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies
commandes and show security dynamic-application
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; url-category Enhanced_News_and_Media; } then { reject { profile profile1; } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de la configuration unifiée des politiques
But
Vérifiez que la configuration de la stratégie unifiée est correcte.
Action
À partir du mode opérationnel, entrez la show security policies
commande pour afficher un résumé de toutes les stratégies de sécurité sur l’appareil.
user@host>
show security policies
Default policy: permit-all
Pre ID default policy: permit-all
From zone: untrust, To zone: internet
Policy: ip1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-dns-udp, junos-dns-tcp
Action: permit, log
Policy: ip2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-telnet, junos-dns-udp, junos-dns-tcp, junos-ftp, junos-http, junos-https
Action: permit, log
From zone: untrust, To zone: trust
Policy: up3, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source addresses: H1, H1_v6
Destination addresses: H0, H0_v6
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:HTTP, junos:GOOGLE-GEN, junos:YAHOO, junos:SSL
Url-category: Enhanced_Search_Engines_and_Portals, cust_white
Action: permit, log
Policy: up4, State: enabled, Index: 9, Scope Policy: 0, Sequence number: 2
Source addresses: as1
Destination addresses: as0
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:web, junos:FTP
Url-category: Enhanced_Private_IP_Addresses, cust_white
Action: permit, log
Signification
La sortie affiche des informations sur toutes les sessions de sécurité actuellement actives sur l’appareil. Vérifiez les informations suivantes :
Nom de la stratégie configurée
Adresses source et de destination
Applications configurées
Applications dynamiques configurées
Catégorie d’URL configurée
Action de rejet de stratégie
Configurer les applications dans le cadre de stratégies unifiées
- Applications dans les politiques unifiées
- Exemple : Configurer une stratégie unifiée à l’aide d’applications dynamiques
Applications dans les politiques unifiées
À partir de Junos OS version 19.1R1, la configuration de l’instruction application
au niveau de la [edit security policies from-zone zone-name to-zone zone-name policy policy-name match]
hiérarchie est facultative si l’instruction dynamic-application
est configurée au même niveau hiérarchique.
Dans les versions antérieures à Junos OS version 19.1R1, il est obligatoire de configurer l’instruction application
même si elle dynamic-application
est configurée.
Lorsque l’option
application
est définie, c’est l’application définie qui est utilisée.Lorsque l’option n’est
application
pas définie et que l’optiondynamic-application
est définie commeany
, l’applicationany
est implicitement ajoutée.Lorsque l’option n’est
application
pas définie et que l’option est définie (et n’estdynamic-application
pas configurée en tant queany
), l’applicationjunos-defaults
est implicitement ajoutée.
Exemple : Configurer une stratégie unifiée à l’aide d’applications dynamiques
Cet exemple décrit comment configurer une stratégie unifiée à l’aide d’applications dynamiques.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series exécutant Junos OS version 19.1R1. Cet exemple de configuration est testé avec Junos OS version 19.1R1.
Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, les applications dynamiques sont ajoutées à la stratégie de sécurité en tant que critères de correspondance.
Pour atteindre ces objectifs, effectuez les tâches suivantes :
Configurez les critères
source-address
de correspondance de la politique de sécurité etdestination-address
avec la valeurany
.Configurer
dynamic-application
avec[junos:CNN, junos:BBC]
pour que la stratégie puisse autoriser les applications junos :CNN et junos :BBC.
Configuration
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
Configuration rapide de la CLI
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p3 match source-address any set security policies from-zone trust to-zone untrust policy p3 match destination-address any set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC set security policies from-zone trust to-zone untrust policy p3 then permit
Procédure étape par étape
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie unifiée à l’aide d’applications dynamiques :
Configurez les zones de sécurité.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Créez une politique de sécurité avec une application dynamique comme critère de correspondance.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 match source-address any user@host# set from-zone trust to-zone untrust policy p3 match destination-address any user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC
Définissez l’action de stratégie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p3 { match { source-address any; destination-address any; dynamic-application [ junos:CNN junos:BBC ]; } then { permit; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de la configuration unifiée des politiques
But
Vérifiez que la configuration de la stratégie unifiée est correcte.
Action
À partir du mode opérationnel, entrez la show security policies
commande pour afficher un résumé de toutes les stratégies de sécurité sur l’appareil.
user@host>
show security policies
Policy: p3, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:CNN, junos:BBC
Action: permit
À partir du mode opérationnel, entrez la show security policies detail
commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’appareil.
user@host>
show security policies detail
Default policy: permit-all
Pre ID default policy: permit-all
Policy: p3, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: TCP, ALG: 0, Inactivity timeout: 1800
Destination ports: 80, 443, 3128, 8000, 8080
Dynamic Application:
junos:BBC: 1754
junos:CNN: 988
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Signification
La sortie affiche des informations sur toutes les sessions de sécurité actuellement actives sur l’appareil. Vérifiez les informations suivantes :
Nom de la stratégie configurée
Adresses source et de destination
Applications configurées
Note:Le
Applications
champ est renseigné automatiquement et sa valeurjunos-defaults
est ajoutée implicitement.Applications dynamiques configurées
Mesures politiques
Configurer des micro-applications dans le cadre de politiques unifiées
À partir de Junos OS version 19.2R1, vous pouvez configurer des micro-applications dans une stratégie unifiée. Les micro-applications sont des sous-fonctions d’une application. Les micro-applications permettent un contrôle granulaire d’une application au niveau d’une sous-fonction au lieu de bloquer ou d’autoriser l’application entière. Par défaut, la détection des micro-applications est désactivée.
Le module d’identification des applications (AppID) détecte une application au niveau d’une sous-fonction sur votre réseau. Les stratégies de sécurité exploitent les informations d’identité de l’application déterminées par le module AppID. Une fois qu’une application spécifique est identifiée, une action telle qu’autoriser, refuser, rejeter ou rediriger est appliquée au trafic en fonction de la stratégie configurée sur l’appareil. Vous devez activer la détection des micro-applications pour les utiliser dans une stratégie de sécurité. Reportez-vous à la section Activation et désactivation de la détection des micro-applications.
Limiter le nombre de recherches de stratégies
Pour traiter une stratégie, la recherche de stratégie doit renvoyer l’état de correspondance final de l’application. Lors de l’utilisation d’une micro-application, la classification des applications n’atteint pas l’état de correspondance final , car la micro-application change constamment au cours de la session. Étant donné que la micro-application passe d’une transaction à l’autre, un nombre illimité de recherches de stratégies est tentée.
Utilisez l’instruction unified-policy max-lookups
au niveau de la [edit security policies]
hiérarchie pour limiter le nombre de recherches de stratégie.
Configurer des micro-applications
Pour autoriser une application de base et toutes ses micro-applications dépendantes, vous pouvez configurer une stratégie unifiée en spécifiant l’application de base comme critère de correspondance. Il n’est pas nécessaire de spécifier explicitement chaque application dépendante en tant que critère de correspondance pour la stratégie. Par exemple, si vous spécifiez l'application junos-MODBUS de base comme critère de correspondance dans une stratégie unifiée, vous n'avez pas besoin de configurer les micro-applications de l junos-MODBUS 'application (junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL) en tant que critères de correspondance pour la stratégie.
Si vous souhaitez définir une stratégie unifiée pour le contrôle au niveau granulaire, vous devez spécifier les micro-applications de l’application de base en tant que critères de correspondance pour la stratégie. Vous ne devez pas définir l’application de base en tant que critère de correspondance dans la stratégie. Pour une configuration des stratégies plus précise, spécifiez-les junos:MODBUS-READ-COILS en tant que critères correspondants dans une stratégie unifiée. Assurez-vous que l’application junos:MODBUS de base n’est pas définie comme un critère de correspondance dans la même stratégie unifiée.
Recherche de stratégies avec des micro-applications
La détection des micro-applications est désactivée par défaut. Pour utiliser des micro-applications comme critères de correspondance pour la recherche de stratégie, vous devez activer la détection des micro-applications, puis les spécifier en tant que critères de correspondance pour la stratégie unifiée. Si vous n’avez pas activé la détection des micro-applications, le module d’identification des applications (AppID) ne détecte aucune micro-application et considère l’application de base comme critère de correspondance final. Par exemple, considérons l’application junos-:MODBUS de base qui a deux micro-applications junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL:
Si vous n’avez pas activé la détection des micro-applications, junos:MODBUS est considéré comme l’état de correspondance final pour la classification AppID. Si vous activez des micro-applications, vous pouvez les configurer dans une stratégie unifiée comme n’importe quelle autre application dynamique prédéfinie. Cette micro-application est utilisée pour la recherche de stratégies.
Si vous avez activé la détection des micro-applications, le module AppID considère junos:MODBUS l’état d’avant-match . Lorsque le module AppID détecte ou junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL, AppID considère ce résultat comme l’état de correspondance final et procède à la recherche de stratégie à l’aide de ce critère de correspondance.
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.