このページの目次
アプリケーション識別のための事前定義済みアプリケーション シグネチャ
事前定義されたアプリケーション シグネチャ パッケージは、アプリケーション分類機能と関連するプロトコル属性を提供する動的にロード可能なモジュールです。外部サーバーでホストされており、パッケージとしてダウンロードしてデバイスにインストールできます。詳細については、次のトピックを参照してください。
Junos OS アプリケーション パッケージのインストールについて
ジュニパーネットワークスは、定義済みのアプリケーション署名パッケージデータベースを定期的に更新し、ジュニパーネットワークスのWebサイトで加入者が利用できるようにしています。本パッケージには、追跡、ファイアウォールポリシー、 サービス品質の 優先順位付け、侵入検知と防御(IDP)のためにアプリケーションを識別するために使用できる既知のアプリケーションオブジェクトのシグネチャ定義が含まれています。データベースには、FTP、DNS、Facebook、Kazaa、および多くのインスタントメッセンジャープログラムなどのアプリケーションオブジェクトが含まれています。
アプリケーション・サービスを構成する前に、アプリケーション・シグニチャー・パッケージをダウンロードしてインストールする必要があります。アプリケーション署名パッケージはIDPインストールに直接含まれており、個別にダウンロードする必要はありません。
IDP を有効にしていて、アプリケーション ID を使用する予定がある場合は、IDP 署名データベースのダウンロードを引き続き実行できます。IDP 署名データベースをダウンロードするには、次のコマンドを実行します。
request security idp security-package downloadアプリケーション パッケージのダウンロードは、手動または自動で実行できます。 IDPセキュリティパッケージの一部としてのJunos OSアプリケーション署名パッケージのダウンロードとインストールを参照してください。メモ:IDP 対応デバイスがあり、アプリケーション識別を使用する予定がある場合は、IDP 署名データベースのみをダウンロードすることをお勧めします。これにより、同期しなくなる可能性のある 2 つのバージョンのアプリケーション データベースが使用できなくなります。
IDP を有効にしておらず、アプリケーション ID を使用する予定の場合は、次のコマンドを実行します。
request services application-identification downloadrequest services application-identification installこれらのコマンドは、アプリケーション署名データベースをダウンロードし、デバイスにインストールします。ダウンロードは手動または自動で実行できます。抽出したパッケージを手動でダウンロードする場合は、ダウンロード URL を変更できます。
アプリケーション・シグニチャー・パッケージをダウンロードしてインストールした後、CLI コマンドを使用して、定義データベースの更新をダウンロードしてインストールし、アプリケーションの概要と詳細情報を表示します。
Junos OS アプリケーション署名パッケージの手動ダウンロードとインストールまたは 例:アプリケーション署名パッケージの更新のスケジュールを参照してください。
メモ:Junos OSアプリケーションシグネチャパッケージのアップデートは、別途ライセンスされるサブスクリプションサービスです。ジュニパーネットワークスが提供する署名データベースのアップデートをダウンロードしてインストールするには、アプリケーションにアプリケーション署名パッケージアップデートライセンスキーをインストールする必要があります。ライセンスキーの有効期限が切れた場合、ローカルに保存されたアプリケーション署名パッケージのコンテンツを引き続き使用できますが、データを更新することはできません。
メモ:Junos OS リリース 15.1X49-D50 および Junos OS リリース 17.3 以降、アプリケーション シグネチャ パッケージをアップグレードまたはダウングレードすると、プロト バンドル間でアプリケーション ID(アプリケーション シグネチャの一意の ID 番号)の不一致があり、これらのアプリケーションが AppFW および AppQoS ルールで設定されている場合、エラー メッセージが表示されます。
例:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
回避策として、アプリケーション シグニチャ パッケージをアップグレードまたはダウングレードする前に、AppFW および AppQoS ルールを無効にします。アップグレードまたはダウングレード手順が完了したら、AppFWおよびAppQoSルールを再度有効にすることができます。
メモ:すべてのセキュリティデバイスにおいて、AppSecureサービスのJ-Webページは暫定的なものです。AppSecure 機能の設定には CLI を使用することを推奨します。
この機能にはライセンスが必要です。Junos OSアプリケーションのシグネチャパッケージの詳細については、 ジュニパーライセンスガイドでライセンス 管理の一般的な情報を参照してください。詳細については、 SRXシリーズサービスゲートウェイの 製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
次世代アプリケーション識別へのアップグレード
Junos OSリリース12.1X47-D10以降、次世代アプリケーション識別がサポートされています。既存またはレガシーのアプリケーション識別から次世代のアプリケーション識別に移行するには、Junos OSリリース12.1X47-D10をインストールする必要があります。
レガシーアプリケーション識別を使用してJunos OSビルドをインストールするセキュリティデバイスには、レガシーアプリケーション識別セキュリティパッケージが含まれます。これらのデバイスをJunos OSリリース12.1X47-D10でアップグレードすると、次世代アプリケーション識別セキュリティパッケージがデフォルトのプロトコルバンドルとともにインストールされます。デバイスは、次世代のアプリケーション識別に自動的にアップグレードされます。
次世代のアプリケーション識別セキュリティ パッケージでは、従来のアプリケーション識別パッケージの増分更新が導入されます。既存のアプリケーションを削除またはアンインストールする必要はありません。
以前のリリース(Junos OSリリース12.1X46以前)でサポートされていたアプリケーションは、新しいバージョンでは新しいエイリアスまたは別名を持つ場合があります。したがって、このようなアプリケーションを使用する既存の設定は、Junos OSリリース12.1X47でも機能します。ただし、関連するログやその他の情報には新しい名前が使用されます。
show services application-identification application detail new-application-nameコマンドを使用して、アプリケーションの詳細を取得できます。Junos OSをアップグレードする場合、コマンドに
request system software addまたはno-validateのオプションを含めることができますvalidate。次世代アプリケーション識別の一部ではない既存の機能は非推奨であるため、非互換性の問題は見られません。次世代のアプリケーション識別により、新しい入れ子になったアプリケーションの生成が不要になり、既存の入れ子になったアプリケーションが通常のアプリケーションとして扱われます。また、次世代アプリケーション識別では、カスタム アプリケーションまたはカスタム アプリケーション グループはサポートされません。ネストされたアプリケーション、カスタムアプリケーション、またはカスタムアプリケーショングループを含む既存の設定は無視され、警告メッセージが表示されます。
関連項目
アプリケーション署名パッケージのライセンスのインストールと検証
Junos OSアプリケーションシグネチャパッケージのアップデートは、別途ライセンスされるサブスクリプションサービスです。ジュニパーネットワークスが提供する署名データベースのアップデートをダウンロードしてインストールするには、アプリケーションにアプリケーション署名パッケージアップデートライセンスキーをインストールする必要があります。ライセンスキーの有効期限が切れても、ローカルに保存されたアプリケーション署名パッケージのコンテンツを引き続き使用できます。
ライセンスは通常、デバイスの購入時に注文され、この情報はシャーシのシリアル番号に紐付けられます。これらの手順は、すでにライセンスがあることを前提としています。デバイスの購入時にライセンスを注文しなかった場合は、アカウントチームまたはジュニパーカスタマーケアにお問い合わせください。詳細については、 https://kb.juniper.net/InfoCenter/index?page=home にあるサポート技術情報の文書 KB9731 を参照してください。
Junos OS 15.1X49-D30およびJunos OSリリース17.3R1以降、SRX1500デバイスでは、AppSecureはJunos Software Enhanced(JSE)ソフトウェアライセンスパッケージの一部です。AppSecure 用の個別のライセンス キーはありません。AppIDシグネチャデータベースの更新をダウンロードしてインストールしたり、AppFW、AppQoS、AppTrackなどの他のAppSecure機能を使用したりするには、デバイスでJSEソフトウェアライセンスを使用する必要があります。
Junos OS 15.1X49-D30およびJunos OSリリース17.3R1以降、SRX300、SRX320、SRX340、SRX345デバイス上のAppSecureは、Junos Software Enhanced(JSE)ソフトウェアライセンスパッケージの一部です。AppSecure 用の個別のライセンス キーはありません。AppIDシグネチャデータベースの更新をダウンロードしてインストールしたり、AppFW、AppQoS、AppTrackなどの他のAppSecure機能を使用したりするには、デバイスでJSEソフトウェアライセンスを使用する必要があります。
15.1X49-D65およびJunos OSリリース17.3R1以降、SRX4100デバイスおよびSRX4200デバイスでは、AppSecureはJunos Software Enhanced(JSE)ライセンスパッケージの一部です。AppSecure 用の個別のライセンス キーはありません。AppIDシグネチャデータベースの更新をダウンロードしてインストールしたり、AppFW、AppQoS、AppTrackなどの他のAppSecure機能を使用したりするには、デバイスでJSEソフトウェアライセンスを使用する必要があります。
Junos Software Base(JSB)パッケージには、アプリケーション シグネチャは含まれていません。詳細については、 SRXシリーズサービスゲートウェイの 製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
SRXシリーズファイアウォールにライセンスをインストールするには、次の手順に従います。
デバイスにライセンスを自動的にインストールします。
ライセンスを自動的にインストールまたは更新するには、デバイスがインターネットに接続されている必要があります。
user@host> request system license update
Trying to update license keys from https://ae1.juniper.net, use 'show system license' to check status.
デバイスにライセンスを手動でインストールします。
user@host> request system license add terminal
[Type ^D at a new line to end input, enter blank line between each license key]
ライセンスキーを貼り付け、Enterキーを押して続行します。
ライセンスがデバイスにインストールされていることを確認します。
show system license command次の例に示すように、 コマンドを使用してライセンスの使用状況を表示します。License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signature date-based, 2014-02-17 08:00:00 GMT-8 - 2015-02-11 08:00:00 GMT-8出力サンプルは切り捨てられ、ライセンス使用状況の詳細のみが表示されます。
関連項目
Junos OSアプリケーション署名パッケージの手動によるダウンロードとインストール
この例では、アプリケーション シグネチャ パッケージをダウンロードしてポリシーを作成し、アクティブなポリシーとして識別する方法を示します。
要件
始める前に:
セキュリティパッケージの更新をダウンロードするために、セキュリティデバイスがインターネットに接続されていることを確認します。
メモ:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能のライセンスがインストールされていることを確認します。
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズ デバイス
Junos OSリリース12.1X47-D10
概要
ジュニパーネットワークスは、定義済みのアプリケーション署名パッケージデータベースを定期的に更新し、ジュニパーネットワークスのWebサイトで利用できるようにしています。このパッケージには、侵入検出と防御(IDP)、アプリケーションファイアウォールポリシー、およびAppTrackでトラフィックを照合するために使用できるアプリケーションオブジェクトが含まれています。
構成
CLIクイック構成
設定中に手動による介入が必要なため、この例ではCLIクイック設定は使用できません。
アプリケーション識別のダウンロードとインストール
手順
アプリケーション パッケージをダウンロードします。
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
ダウンロードは、ジュニパーネットワークスのセキュリティWebサイト https://signatures.juniper.net/cgi-bin/index.cgi からアプリケーションパッケージを取得します。
次のオプションを使用して、特定のバージョンのアプリケーション パッケージをダウンロードしたり、特定の場所からアプリケーション パッケージをダウンロードしたりすることもできます。
特定のバージョンの製品パッケージをダウンロードするには:
user@host>request services application-identification download version version-number
設定モードから製品パッケージのダウンロード URL を変更するには:
[edit] user@host# set services application-identification download url URL or File Path
メモ:ダウンロード URL を変更し、その変更を保持する場合は、必ず設定をコミットしてください。
ダウンロードの状態を確認します。
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
メモ:システムログを使用して、ダウンロードの結果を表示することもできます。Junos OS リリース 20.4R1 以降、システム ログ メッセージが更新され、アプリケーション シグネチャ パッケージのダウンロードとインストールの結果が表示されるようになりました。
アプリケーション パッケージをインストールします。
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
アプリケーション パッケージは、デバイスのアプリケーション シグネチャデータベースにインストールされます。
製品パッケージのインストールステータスを確認します。
コマンド出力には、アプリケーションパッケージとプロトコルバンドルのダウンロード済みバージョンおよびインストール済みバージョンに関する情報が表示されます。
インストールステータスを表示するには:
user@host>request services application-identification install status
Install application package 2345 succeed
プロトコルバンドルのステータスを表示するには:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
メモ:新しいバージョンのアプリケーション署名データベースからアプリケーション署名が削除された可能性があります。この署名がデバイス上の既存のアプリケーションファイアウォールポリシーで使用されている場合、新しいデータベースのインストールは失敗します。インストール状況メッセージは、無効になった署名を識別します。データベースを正常に更新するには、削除された署名へのすべての参照を既存のポリシーとグループから削除し、install コマンドを再実行します。
検証
設定が正常に機能していることを確認します。
アプリケーション識別ステータスの確認
目的
アプリケーション識別構成が正しく機能していることを確認します。
アクション
動作モードから コマンド show services application-identification status を入力します。
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
意味
フィールドには Status: Enabled 、デバイスでアプリケーション識別が有効になっていることが示されています。
IDPセキュリティパッケージの一部としてのJunos OSアプリケーション署名パッケージのダウンロードとインストール
侵入検出および防止(IDP)セキュリティパッケージを使用して、アプリケーションシグネチャをダウンロードしてインストールできます。
この例では、IDP シグネチャとアプリケーションシグネチャパッケージをダウンロードしてインストールすることで、セキュリティを強化する方法を示しています。この場合、IDP 署名パックとアプリケーション署名パックの両方が 1 つのコマンドでダウンロードされます。
要件
始める前に:
セキュリティパッケージのアップデートをダウンロードするために、SRXシリーズファイアウォールがインターネットに接続されていることを確認します。
メモ:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能のライセンスがインストールされていることを確認します。
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズのファイアウォール
Junos OSリリース12.1X47-D10
概要
この例では、ジュニパーネットワークスの Web サイトから署名データベースをダウンロードしてインストールします。
構成
署名データベースのダウンロードとインストール
CLIクイック構成
設定中に手動による介入が必要なため、この例ではCLIクイック設定は使用できません。
手順
アプリケーション署名をダウンロードしてインストールするには:
署名データベースをダウンロードします。
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
メモ:データベースのサイズとインターネット接続の速度によっては、データベースのダウンロードに時間がかかる場合があります。
セキュリティパッケージのダウンロードステータスを確認します。
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
攻撃データベースをインストールします。
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
メモ:セキュリティ データベースのサイズによっては、攻撃データベースのインストールに時間がかかる場合があります。
攻撃データベースのインストール状態を確認します。コマンドの出力には、ダウンロードおよびインストールされた攻撃データベースのバージョンに関する情報が表示されます。
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
IDPセキュリティパッケージのバージョンを確認します。
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
アプリケーション識別パッケージのバージョンを確認します。
[edit]user@host# run show services application-identification versionApplication package version: 1884
検証
アプリケーション署名パッケージが正しく更新されていることを確認します。
プロキシサーバーからのJunos OSアプリケーション署名パッケージのダウンロード
この例では、プロキシ プロファイルを作成し、それを使用してプロキシ サーバーからアプリケーション シグネチャ パッケージをダウンロードする方法を示します。
構成
手順
プロキシプロファイルを作成し、プロキシサーバーを介してアプリケーションパッケージをダウンロードするために適用します。
プロトコル HTTP のプロキシ プロファイルを作成します。
user@host#set services proxy profile Profile-1 protocol httpプロキシ サーバーの IP アドレスを指定します。
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1プロキシ サーバーが使用するポート番号を指定します。
user@host#set services proxy profile Profile-1 protocol http port 3128プロキシー・ホストからアプリケーション・パッケージをダウンロードします。
user@host#set services application-identification download proxy-profile Profile-1
手順
不要な場合は、アプリケーション署名パッケージをダウンロードするためのプロキシサーバーを無効にすることができます。
アプリケーション署名のダウンロード用のプロキシ サーバーを無効にします。
user@host#delete services application-identification download proxy-profile p1
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能のライセンス。
Junos OSリリース18.3R1以降を搭載したSRXシリーズファイアウォール。この設定例は、Junos OS Release 18.3R1 でテストされています。
概要
SRXシリーズファイアウォールの外部サーバーでホストされているアプリケーション署名パッケージをダウンロードしてインストールする必要があります。Junos OS リリース 18.3R1 以降、プロキシ サーバーを使用してアプリケーション シグネチャ パッケージをダウンロードできます。
プロキシサーバーからの署名パッケージのダウンロードを有効にするには:
コマンドを使用して、プロキシサーバーの
set services proxy profileホストとポートの詳細を含むプロファイルを構成します。set services application-identification download proxy-profile profile-nameコマンドを使用してプロキシサーバーに接続し、アプリケーション署名パッケージをダウンロードします。
署名パッケージをダウンロードすると、要求はプロキシ ホストを介して署名パッケージをホストしている実際のサーバーにルーティングされます。プロキシ ホストは、実際のホストからの応答を中継します。このダウンロードでは、ジュニパーネットワークスのセキュリティWebサイト https://signatures.juniper.net/cgi-bin/index.cgi からアプリケーションパッケージを取得します。
プロキシー・プロファイル構成のサポートは、HTTP 接続でのみ使用できます。
この例では、プロキシプロファイルを作成し、外部ホストからアプリケーション署名パッケージをダウンロードするときにプロファイルを参照します。 表 1 に、この例で使用されるパラメーターの詳細を示します。
パラメーター |
名前 |
|---|---|
プロファイル名 |
プロファイル-1 |
プロキシサーバーのIPアドレス |
5.0.0.1 |
プロキシサーバーのポート番号 |
3128 |
検証
プロキシ サーバー経由でのアプリケーション署名のダウンロードの確認
目的
プロキシ サーバー経由でダウンロードしたアプリケーション署名パッケージの詳細を表示します。
アクション
動作モードから コマンド show services application-identification status を入力します。
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
意味
コマンド出力では、 および Proxy Address フィールドでプロキシプロファイルの詳細Proxy Profile を確認できます。
アプリケーション署名のダウンロードステータスの確認
目的
アプリケーション パッケージのダウンロード状態を確認します。
アクション
動作モードから コマンド request services application-identification download status を入力します。
user@host> request services application-identification download status
Application package 3058 is downloaded successfully
意味
このコマンドは、アプリケーション署名パッケージのダウンロードステータスを表示します。
例:アプリケーション署名パッケージの更新のスケジュール
この例では、定義済みのアプリケーション シグネチャ パッケージの自動更新を設定する方法を示します。
要件
始める前に:
セキュリティパッケージの更新をダウンロードするために、セキュリティデバイスがインターネットに接続されていることを確認します。
メモ:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能のライセンスがインストールされていることを確認します。
概要
この例では、アプリケーション署名パッケージの現在のバージョンを定期的にダウンロードします。ダウンロードは、12 月 10 日の午後 11 時 59 分に開始する必要があります。最新の情報を維持するには、会社のイントラネット サイトから 2 日ごとにパッケージを自動的に更新する必要があります。
構成
手順
GUI クイックコンフィグレーション
J-Webインターフェイスで自動ダウンロードと定期アップデートを設定するには、次の手順に従います。
手順
Enter
Configure>Security>AppSecure Settingsキーを押して、「アプリケーション・シグニチャー」ページを表示します。をクリックします
Global Settings。Download Schedulerタブをクリックし、次のフィールドを変更します。Url: https://signatures.juniper.net/cgi-bin/index.cgi
更新のスケジュールを有効にする: チェックボックスを選択します。
間隔: 48
クリックして
Reset Setting既存の開始時刻をクリアし、新しい開始時刻を YYYY-MM-DD.hh:mm の形式で入力し、 をクリックしますOK。開始時間: 2019-06-30.10:00:00
クリックして
Commit Options>Commit変更をコミットします。クリック
Check Statusすると、アクティブなダウンロードまたは更新の進行状況を監視したり、最新の更新の結果を確認したりできます。
手順
CLI を使用して Junos OS アプリケーション シグネチャ パッケージを自動的に更新するには、次の手順に従います。
セキュリティ パッケージの URL を指定します。セキュリティパッケージには、ディテクタと最新の攻撃オブジェクトおよびグループが含まれています。次のステートメントは、シグニチャデータベースの更新をダウンロードするための URL として https://signatures.juniper.net/cgi-bin/index.cgi を指定します。
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
ダウンロードの時間と間隔を指定します。次のステートメントは、間隔を 48 時間に、開始時刻を 12 月 10 日の午前 10 時に設定します。
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
アプリケーション署名パッケージが正しく更新されていることを確認するには、 コマンドを入力します show services application-identification version 。最新の更新プログラムのバージョン番号と詳細を確認します。
IDP セキュリティパッケージの一部としてのアプリケーション署名パッケージの更新のスケジュール
この例の設定手順では、指定した日時にアプリケーション識別署名パッケージ(IDPセキュリティパッケージの一部)の自動更新を設定する方法について説明します。
要件
始める前に:
セキュリティパッケージの更新をダウンロードするために、セキュリティデバイスがインターネットに接続されていることを確認します。
メモ:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能のライセンスがインストールされていることを確認します。
概要
この例では、アプリケーション署名パッケージの現在のバージョンを定期的にダウンロードします。ダウンロードは、12 月 10 日の午後 11 時 59 分に開始する必要があります。最新の情報を維持するには、会社のイントラネット サイトから 2 日ごとにパッケージを自動的に更新する必要があります。
構成
手順
GUI クイックコンフィグレーション
J-Webインターフェイスで自動ダウンロードと定期アップデートを設定するには、次の手順に従います。
手順
を入力して
Configure>Security>IDP>Signature Updates、セキュリティ IDP シグニチャ設定 ページを表示します。URL をクリックして
Download Settings変更します。 https://signatures.juniper.net/cgi-bin/index.cgiAuto Download Settingsタブをクリックし、次のフィールドを変更します。間隔: 48
開始時間: 2013-12-10.23:59:55
更新のスケジュールを有効にする: チェックボックスを選択します。
クリックして
Reset Setting既存のフィールドをクリアし、新しい値を入力します。をクリックしますOK。クリックして
Commit Options>Commit変更をコミットします。クリック
Check Statusすると、アクティブなダウンロードまたは更新の進行状況を監視したり、最新の更新の結果を確認したりできます。
手順
CLI を使用して Junos OS アプリケーション シグネチャ パッケージを自動的に更新するには、次の手順に従います。
セキュリティ パッケージの URL を指定します。セキュリティパッケージには、ディテクタと最新の攻撃オブジェクトおよびグループが含まれています。次のステートメントは、シグニチャデータベースの更新をダウンロードするための URL として https://signatures.juniper.net/cgi-bin/index.cgi を指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
ダウンロードの時間と間隔を指定します。次のステートメントは、間隔を 48 時間に、開始時刻を 2013 年 12 月 10 日の午後 11:55 に設定します。
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
セキュリティパッケージの自動ダウンロードと更新を有効にします。
[edit] user@host# set security idp security-package automatic enable
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
アプリケーション署名パッケージが正しく更新されていることを確認します。
例:シャーシ クラスタ モードでのアプリケーション識別パッケージのダウンロードとインストール
この例では、シャーシ クラスタ モードで動作しているデバイスに、アプリケーション署名パッケージ データベースをダウンロードしてインストールする方法を示しています。
アプリケーション識別パッケージのダウンロードとインストール
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 CLI ユーザーガイドを参照してください。
アプリケーションパッケージをダウンロードしてインストールするには:
プライマリノードにアプリケーションパッケージをダウンロードします。
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
アプリケーション パッケージのダウンロード状態を確認します。
{primary:node0}[edit]user@host>request services application-identification download statusダウンロードが成功すると、次のメッセージが表示されます
Application package 2345 is downloaded successfully
アプリケーション パッケージはプライマリ ノードのアプリケーション シグネチャ データベースにインストールされ、アプリケーション識別ファイルはプライマリ ノードとセカンダリ ノードで同期されます。
コマンドを使用してアプリケーションパッケージ
installを更新します。{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
アプリケーション パッケージの更新状態を確認します。コマンド出力には、ダウンロード済みおよびインストール済みのアプリケーションパッケージのバージョンに関する情報が表示されます。
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
メモ:新しいバージョンのアプリケーション署名データベースからアプリケーション署名が削除される可能性があります。この署名がデバイス上の既存のアプリケーションファイアウォールポリシーで使用されている場合、新しいデータベースのインストールは失敗します。インストール状況メッセージは、無効になった署名を識別します。データベースを正常に更新するには、削除された署名へのすべての参照を既存のポリシーとグループから削除し、install コマンドを再実行します。
メモ:プライマリノードにアプリケーション署名パッケージをダウンロードしているときに、予期しないフェイルオーバーが原因で、プライマリノードがアプリケーション署名パッケージを完全にダウンロードできない場合があります。回避策として、/var/db/appid/sec-download/.apppack_stateを削除し、デバイスを再起動する必要があります。
手順
アプリケーションパッケージをアンインストールするには:
コマンドを使用してアプリケーションパッケージ
uninstallをアンインストールします。{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
アプリケーション パッケージのアンインストール状態を確認します。
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
プロトコルバンドルのアンインストールステータスを確認します。
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
要件
始める前に:
シャーシ クラスタ ノード ID とクラスタ ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。
セキュリティパッケージの更新をダウンロードするために、セキュリティデバイスがインターネットに接続されていることを確認します。
メモ:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能ライセンスがインストールされていることを確認します。
概要
アプリケーション ID を使用する場合は、定義済みのアプリケーション署名パッケージ データベースをダウンロードできます。ジュニパーネットワークスは定期的にデータベースを更新し、ジュニパーネットワークスのWebサイトで利用できるようにしています。このパッケージには、IDP、アプリケーションファイアウォールポリシー、およびアプリケーション追跡のトラフィックを照合するために使用できるアプリケーションオブジェクトが含まれています。詳しくは、 Junos OSアプリケーションパッケージのインストールについてを参照してください。
シャーシ クラスタ モードで動作しているデバイスにアプリケーション識別セキュリティ パッケージをダウンロードすると、セキュリティ パッケージがプライマリ ノードにダウンロードされてから、セカンダリ ノードに同期されます。
抽出されたアプリケーション パッケージの Junos OS アプリケーション識別の確認
目的
アプリケーションパッケージのダウンロードとインストールが正常に完了したら、次のコマンドを使用して、定義済みのアプリケーション署名パッケージの内容を表示します。
アクション
アプリケーション パッケージの現在のバージョンを表示します。
show services application-identification version
Application package version: 1608
アプリケーション パッケージの現在の状態を表示します。
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
関連項目
Junos OS アプリケーション識別アプリケーション パッケージのアンインストール
定義済みのアプリケーション パッケージをアンインストールできます。Junos OS 設定内の事前定義されたアプリケーション シグネチャで参照されているアクティブなセキュリティ ポリシーがある場合、アンインストール操作は失敗します
アプリケーションパッケージをアンインストールするには:
アプリケーション パッケージとプロトコル バンドルがデバイスでアンインストールされます。アプリケーション識別を再インストールするには、アプリケーションパッケージをダウンロードして再インストールする必要があります。
関連項目
アプリケーション シグネチャ パッケージのロールバック
Junos OS リリース 20.3R1 以降、次のいずれかの方法で、現在のバージョンのアプリケーション シグネチャパックを以前のバージョンにロールバックできます。
自動ロールバック
手動ロールバック
自動ロールバック
アプリケーション署名パッケージのインストールに失敗した場合、システムはセキュリティデバイスに現在インストールされている以前のバージョンのアプリケーション署名パッケージに自動的にロールバックします。
シャーシ クラスタ モードで動作しているデバイスにアプリケーション シグネチャ パッケージをダウンロードしてインストールするときに、ノードでのインストールに失敗すると、システムは以前のバージョンのアプリケーション シグネチャにロールバックします。デバイスは、インストールが失敗し、ロールバックが成功した同じノードにマイナーアラームを表示します。
例:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
インストールが失敗し、ロールバックが正常に完了した場合に、アプリケーション署名パッケージのロールバック状態を確認します。
user@host> request services application-identification rollback status
Application package rollback to version 3297 success手動ロールバック
次の手順を使用して、アプリケーション署名パッケージを以前にインストールされたバージョンに手動でロールバックできます:
アプリケーション署名パッケージを以前のバージョンにロールバックします。
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusロールバックステータスを確認します。
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
アプリケーション署名パッケージの手動ロールバックについては、次の点に注意してください。
アプリケーション署名パッケージのバージョンをバージョン Y からバージョン X に手動でロールバックすると、バージョン Y よりも新しいバージョン Z が使用可能になるまで、アプリケーション署名パッケージのスケジュールされた自動更新はスキップされます。
侵入検出および防止(IDP)セキュリティパッケージを使用して、アプリケーションシグネチャをダウンロードしてインストールできます。この場合、IDP のインストール中に AppID のインストールが失敗すると、AppID は以前のバージョンにロールバックし、IDP のインストールは要求されたバージョンで続行されます。このような場合、IDP と AppID のバージョンが異なる可能性があります。
ダウンロードした署名パッケージ ファイルの破損、削除、または変更がある場合、アプリケーション署名パッケージのインストールは続行されません。このような場合、次のメッセージが表示されます。
user@host>request services application-identification install error: Checksum validation failed for downloaded files.-
セキュリティ デバイスに以前のバージョンのアプリケーション シグネチャ パッケージが含まれていない場合に、アプリケーション シグネチャ パッケージをロールバックしようとすると、デバイスに次のエラー メッセージが表示されます:
user@host>request services application-identification install No application package available to rollback.
新しく追加されたアプリケーション シグネチャのグループ化
Junos OS リリース 21.1R1 以降、junos:all-new-apps グループに新しく追加されたすべてのアプリケーション シグネチャをグループ化することで、アプリケーション シグネチャ パッケージを強化しました。セキュリティデバイスにアプリケーションシグネチャパッケージをダウンロードすると、定義済みのアプリケーショングループ全体がダウンロードされ、次の例に示すようにセキュリティポリシーで設定できるようになります:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
また、アプリケーション シグネチャ パッケージにアプリケーション タグの一覧も導入しました。アプリケーション属性に基づく事前定義済みタグに基づいて、類似したアプリケーションをグループ化できます。これにより、セキュリティ ポリシーを定義するときにアプリケーション グループを一貫して再利用できます。
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
例
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
上記の例では、タグがリモートアクセスと web のタグを持つタグベースのアプリケーショングループと、social_networking を持つ別のタググループを設定します。Webまたはリモートアクセスおよびsocial_networkingとしてタグが付けられているすべてのアプリケーションがアプリケーショングループに追加されます。
タグに基づいて類似したアプリケーションをグループ化すると、セキュリティポリシーを定義する際にアプリケーショングループを一貫して再利用できます。
新しいアプリケーションから通常のアプリケーションへの移行:
junos:all-new-apps グループには、以前にインストールされたシグネチャーパックと比較した、セキュリティデバイスにインストールされているアプリケーションシグネチャーパック内のすべての新規アプリケーションのセットが含まれます。新しいバージョンのアプリケーション シグネチャ パッケージをインストールする場合、そのバージョンには junos:all-new-apps グループの新しいアプリケーション セットが含まれます。
既存のアプリケーション署名パッケージ内の通常のアプリケーションに新しいアプリケーションを移行することを選択できます。この移行は、将来新しいアプリケーションシグネチャバージョンにアップグレードするたびに、新しいアプリケーションに固有のセキュリティポリシーのルールを一貫して維持するのに役立ちます。
次の新しいコマンドを使用して、新しいアプリケーションとしてタグ付けされたアプリケーションを通常のアプリケーションに移動できます。
-
指定した新しいアプリケーションのみを通常のアプリケーションとして移行するには、次のコマンドを使用します。
request services application-identification new-to-production applications-list [application-1 application-2]
-
すべての新しいアプリケーションを通常のアプリケーションとして移行するには、次のコマンドを使用します。
request services application-identification new-to-production all
これらのコマンドを実行すると、アプリケーションは新規としてタグ付けされなくなり、グループの一部 junos:all-new-apps ではなくなります。
アプリケーション シグネチャ パッケージの機能強化
Junos OS リリース 21.1R1 以降、アプリケーション シグネチャ パッケージに次の拡張機能が導入されました。
- FTP データ コンテキスト伝搬のサポート
- アプリケーションシステムキャッシュ(ASC)ヒット時の高度なポリシーベースルーティング(APBR)によってオフロードされたセッションのディープパケットインスペクション(DPI)をスキップします。(APBRサービスのみ有効な場合)
- 同じバージョンの署名パックへのアプリケーション署名パックの強制インストール。重複バージョンチェックを無視するサービスアプリケーション識別の要求を参照してください。
- CLI コマンド出力でのアプリケーション シグネチャ パックのリリース日の表示。show services application-identification versionを参照してください
- CLI コマンド出力にインストールされているシグニチャーパックで使用可能な非推奨のアプリケーション シグニチャーのリストの表示。showservicesアプリケーション識別アプリケーション廃止アプリケーションを参照してください
Junos OS リリース 20.4 以前のバージョンから Junos OS リリース 21.1 以降にアップグレードする場合は、 および request services application-identification install コマンドを使用して、アプリケーション識別シグネチャ データベースrequest services application-identifications download を更新することをお勧めします。