Applications de stratégies personnalisées
L’application de stratégies personnalisées est une fonctionnalité alternative pour les applications de stratégies prédéfinies. Si vous ne souhaitez pas utiliser d’applications de stratégie prédéfinies dans votre stratégie, vous pouvez créer des applications personnalisées. Junos OS vous permet de configurer des applications personnalisées pour votre stratégie.
Présentation des applications de stratégies personnalisées
Si vous ne souhaitez pas utiliser d’applications prédéfinies dans votre stratégie, vous pouvez facilement créer des applications personnalisées.
Vous pouvez attribuer à chaque application personnalisée les attributs suivants :
Nom
Protocole de transport
Numéros de ports source et de destination pour les applications utilisant TCP ou UDP
Valeurs de type et de code pour les applications utilisant ICMP
Valeur du délai d’expiration
Mappages d’applications personnalisés
L’option d’application spécifie l’application de couche 7 qui correspond à l’application de couche 4 que vous référencez dans une stratégie. Une application prédéfinie dispose déjà d’un mappage avec une application de couche 7. Toutefois, pour les applications personnalisées, vous devez lier explicitement l’application à une stratégie, en particulier si vous souhaitez que la stratégie applique une passerelle de couche applicative (ALG) ou une inspection approfondie à l’application personnalisée.
Junos OS prend en charge les ALG pour de nombreuses applications, notamment DNS, FTP, H.323, HTTP, RSH, SIP, Telnet et TFTP.
L’application d’un ALG à une application personnalisée implique les deux étapes suivantes :
Définissez une application personnalisée avec un nom, une valeur de délai d’expiration, un protocole de transport et des ports source et de destination.
Lors de la configuration d’une stratégie, faites référence à cette application et au type d’application de l’ALG que vous souhaitez appliquer.
Exemple : Ajout et modification d’applications de stratégies personnalisées
Cet exemple montre comment ajouter et modifier des applications de stratégie personnalisées.
Exigences
Avant de commencer, créez des adresses et des zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Aperçu
Dans cet exemple, vous allez créer une application personnalisée à l’aide des informations suivantes :
Un nom pour l’application :
cust-telnet.Plage de numéros de ports source :
1à65535.Un numéro de port de destination : 23000.
Le protocole utilisé par l’application : TCP.
Une fois l’application cust-telnet personnalisée créée, les informations suivantes sont modifiées :
Le protocole utilisé par l’application est modifié en : TCP.
Plage de numéros de ports source :
1à51100.Un numéro de port de destination : 11000.
Configuration
Procédure
Procédure étape par étape
L’exemple suivant vous demande de naviguer à travers différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour ajouter et modifier une application de stratégie personnalisée :
Configurez TCP et spécifiez le port source et le port de destination.
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
Spécifiez la durée d’inactivité de l’application.
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
Modifier l’application
cust-telnetde la stratégie personnalisée :Supprimez les ports source et de destination configurés pour TCP.
Configurez UDP et spécifiez le port source et le port de destination.
Spécifiez la durée pendant laquelle UDP est inactif.
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Vérification de l’application de stratégie personnalisée modifiée
But
Pour vérifier si l’application de stratégie personnalisée a été modifiée avec succès.
Action
À partir du mode opérationnel, entrez la show applications application cust-telnet commande pour afficher les détails de l’application de la stratégie personnalisée - cust-telnet.
user@host> show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;La valeur du délai d’expiration est exprimée en secondes. Si vous ne le définissez pas, le délai d’expiration d’une application personnalisée est de 1800 secondes. Si vous ne souhaitez pas qu’une application expire, tapez never.
Sens
La sortie affiche des informations sur l’application cust-telnet . Vérifiez les informations suivantes :
Nom de la stratégie configurée.
Ports source et de destination.
Durée (en secondes) pendant laquelle l’application est inactive.
Exemple : Configuration des options de terme d’application de la stratégie personnalisée
Cet exemple montre comment configurer les propriétés des applications et les options de termes pour les protocoles d’application.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
UN PC
Avant de commencer :
Configurez les applications requises. Reportez-vous à la section Exemple : Ajout et modification d’applications de stratégies personnalisées .
Aperçu
Dans cet exemple, vous créez un nom d’application, un nom d’application et un terme appelé custom-options pour définir vos options de terme d’application de stratégie personnalisées.
Vous configurez le service de noms de domaine (DNS) comme type de passerelle de la couche applicative (ALG) et UDP comme type de protocole réseau. Définissez le port source sur 24000 et le port de destination sur 23000. Ensuite, vous définissez la valeur du type de paquet ICMP (Internet Control Message Protocol) sur 5 et la valeur du code ICMP sur 0. Vous définissez la valeur du numéro de programme d’appel de procédure à distance (RPC) sur 50 et la valeur de l’identificateur unique universel (UUID) sur 1be617c0-31a5-11cf-a7d8-00805f48a135. Enfin, vous définissez la valeur du délai d’inactivité sur 60.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
Procédure étape par étape
Pour configurer les options de terme d’application de stratégie personnalisées :
Configurez le nom du terme.
[edit applications] user@host# set application app-name term custom-options
Configurez le type ALG.
[edit applications] user@host# set application app-name term custom-options alg dns
Configurez le type de protocole de mise en réseau.
[edit applications] user@host# set application app-name term custom-options protocol udp
Configurez le numéro de port source.
[edit applications] user@host#set application app-name term custom-options source-port 24000
Configurez le numéro de port de destination TCP ou UDP.
[edit applications] user@host# set application app-name term custom-options destination-port 23000
Spécifiez la valeur du délai d’inactivité.
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show applications commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show applications
application app-name {
term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration
But
Vérifiez que la configuration est correcte.
Action
À partir du mode opérationnel, entrez la show applications commande.
user@host> show applications
application app-name {
term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60;
}