SUR CETTE PAGE
Vue d’ensemble des ensembles d’applications de stratégie de sécurité
Exemple : configuration d’applications et d’ensembles d’applications de stratégie de sécurité
Présentation du délai d’expiration des stratégies, configuration et recherche
Comprendre les délais d’application des stratégies Contingences
Exemple : définition d’un délai d’expiration d’application de stratégie
Applications et ensembles d’applications de stratégie de sécurité
Les applications de stratégie sont des types de trafic pour lesquels il existe des normes de protocole. L’ensemble d’applications de stratégie est un groupe d’applications de stratégie. Junos OS simplifie le processus en vous permettant de gérer un petit nombre d’ensembles d’applications de stratégie, plutôt qu’un grand nombre d’entrées d’applications de stratégie individuelles.
L’application de stratégie ou l’ensemble d’applications est référencé par les stratégies de sécurité comme critère de correspondance pour les paquets initiant des sessions. Junos OS vous permet de configurer des applications de stratégie et des ensembles d’applications. Vous pouvez créer un jeu d’applications qui contient toutes les applications approuvées.
Présentation des applications de stratégie de sécurité
Les applications sont des types de trafic pour lesquels il existe des normes de protocole. Chaque application est associée à un protocole de transport et à un ou plusieurs numéros de port de destination, tels que TCP/port 21 pour FTP et TCP/port 23 pour Telnet. Lorsque vous créez une stratégie, vous devez spécifier une application pour celle-ci.
Vous pouvez sélectionner l’une des applications prédéfinies dans le livre d’applications, ou une application personnalisée ou un ensemble d’applications que vous avez créé. Vous pouvez voir quelle application vous pouvez utiliser dans une stratégie à l’aide de la commande CLI show applications .
Chaque application prédéfinie possède une plage de ports source de , qui inclut l’ensemble des numéros de 1–65535port valides. Cela empêche les attaquants potentiels d’y accéder en utilisant un port source en dehors de la portée. Si vous devez utiliser une plage de ports source différente pour une application prédéfinie, créez une application personnalisée. Pour plus d’informations, consultez Présentation des applications de stratégie personnalisée.
Voir aussi
Vue d’ensemble des ensembles d’applications de stratégie de sécurité
Lorsque vous créez une stratégie, vous devez spécifier une application ou un service pour qu’elle indique que la stratégie s’applique au trafic de ce type. Parfois, les mêmes applications ou un sous-ensemble d’entre elles peuvent être présentes dans plusieurs stratégies, ce qui rend la gestion difficile. Junos OS vous permet de créer des groupes d’applications appelés ensembles d’applications. Les jeux d’applications simplifient le processus en vous permettant de gérer un petit nombre d’ensembles d’applications plutôt qu’un grand nombre d’entrées d’applications individuelles.
L’application (ou l’ensemble d’applications) est désignée par les stratégies de sécurité comme critère de correspondance pour les paquets initiant des sessions. Si le paquet correspond au type d’application spécifié par la stratégie et que tous les autres critères correspondent, l’action de stratégie est appliquée au paquet.
Vous pouvez spécifier le nom d’un ensemble d’applications dans une stratégie. Dans ce cas, si tous les autres critères correspondent, n’importe laquelle des applications de l’ensemble de demandes sert de critère d’appariement valide ; any est le nom d’application par défaut qui indique toutes les applications possibles.
Les applications sont créées dans l’annuaire .../applications/application/application-name . Vous n’avez pas besoin de configurer une application pour les services prédéfinis par le système.
Outre les services prédéfinis, vous pouvez configurer un service personnalisé. Après avoir créé un service personnalisé, vous pouvez y faire référence dans une stratégie.
Exemple : configuration d’applications et d’ensembles d’applications de stratégie de sécurité
Cet exemple montre comment configurer des applications et des ensembles d’applications.
Exigences
Avant de commencer, configurez les applications requises. Reportez-vous à Vue d’ensemble des ensembles d’applications de stratégie de sécurité.
Aperçu
Plutôt que de créer ou d’ajouter plusieurs noms d’application individuels à une stratégie, vous pouvez créer un ensemble d’applications et faire référence au nom de cet ensemble dans une stratégie. Par exemple, pour un groupe d’employés, vous pouvez créer un jeu d’applications contenant toutes les applications approuvées.
Dans cet exemple, vous créez un ensemble d’applications qui permet de se connecter aux serveurs de la zone ABC (intranet), d’accéder à la base de données et de transférer des fichiers.
Définissez les applications dans le jeu d’applications configuré.
Les gestionnaires de la zone A et les gestionnaires de la zone B utilisent ces services. Par conséquent, donnez au jeu d’applications un nom générique, tel que MgrAppSet.
Créez un ensemble d’applications pour les applications utilisées pour la messagerie électronique et les applications Web remises par les deux serveurs dans la zone externe.
Topologie
Configuration
Procédure
Procédure étape par étape
Pour configurer une application et un ensemble d’applications :
Créez un ensemble d’applications pour les gestionnaires.
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
Créez un autre ensemble d’applications pour la messagerie électronique et les applications Web.
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show applications commande en mode configuration.
Présentation du délai d’expiration des stratégies, configuration et recherche
La valeur du délai d’expiration de l’application que vous définissez pour une application détermine le délai d’expiration de la session. Vous pouvez définir le délai d’expiration d’une application prédéfinie ou personnalisée ; Vous pouvez utiliser le délai d’expiration par défaut de l’application, spécifier un délai d’expiration personnalisé ou n’utiliser aucun délai d’expiration.
Les valeurs de délai d’expiration de l’application sont stockées dans la table de délai d’expiration basée sur le port TCP et UDP racine et dans la table de délai d’expiration par défaut basée sur le protocole. Lorsque vous définissez une valeur de délai d’expiration d’application, Junos OS met à jour ces tables avec la nouvelle valeur. Il existe également des valeurs de délai d’expiration par défaut dans la base de données d’entrée d’applications, qui sont extraites d’applications prédéfinies. Vous pouvez définir un délai d’attente, mais vous ne pouvez pas modifier une valeur par défaut.
Chaque application personnalisée peut être configurée avec son propre délai d’expiration d’application personnalisé. Si plusieurs applications personnalisées sont configurées avec des délais d’expiration personnalisés, chaque application aura son propre délai d’expiration d’application personnalisé.
Si l’application mise en correspondance pour le trafic a une valeur de délai d’attente, cette valeur de délai d’expiration est utilisée. Sinon, la recherche se poursuit dans l’ordre suivant jusqu’à ce qu’une valeur de délai d’expiration de l’application soit trouvée :
Une valeur de délai d’expiration basée sur le port TCP et UDP racine est recherchée.
Une valeur de délai d’expiration par défaut est recherchée dans la table de délai d’expiration basée sur le protocole. Voir tableau 1.
Tableau 1 : délai d’expiration par défaut basé sur le protocole Protocole
Délai d’expiration par défaut (secondes)
TCP
1800
UDP
60
ICMP
60
OSPF
60
Autres
1800
Comprendre les délais d’application des stratégies Contingences
Lorsque vous définissez des délais d’attente, tenez compte des éventualités suivantes :
Si une application contient plusieurs entrées de règle d’application, toutes les entrées de règle partagent le même délai d’expiration. Vous ne devez définir le délai d’expiration de l’application qu’une seule fois. Par exemple, si vous créez une application avec deux règles, les commandes suivantes définiront le délai d’expiration sur 20 secondes pour les deux règles :
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
Si plusieurs applications personnalisées sont configurées avec des délais d’expiration personnalisés, chaque application aura son propre délai d’expiration d’application personnalisé. Par exemple :
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
Avec cette configuration, Junos OS applique un délai d’expiration de 10 secondes pour le port de destination 2121 et un délai de 20 secondes pour le port de destination 2300 dans un groupe d’applications.
Exemple : définition d’un délai d’expiration d’application de stratégie
Cet exemple montre comment définir une valeur de délai d’expiration d’application de stratégie.
Exigences
Avant de commencer, renseignez-vous sur les délais d’expiration des demandes de stratégie. Reportez-vous à la rubrique Présentation du délai d’expiration des stratégies, de la configuration et de la recherche.
Aperçu
Les valeurs de délai d’expiration de l’application sont stockées dans la base de données d’entrée d’application et dans les tables de délai d’expiration vsys TCP et UDP correspondantes. Dans cet exemple, vous définissez le périphérique pour un délai d’expiration d’application de stratégie sur 75 minutes (4500 secondes) pour l’application prédéfinie FTP.
Lorsque vous définissez une valeur de délai d’expiration d’application, Junos OS met à jour ces tables avec la nouvelle valeur.
Configuration
Procédure
Procédure étape par étape
Pour définir un délai d’expiration d’application de stratégie :
Définissez la valeur du délai d’inactivité.
[edit applications application ftp] user@host# set inactivity-timeout 4500
Validez la configuration si vous avez terminé de configurer l’appareil.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show applications commande.