アプリケーション識別用に事前定義されたカスタムアプリケーショングループ
事前定義されたアプリケーションとカスタム アプリケーションの両方にアプリケーション グループを定義できます。アプリケーション グループには、セキュリティ ポリシーを定義する際に同様の処理が必要なアプリケーションが含されます。詳細については、以下のトピックを参照してください。
アプリケーション識別用のJunos OSグループのカスタマイズ
さらにJunos OS識別では、アプリケーションをポリシーにグループ化できます。アプリケーションは、事前定義されたアプリケーション グループとカスタム アプリケーション グループの下でグループ化できます。事前定義されたアプリケーション グループ全体を、ソフトウェア アプリケーション識別セキュリティ パッケージIDPしてダウンロードできます。同じようなアプリケーション セットを使用するカスタム アプリケーション グループを作成して、ポリシーを定義する際に常に再利用できます。
アプリケーション グループ サポートでは、関連するアプリケーションを 1 つの名前で関連付けすることで、アプリケーション サービスを使用する際に再利用を簡素化し、一貫性を保ちます。
事前定義された署名データベースが変更された場合、事前定義済みのアプリケーション グループの内容を変更して、新しい署名を含め
アプリケーション グループにアプリケーションとグループを同時に含めることができます。1 つのアプリケーションを複数のグループに割り当てできます。1 つのルールに含まれる動的アプリケーション グループの数に制限はありません。
アプリケーション グループの階層は、関連するアプリケーションをリーフ ノードとして使用するツリー構造に似た構造です。グループ any は ルート ノードを指します。グループの 割り当て解除は、 常にルートから 1 レベルに位置し、最初は全アプリケーションが含まれる。グループが定義されている場合、アプリケーションは割り当てられていないグループから新しいグループに割り当てられます。グループが削除すると、そのアプリケーションは割り当てられていないグループに戻されます。
すべての事前定義されたアプリケーション グループには、アプリケーション グループ名に「junos」というプレフィックスが付き、カスタム アプリケーション グループとの名前の競合を防ぐ。事前定義されたアプリケーション グループ内のアプリケーション リストは変更できません。ただし、事前定義済みのアプリケーション グループをコピーして、カスタム アプリケーション グループを作成するためのテンプレートとして使用できます。
事前定義されたアプリケーション グループをカスタマイズするには、まず定義済みグループを無効にする必要があります。アプリケーション データベースを更新した後でも、無効化された事前定義アプリケーション グループは無効なままである点に注意してください。次に、 operational コマンドを使用して request services application-identification group 、無効化された事前定義済みアプリケーション グループをコピーできます。コピーしたグループが設定ファイルに配置され、プレフィックス「junos」が「my」に変更されます。この時点で、「my」アプリケーション グループ内のアプリケーション のリストを変更し、グループの名前を一意に変更できます。
あるカスタム グループから別のカスタム グループにアプリケーションを再割り当てするには、そのアプリケーションを現在のカスタム アプリケーション グループから削除してから、そのアプリケーションを別のカスタム グループに再割り当てする必要があります。
Junos OS リリース 18.2R2 および Junos OS リリース 18.4R1 より、HTTP、SMTP、IMAP、POP3 over SSL などの暗号化されたアプリケーションは、Junos OS で junos:HTTPS、junos:SMTPS、junos:IMAPS、junos:POP3S として、Junos OS で事前に定義されたアプリケーションおよびアプリケーション セットとして識別されます。
例: HTTPS トラフィックを許可または拒否するようにセキュリティー ポリシーを設定する場合、アプリケーションの一致条件は junos:HTTPS として指定する必要があります。
以前のリリースJunos OS、HTTP アプリケーションと暗号化 HTTP(HTTPS)アプリケーションの両方を、junos:HTTP と同じアプリケーションの一致条件を使用して設定できます。
詳細については、
例: 管理を簡素化するためのアプリケーション識別のためのJunos OS アプリケーション グループの設定
この例では、ポリシーを定義する際に常に再利用するために、Junos OSアプリケーション識別用にカスタム アプリケーション グループを設定する方法を示しています。
要件
概要
この例では、アプリケーション グループのアプリケーションを定義し、アプリケーション グループからアプリケーションを削除し、別のアプリケーション グループにアプリケーション グループを含める例を示します。
さらにJunos OS識別では、アプリケーションをポリシーにグループ化できます。アプリケーションは、事前定義されたアプリケーション グループとカスタム アプリケーション グループの下でグループ化できます。事前定義されたアプリケーション グループ全体を、ソフトウェア アプリケーション識別セキュリティ パッケージIDPしてダウンロードできます。同じようなアプリケーション セットを使用するカスタム アプリケーション グループを作成して、ポリシーを定義する際に常に再利用できます。
事前定義されたアプリケーション グループで定義されたアプリケーションは変更できません。ただし、operational コマンドを使用して事前定義済みのアプリケーション グループをコピーしてカスタム アプリケーション グループを作成し、アプリケーションのリスト request services application-identification group group-name copy を変更することができます。詳細については、 を参照 request services application-identification group してください。
構成
- アプリケーション識別Junos OSユーザー定義アプリケーション グループの構成
- ユーザー定義アプリケーション グループからのアプリケーションの削除
- アプリケーション グループの子アプリケーション グループの作成
アプリケーション識別Junos OSユーザー定義アプリケーション グループの構成
CLI構成の迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set services application-identification application-group my_web set services application-identification application-group my_web applications junos:HTTP set services application-identification application-group my_web applications junos:FTP set services application-identification application-group my_web applications junos:AMAZON set services application-identification application-group my_web applications junos:GOPHER set services application-identification application-group my_peer set services application-identification application-group my_peer applications junos:BITTORRENT set services application-identification application-group my_peer applications junos:BITTORRENT-APPLICATION set services application-identification application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLI を参照してください。
アプリケーション識別用にカスタム アプリケーション グループを設定するには、以下の手順に示します。
カスタム アプリケーション グループの名前を設定します。
[edit services application-identification] user@host# set application-group my_web
カスタム アプリケーション グループに含めるアプリケーションのリストを追加します。
[edit services application-identification] user@host# set application-group my_web applications junos:HTTP user@host# set application-group my_web applications junos:FTP user@host# set application-group my_web applications junos:GOPHER user@host# set application-group my_web applications junos:AMAZON
2 番目のカスタム アプリケーション グループの名前を設定します。
[edit services application-identification] user@host# set application-group my_peer
グループに含めるアプリケーションのリストを追加します。
[edit services application-identification] user@host# set application-group my_peer applications junos:BITTORRENT user@host# set application-group my_peer applications junos:BITTORRENT-APPLICATION user@host# set application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
結果
設定モードから、 コマンドを入力して設定を確認 show services application-identification group します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host#show services application-identification application-group my_webapplications { junos:HTTP; junos:FTP; junos:GOPHER; junos:AMAZON } user@host#show services application-identification application-group my_peerapplications { junos:BITTORRENT; junos:BITTORRENT-APPLICATION; junos:BITTORRENT-WEB-CLIENT; }
デバイスの設定が完了したら、設定モード commit から を入力します。
ユーザー定義アプリケーション グループからのアプリケーションの削除
CLI構成の迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
[edit] delete services application-identification application-group my_web applications junos:AMAZON
手順
カスタム アプリケーション グループからアプリケーションを削除するには、次の方法に示します。
カスタム アプリケーション グループからアプリケーションを削除します。
[edit services application-identification] user@host# delete application-group my_web applications junos:AMAZON
結果
設定モードから、 コマンドを入力して設定を確認 show services application-identification application group detail します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show services application-identification group detail
application group my_web {
junos:HTTP;
junos:FTP;
junos:GOPHER;
}
デバイスの設定が完了したら、設定モード commit から を入力します。
アプリケーション グループの子アプリケーション グループの作成
CLI簡易構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set services application-identification application-group p2p set services application-identification application-group p2p application-groups my_web set services application-identification application-group p2p application-groups my_peer
手順
カスタム アプリケーション グループの子アプリケーション グループを設定するには、次の手順に示します。
子アプリケーション グループを設定するカスタム アプリケーション グループの名前を設定します。
[edit services application-identification] user@host# set application-group p2p
子アプリケーション グループを追加します。
[edit services application-identification] user@host# set application-group p2p application-groups my_web uer@host# set application-group p2p application-groups my_peer
結果
設定モードから、 コマンドを入力して設定を確認 show services application-identification application-group application-group-name します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show services application-identification application-group p2p
applications-groups {
my_web;
my_peer;
}
デバイスの設定が完了したら、設定モード commit から を入力します。
アプリケーション識別の設定におけるアプリケーション グループJunos OSの有効化または無効化
デフォルトでは、すべてのアプリケーション グループが有効になっています。事前定義されたアプリケーション グループはインストール時に有効化されます。
事前定義されたアプリケーション グループについては、 コマンドを使用してグループを無効にし、再び有効
request services application-identification groupにできます。事前定義された署名または署名グループは削除できません。事前定義されたアプリケーション グループを無効にするには、以下の方法で行います。
user@host> request services application-identification group disable predefined-application-group-name
注:無効化されたアプリケーションやアプリケーション グループを有効にしようとすると、必ず設定の変更をコミットするか、設定をロール バックします。コミットされていない変更では、設定エラーが発生する可能性があります。
無効化された事前定義アプリケーション グループを有効にする方法は、以下の方法で行います。
user@host> request services application-identification group enable predefined-application-group-name