統合ポリシーにおけるアプリケーション識別のサポート
セキュリティデバイスの統合ポリシーについて
Web アプリケーションの人気が高まり、従来の完全なクライアントベースのアプリケーションから Web への移行に伴い、HTTP 経由で送信されるトラフィックが増加しています。インスタントメッセージング、ピアツーピアのファイル共有、Webメール、ソーシャルネットワーキング、IP音声およびビデオコラボレーションなどのアプリケーションは、通信ポートとプロトコルを変更することでセキュリティメカニズムを回避します。アプリケーションの動作の変化を管理するには、セキュリティルールを常に変更する必要があり、セキュリティポリシールールの維持は大きな課題となります。アプリケーションの動作におけるこのような変化に対処するには、動的なアプリケーションを管理するためのセキュリティ ポリシーが必要です。
この課題に対する解決策として、Junos OS リリース 18.2R1 以降、ジュニパーネットワークスの SRXシリーズファイアウォールと vSRX仮想ファイアウォールは、 統一ポリシーをサポートし、セキュリティ ポリシー内で動的なレイヤー 7 アプリケーションのきめ細かい制御と適用を可能にします。統合ポリシーは、既存の 5 タプルまたは 6 タプル (ユーザー ファイアウォールによる 5 タプル) 一致条件の一部として動的アプリケーションを使用して、時間の経過に伴うアプリケーションの変更を検出できるようにするセキュリティ ポリシーです。
統合ポリシーは、アプリケーション識別(AppID)モジュールから判別されたアプリケーション識別情報を活用します。特定のアプリケーションが識別されると、デバイスに設定されたポリシーに従って、許可、拒否、拒否、リダイレクトなどのアクションがトラフィックに適用されます。
レイヤー3またはレイヤー4の基準に基づいてセキュリティポリシーによって拒否または拒否されたトラフィックは、すべて即座に破棄されます。セキュリティ ポリシーで許可されたトラフィックは、AppID 情報に基づいてレイヤー 7 でさらに評価されます。
AppIDは、動的アプリケーションでセキュリティポリシーを設定した場合、またはアプリケーションポリシーベースのルーティング(APBR)、アプリケーショントラッキング(Apptrack)、アプリケーションサービス品質(AppQoS)、アプリケーションファイアウォール(AppFW)、IDP、またはセキュリティポリシーでJuniper ATP Cloudなどのサービスを有効にした場合に有効になります。
利点
レイヤー7でのアプリケーションベースのセキュリティポリシー管理を簡素化します。
デバイスがネットワークの動的なトラフィックの変化に対応できるようにします。
従来のセキュリティポリシーよりも優れた制御性と拡張性を提供し、動的なアプリケーショントラフィックを管理できます。
統合ポリシーで AppID 情報がどのように使用されるかを理解する
クラウドおよびデータセンターアーキテクチャのネットワークセキュリティには、トラフィックの正確な分類が不可欠です。Webアプリケーションには、ドキュメント、データ、画像、オーディオおよびビデオファイルが含まれるため、さまざまなタイプのアプリケーショントラフィック(HTTP上でトランザクション)を識別して分類することも課題です。
AppIDは、ポート、プロトコル、暗号化(TLS/SSLまたはSSH)やその他の回避戦術に関係なく、ネットワーク上のアプリケーションを検出します。ディープパケットインスペクション(DPI)技術、シグネチャデータベース、既知のアドレスとポートを使用してアプリケーションを識別します。AppIDは、動的なアプリケーション分類、デフォルトプロトコル、アプリケーションのポートなどの情報を提供します。別のアプリケーションの依存リストに含まれているアプリケーションの場合、AppID は依存アプリケーションの情報を提供します。
統合ポリシーは、AppIDからの情報を活用してアプリケーションを照合し、ポリシーで指定されたアクションを実行します。統合ポリシー構成では、(アプリケーション識別シグネチャ パッケージから)事前定義された動的アプリケーションまたはユーザー定義のカスタム アプリケーションを一致条件として使用できます。
依存する動的アプリケーション識別の理解
依存アプリケーション・リストには、動的アプリケーションを識別できるアプリケーションが含まれます。たとえば、Facebook の依存アプリケーション リストは HTTP2 と SSL で構成されます。
動的アプリケーションのデフォルトのプロトコルとポートには、そのアプリケーションに定義されているプロトコルとポートが含まれます。そのアプリケーションのプロトコルとポートが定義されていない場合は、依存するアプリケーションのデフォルトのプロトコルとポートのリストが考慮されます。
たとえば、Facebook-Access アプリケーションは、HTTP、SSL、HTTP2 などのアプリケーションに依存しています。したがって、これらの依存アプリケーションのデフォルトのプロトコルとポートは、Facebook-Accessアプリケーションに対して考慮されます。
依存するアプリケーションの一覧と、アプリケーションのプロトコルとポートのマッピングは、新しいアプリケーション署名パックがインストールされるか、カスタム アプリケーション構成が変更されるたびに、実行時に変更される可能性があります。AppID は、これらの詳細をセキュリティ ポリシーに提供します。
動的アプリケーション分類状態
アプリケーション識別プロセス中、DPI はすべてのパケットを処理し、アプリケーションが最終的に識別されるまで、次のいずれかの状態に分類します。
事前一致 - アプリケーションが DPI によって識別される前。
トランザクション最終 - 動的アプリケーションの場合、1 つのトランザクションは完了しますが、アプリケーションの識別は最終ではありません。レイヤー7上のアプリケーションは、依存するアプリケーションがあるため、トランザクションごとに変化し続ける可能性があります。たとえば、Facebook アプリケーションには、HTTP、SSL などの依存アプリケーションがあります。
最終一致—レイヤー 7 上で一致したアプリケーションは、設定された最大トランザクション数に従って最終一致と見なされます。つまり、一致は、最大数のトランザクションが完了した後にのみ最終と見なされます。
最終的なアプリケーションを特定する前に、ポリシーを正確に一致させることはできません。潜在ポリシーリストが使用可能になり、リストの潜在ポリシーを使用してトラフィックが許可されます。アプリケーションが識別されると、最終的なポリシーがセッションに適用されます。許可、拒否、拒否、リダイレクトなどのポリシーアクションは、ポリシールールで指定されたとおりにトラフィックに適用されます。
DPIは、決勝戦中に一致したアプリケーションを切り替える可能性があります。しかし、それぞれのポリシーは同じままです。これが、syslogで言及されている異なるアプリケーションが、同じポリシーのセッションを作成および閉じていることに気付く理由です。
アプリケーション分類は、Facebook などのトランザクションベースのアプリケーションでは終了しません。このようなアプリケーションの分類を終了するには、複数のトランザクションの結果を最終分類と見なすことを選択できます。
アプリケーション識別のトランザクション制限の設定
ステートメントを使用して set services application-identification maximum-transactions transactions-number アプリケーションを識別するための最終結果を決定する前に、トランザクションの最大数を設定することができます。最大トランザクション数を構成すると、構成されたトランザクション数が完了するまで DPI は終了しません。
例:
user@host# set services application-identification maximum-transactions 5
トランザクション番号は 0 から 25 まで設定できます。デフォルトでは、5 つのトランザクションが考慮されます。
トランザクション数を 0 に設定した場合、トランザクションは DPI を終了しません。アプリケーションの最終的な一致が使用できない可能性があります。最終的なセキュリティポリシーは適用されません。
表 1 は、最大トランザクション数を 5 に設定した場合の、アプリケーション識別分類のさまざまな状態を示しています。表中の値は一例であり、実際の値ではないことに注意してください。正確なトランザクションは、トラフィックパターンによって異なる場合があります。
シナリオ |
識別されたアプリケーション |
アプリケーション識別の状態 |
トランザクション |
|---|---|---|---|
セッションの最初のパケット |
何一つ |
試合前 |
0 |
中間アプリケーション |
SSL |
試合前 |
1 |
復号化されたペイロードで識別された中間アプリケーション |
HTTP |
試合前 |
2 |
中間アプリケーションの特定 |
FACEBOOKアクセス |
試合前 |
3 |
中間アプリケーションの特定 |
FACEBOOKチャット |
最終取引 (取引 =1) |
4 |
最終アプリケーションが特定されました |
FACEBOOKメール |
最終一致 (トランザクション = 2) |
4 |
統合ポリシーでは、レイヤー 3 またはレイヤー 4 の情報に基づいて識別できる動的アプリケーション(ICMP ベースのアプリケーションを除く)の設定はサポートされていません。代わりに、レイヤー3およびレイヤー4ベースのアプリケーション向けに事前定義された値を含むjunos-defaultsグループを使用できます。
統合ポリシーにおけるアプリケーション識別の高可用性サポート
アプリケーションが識別されると、その分類情報がアプリケーション・システム・キャッシュ (ASC) に保存されます。
セキュリティ デバイス(例:SRXシリーズファイアウォール)がシャーシ クラスタ モードで動作している場合、ASC に保存された情報はプライマリ ノードとセカンダリ ノード間で同期されます。
動的アプリケーション分類の場合、アプリケーション分類が最終的なときに、DPI からのセッションごとのアプリケーション分類情報がセカンダリノードと同期されます。
フェイルオーバー中、セカンダリノードのアプリケーション分類情報は、以下のいずれかの状態になります。
アプリケーションが識別されません
最終アプリケーションが特定されました
フェイルオーバー後、新しいプライマリノードで使用可能なアプリケーション分類情報は、最終的な一致と見なされます。フェイルオーバー後に分類がそれ以上進まないため、同じ情報が新しいセカンダリノードと同期されます。表 2 表 2 の例は、シャーシ クラスタ設定におけるアプリケーション分類ステータスを示しています。
アプリケーション識別ステータス |
シャーシ クラスタ ノード |
フェイルオーバー前 |
フェールオーバー後 |
細部 |
|---|---|---|---|---|
最終アプリケーションが特定されます。 識別されたアプリケーション:SSL:Facebook |
プライマリノード |
識別されたアプリケーション:SSL:Facebook |
識別されたアプリケーション:SSL:Facebook |
完全なアプリケーション分類がセカンダリ ノードに同期されるため、フェイルオーバー後も変更はありません。 |
セカンダリノード |
識別されたアプリケーション:SSL:Facebook |
識別されたアプリケーション:SSL:Facebook |
||
最終的な申請は特定されていません。(部分的なアプリケーションが特定されます。 識別されたアプリケーション: SSL |
プライマリノード |
識別されたアプリケーション: SSL |
識別されたアプリケーション: APP-INVALID |
フェイルオーバー後、アプリケーションの識別はそれ以上進みません。 |
セカンダリノード |
識別されたアプリケーション: 使用不可 |
識別されたアプリケーション: APP-INVALID |
||
最終的な申請は特定されていません。(一部出願が判明) |
プライマリノード |
識別されたアプリケーション: 使用不可 |
識別されたアプリケーション: APP-INVALID |
この場合、最初のパケット インスペクションの後にフェイルオーバーが発生し、アプリケーションは識別されません。 フェイルオーバー後、アプリケーションの識別はそれ以上進みません。 |
セカンダリノード |
識別されたアプリケーション: 使用不可 |
識別されたアプリケーション: APP-INVALID |
アプリケーション・サービス用のアプリケーション・システム・キャッシュの有効化または無効化
Junos OS リリース 18.2R1 から、ASC のデフォルト動作が次のように変更されました。
- Junos OS リリース 18.2R1 以前 - セキュリティ サービスを含むすべてのサービスで ASC がデフォルトで有効になっています。
-
Junos OS リリース 18.2R1 以降では、ASC がデフォルトで有効になっています。セキュリティサービスルックアップの違いに注意してください。
-
セキュリティ サービスの ASC ルックアップは、デフォルトでは有効になっていません。つまり、セキュリティポリシー、アプリケーションファイアウォール(AppFW)、アプリケーショントラッキング(AppTrack)、アプリケーションサービス品質(AppQoS)、Juniper ATP Cloud、IDP、コンテンツセキュリティなどのセキュリティサービスは、デフォルトでASCを使用しません。
-
各種サービスの ASC 検索は、デフォルトで有効になっています。つまり、APBR(Advanced Policy-based Routing)などの各種サービスでは、デフォルトでアプリケーション識別にASCが使用されます。
-
ASC の既定の動作の変更は、従来の AppFW 機能に影響します。Junos OS リリース 18.2 以降のセキュリティ サービスでは ASC がデフォルトで無効になっているため、AppFW は ASC に存在するエントリーを使用しません。
コマンドを使用すると、リリース 18.2 set services application-identification application-system-cache security-services より前の Junos OS リリースと同様に ASC 動作に戻すことができます。
ASC がセキュリティ サービスに対して有効になっている場合、セキュリティ デバイスはアプリケーション回避手法の影響を受けやすくなる可能性があります。ASC は、デフォルト設定(セキュリティ サービスでは無効)のデバイスのパフォーマンスが特定のユース ケースに対して十分でない場合にのみ有効にすることをお勧めします。
次のコマンドを使用して、ASC を有効または無効にします。
セキュリティ サービスの ASC を有効にします。
user@host#set services application-identification application-system-cache security-servicesその他のサービスの ASC を無効にします。
user@host#set services application-identification application-system-cache no-miscellaneous-servicesセキュリティ サービスの有効な ASC を無効にします。
user@host#delete services application-identification application-system-cache security-servicesその他のサービスに対して無効な ASC を有効にします。
user@host#delete services application-identification application-system-cache no-miscellaneous-services
show services application-identification application-system-cacheコマンドを使用して、ASC のステータスを確認できます。
次のサンプル出力は、ASC のステータスを示しています。
user@host>show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
Junos OS リリース 18.2R1 より前のリリースでは、アプリケーション キャッシュがデフォルトで有効になっていました。コマンドを使用して、手動で無効 set services application-identification no-application-system-cache にすることができます。
user@host# set services application-identification no-application-system-cache
参照
トンネリングアプリケーションのサポート
Junos OS リリース 20.4R1 以降、トンネリング アプリケーションを管理するために、セキュリティ デバイスでの統合ポリシー ルックアップを強化しました。統一ポリシーを使用して、特定のトンネリングアプリケーションをブロックできるようになりました。
QUICやSOCKなどの特定のトンネリングアプリケーションをブロックする場合は、これらのトンネリングアプリケーションを、拒否または拒否するアクションを含む統一ポリシーに設定できます。
マイクロアプリケーションのアプリケーション識別支援
Junos OS リリース 19.2R1 以降では、アプリケーション識別機能を使って、サブ機能レベルでアプリケーションを管理できます。このドキュメントでは、アプリケーションのサブ機能をマイクロアプリケーションと呼びます。
マイクロアプリケーションは、アプリケーション署名パッケージの一部です。アプリケーション識別でマイクロアプリケーション検出を有効にし、それらをセキュリティ ポリシーのポリシーの一致基準を定義として使用する必要があります。
AppIDは、ネットワーク上のサブ機能レベルでアプリケーションを検出し、セキュリティポリシーは、アプリケーション識別(AppID)モジュールから決定されたアプリケーション識別情報を活用します。特定のアプリケーションが識別されると、デバイスに設定されたポリシーに従って、許可、拒否、拒否、リダイレクトなどのアクションがトラフィックに適用されます。
マイクロアプリケーションの概念は、ベースアプリケーション上のネストされたアプリケーションが同じセッションで継続的に変化するトランザクションベースのアプリケーションと似ています。
例:
動的アプリケーションMODBUSについて考えてみましょう。READとWRITEは、MODBUSアプリケーションのサブ機能または操作です。これらのサブ機能では、MODBUS-READやMODBUS-WRITEなどのマイクロアプリケーションを定義する必要があります。アプリケーション分類パスは、MODBUS:MODBUS-READとMODBUS:MODBUS-WRITEの間で変化し続ける可能性があります。この場合、MODBUSはベースアプリケーションであり、MODBUS-READとMODBUS-WRITEはネストされたアプリケーション、つまりマイクロアプリケーションです。
セキュリティポリシーで事前定義された動的アプリケーションと同じ階層でマイクロアプリケーションを設定し、ポリシールールに基づいてアクションを実行できます。
これらのマイクロアプリケーションをセキュリティポリシーで設定することで、MODBUSアプリケーション全体をブロックまたは許可するのではなく、MODBUSのサブ機能を許可または拒否できます。
- マイクロアプリケーションの分類
- 依存アプリケーションリストとデフォルトプロトコルおよびポート
- マイクロアプリケーションへのポリシー適用
- マイクロアプリケーションのインストール
- DNS-over-HTTPおよびDNS-over-TLSアプリケーショントラフィックの管理
マイクロアプリケーションの分類
マイクロアプリケーションのアプリケーション分類は、マイクロアプリケーションがセッションごとに変化し続けるため、最終的な一致には到達しません。一致したアプリケーションは、最大数のトランザクションが完了した後にのみ、最終的な一致と見なされます。
AppID の最大トランザクション制限は 25 ですが、各サービス モジュールには独自の要件に基づいて独自の制限があります。最大トランザクション制限 (25) より前にサービス固有の制限に達した場合、サービス モジュールはそのポリシーを最終としてマークします。ただし、AppID はアプリケーションの分類を続行し、上限の 25 に達するとセッションをオフロードします。
コマンドを使用して set services application-identification max-transactions 、トランザクション限度額を設定できます。
依存アプリケーションリストとデフォルトプロトコルおよびポート
依存アプリケーション・リストには、動的アプリケーションを識別できるアプリケーションが含まれます。動的アプリケーションのデフォルトのプロトコルとポートには、そのアプリケーションに定義されているプロトコルとポートが含まれます。
依存するアプリケーションリストとデフォルトのプロトコルおよびポートは、セキュリティポリシーを実施するために統合ポリシーによって使用されます。マイクロアプリケーションの依存アプリケーションリストとデフォルトプロトコルおよびポートは、ベースアプリケーションと同じです。
例:マイクロアプリケーションMODBUS-READの依存アプリケーションリストとデフォルトポートは、MODBUSの依存アプリケーションリストとデフォルトポートと同じです。
マイクロアプリケーションへのポリシー適用
セキュリティポリシーは、デバイスを通過できるトラフィックと、デバイスを通過するトラフィックに対して実行する必要があるアクションの観点から、トランジットトラフィックのルールを適用します。マイクロアプリケーションを一致条件としてセキュリティポリシーを設定した場合、ポリシーモジュールにはAppIDからのマイクロアプリケーション識別情報が必要です。
マイクロアプリケーションによるアプリケーション分類は、マイクロアプリケーションがセッションごとに変化し続けるため、最終的な一致に到達しません。ただし、ポリシーの検索と処理には、アプリケーションとの最終的な一致が必要です。[edit security policies unified-policy-max-lookups] コマンドを使用すると、ポリシーのルックアップ回数を制限できます。
アプリケーションが識別されると、最終的なポリシーがセッションに適用されます。許可、拒否、拒否、リダイレクトなどのポリシーアクションは、ポリシールールで指定されたとおりにトラフィックに適用されます。
マイクロアプリケーションのインストール
マイクロアプリケーションは、アプリケーション署名パッケージの一部です。アプリケーション署名パッケージをダウンロードしてインストールすると、マイクロアプリケーションもインストールされ、セキュリティポリシーで設定できるようになります。コマンドを使用して、マイクロアプリケーション show services application-identification status の詳細を表示できます。
Junos OS リリース 19.2 以降のセキュリティ ポリシーでマイクロアプリケーションを設定している場合、Junos OS リリースの以前のバージョンにダウングレードすることはできません。以前のバージョンのJunos OSリリースにダウングレードするには、セキュリティポリシーで設定されたマイクロアプリケーションを削除する必要があります。
DNS-over-HTTPおよびDNS-over-TLSアプリケーショントラフィックの管理
Junos OS リリース 20.4R1 では、新しいマイクロアプリケーションである DNS-ENCRYPTED が導入され、アプリケーション シグネチャ パッケージが強化されています。このマイクロアプリケーションをセキュリティポリシーで設定することで、DNS-over-HTTPおよびDNS-over-TLSアプリケーションのトラフィックをきめ細かく制御できます。
DNS-ENCRYPTED アプリケーションはデフォルトで有効になっています。コマンドを使用して無効にできます request services application-identification application disable DNS-ENCRYPTED 。
コマンドを使用して、マイクロアプリケーション show services application-identification application の詳細を表示できます。
マイクロアプリケーション検出の有効化と無効化
マイクロアプリケーション検出を有効または無効にできます。デフォルトでは、マイクロアプリケーションの検出は無効になっています。マイクロアプリケーションがセキュリティポリシーでマイクロアプリケーションを使用できるようにする必要があります。
次のコマンドを使用して、マイクロアプリケーションを有効または無効にできます。
マイクロアプリケーション検出を有効にします(設定モードから)。
user@host# set services application-identification micro-apps
特定のマイクロアプリケーションを無効にします(動作モードから)。
user@host> request services application-identification application disable application-name
例:
user@host>request services application-identification application disable junos:MODBUS
例:マイクロアプリケーションの設定
この例では、セキュリティポリシーでマイクロアプリケーションを設定し、サブ機能レベルでポリシーを適用する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OS リリース 19.2R1 以降を搭載した SRXシリーズファイアウォールこの設定例は、Junos OS リリース 19.2R1 でテストされています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能ライセンス。
開始する前に、IDP またはアプリケーション識別セキュリティ パッケージから署名データベース全体をインストールします。 「Junos OS アプリケーション シグネチャ パッケージを手動でダウンロードしてインストール する」または 「 IDP セキュリティ パッケージの一部として Junos OS アプリケーション シグネチャ パッケージをダウンロードしてインストールする」を参照してください。
概要
この例では、マイクロアプリケーションMODBUS-READ-COILSとMODBUS-WRITE-SINGLE-COIL、MODBUS-READ-COILS、MODBUS-WRITE-MULTIPLE-COILSでセキュリティポリシーを作成します。これらのマイクロアプリケーションに一致するアプリケーション トラフィックは許可されます。
構成
マイクロアプリケーションによるセキュリティポリシーの設定
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードから を入力します commit 。
set services application-identification micro-apps set security policies from-zone untrust to-zone trust policy P1 match source-address any set security policies from-zone untrust to-zone trust policy P1 match destination-address any set security policies from-zone untrust to-zone trust policy P1 match application any set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS set security policies from-zone untrust to-zone trust policy P1 then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。
アプリケーション識別用のカスタムアプリケーショングループを設定するには、次のようにします。
マイクロアプリケーションの検出を有効にします。
[edit] user@host# set services application-identification micro-apps
他のポリシーポリシーの一致基準を定義してセキュリティポリシーを定義します。
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match application any
アプリケーションとマイクロアプリケーションをポリシーの一致基準を定義として定義します。
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS
ポリシーアクションを定義します。
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 then permit
業績
設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies from-zone untrust to-zone trust
from-zone untrust to-zone trust {
policy P1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL junos:MODBUS-WRITE-MULTIPLE-COILS ];
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
マイクロアプリケーションによるアプリケーションのサービス品質の設定
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。
アプリケーション識別用のカスタムアプリケーショングループを設定するには、次のようにします。
マイクロアプリケーション junos:MODBUS-READ-COILS で AppQoS 設定パラメーターを定義します。
[edit] user@host# set class-of-service application-traffic-control rate-limiters RL1 bandwidth-limit 1000 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:MODBUS-READ-COILS user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then dscp-code-point 111110 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then loss-priority high user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server RL1 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then log
セキュリティポリシーを作成します。
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any
ポリシーアクションを定義します。
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 then permit application-services application-traffic-control rule-set RS1
業績
設定モードから、 how class-of-service コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
application-traffic-control {
rate-limiters RL1 {
bandwidth-limit 1000;
}
rule-sets RS1 {
rule 1 {
match {
application junos:MODBUS-READ-COILS;
}
then {
dscp-code-point 111110;
loss-priority high;
rate-limit {
client-to-server RL1;
}
log;
}
}
}
}
設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies from-zone untrust to-zone trust
from-zone untrust to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:MODBUS-READ-COILS];
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
マイクロアプリケーションのステータスの確認
目的
マイクロアプリケーションが有効になっていることを確認します。
アクション
show services application-identification statusコマンドを使用してマイクロアプリケーションのバージョンshow services application-identification application micro-applicationsを取得し、コマンドを使用してマイクロアプリケーションの詳細を取得します。
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Disabled Max Number of entries in cache 0 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3172 Status Active PB Version 1.380.0-64.005 (build date May 13 2019) Engine version 5.3.0-56 (build date May 13 2019) Micro-App Version 1.0.0-0 Sessions 0
サンプル出力
show services application-identification application microapplications
user@host> show services application-identification application micro-applications Micro Applications junos:BACNET-GET-EVENT-INFORMATION junos:BACNET-SUBSCRIBE-COV-PROPERTY junos:BACNET-LIFE-SAFETY-OPERATION junos:BACNET-READ-RANGE junos:BACNET-REQUEST-KEY junos:BACNET-AUTHENTICATE junos:BACNET-VT-DATA junos:BACNET-VT-CLOSE junos:BACNET-VT-OPEN junos:BACNET-REINITIALIZE-DEVICE junos:BACNET-CONFIRMED-TEXT-MESSAGE junos:BACNET-CONFIRMED-PRIVATE-XFER junos:BACNET-DEVICE-COMM-CONTROL junos:BACNET-WRITE-PROP-MULTIPLE junos:BACNET-WRITE-PROPERTY junos:BACNET-READ-PROP-MULTIPLE junos:BACNET-READ-PROP-CONDITIONAL junos:BACNET-READ-PROPERTY junos:BACNET-DELETE-OBJECT junos:BACNET-CREATE-OBJECT junos:BACNET-REMOVE-LIST-ELEMENT junos:BACNET-ADD-LIST-ELEMENT junos:BACNET-ATOMIC-WRITE-FILE junos:BACNET-ATOMIC-READ-FILE junos:BACNET-SUBSCRIBE-COV junos:SIEMENS-S7-SETUP-COMM junos:SIEMENS-S7-UPLOAD-START ......
詳細については、「 show services application-identification application micro-applications 」を参照してください。
マイクロアプリケーション統計の検証
目的
マイクロアプリケーションが適用されていることを確認します。
アクション
次のコマンドを使用して、マイクロアプリケーションの詳細を取得します。
サンプル出力
コマンド名
user@host> show services application-identification statistics applications
Last Reset: 2018-12-16 01:45:47 PST
Application Sessions Bytes Encrypted
MODBUS-READ-COILS 1 1026 No
MODBUS-WRITE-SINGLE-COIL 1 1254 No
user@host> show services application-identification statistics applications details (Junos OS Release 20.3)
Logical System: root-logical-system
Last Reset: 2020-05-08 08:55:31 PDT
Application Enc DPI final-match Pre-match Limits
final-match
NTP No 1 0 0
SYSLOG No 5 0 0
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
set services application-identification no-application-system-cache にすることができます。