アプリケーションシグネチャパッケージのインストール
定義済みアプリケーション シグネチャ パッケージは、アプリケーションの分類機能と関連するプロトコル属性を提供する、動的にロード可能なモジュールです。外部サーバーでホストされ、パッケージとしてダウンロードし、デバイスにインストールできます。詳細については、次のトピックを参照してください。
Junos OS アプリケーション パッケージのインストールについて
ジュニパーネットワークスは、定義済みのアプリケーション シグネチャ パッケージ データベースを定期的に更新し、ジュニパーネットワークスの Web サイトで加入者が利用できるようにしています。このパッケージには、追跡、ファイアウォールポリシー、 サービス品質 の優先順位付け、および侵入検知と防御(IDP)のためのアプリケーションの識別に使用できる既知のアプリケーションオブジェクトのシグネチャ定義が含まれています。データベースには、FTP、DNS、Facebook、Kazaa、および多くのインスタントメッセンジャープログラムなどのアプリケーションオブジェクトが含まれています。
アプリケーションサービスを設定する前に、アプリケーション署名パッケージをダウンロードしてインストールする必要があります。次のいずれかのオプションを使用します。
IDP を有効にしていて、アプリケーション識別を使用する予定の場合は、IDP 署名データベースのダウンロードを引き続き実行できます。 IDPセキュリティパッケージの一部としてのJunos OSアプリケーション シグネチャパッケージのダウンロードとインストールを参照してください。
IDP 対応デバイスがあり、アプリケーション識別を使用する予定がある場合は、IDP 署名データベースのみをダウンロードすることをお勧めします。これにより、アプリケーション データベースの 2 つのバージョンが同期しなくなることを回避できます。
IDP が有効になっておらず、アプリケーション識別を使用する予定の場合は、アプリケーション署名データベースをダウンロードしてインストールします。 「Junos OS アプリケーション シグネチャ パッケージの手動ダウンロードとインストール 」または 「例:アプリケーションアプリケーション シグネチャ パッケージの更新のスケジューリング」を参照してください。
手記:アプリケーション署名パッケージをアップグレードまたはダウングレードするときに、プロトバンドル間でアプリケーションID(アプリケーション署名の一意のID番号)の不一致があり、これらのアプリケーションがAppFWおよびAppQoSルールで構成されている場合は、エラーメッセージが表示されます。
例:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
回避策として、アプリケーション署名パッケージをアップグレードまたはダウングレードする前に、AppFWおよびAppQoSルールを無効にします。アップグレードまたはダウングレード手順が完了したら、AppFWおよびAppQoSルールを再度有効にできます。
手記:すべてのセキュリティ デバイスで、AppSecure Services の J-Web ページは暫定的なものです。AppSecure 機能の設定には CLI の使用を推奨します。
次世代のアプリケーション識別へのアップグレード
レガシーアプリケーション識別を使用してJunos OSビルドでインストールされるセキュリティデバイスには、レガシーアプリケーション識別セキュリティパッケージが含まれています。これらのデバイスを最新のリリースでアップグレードすると、次世代のアプリケーション識別セキュリティパッケージがデフォルトのプロトコルバンドルとともにインストールされます。デバイスは、自動的に次世代アプリケーションIDにアップグレードされます。
次世代のアプリケーション識別セキュリティパッケージについては、次の点に注意してください。
-
次世代のアプリケーション識別セキュリティ パッケージでは、レガシ アプリケーション識別パッケージに増分更新が導入されています。既存のアプリケーションを削除またはアンインストールする必要はありません。
-
以前のバージョンの Junos OS のアプリケーションは、後のバージョンでは新しいエイリアスを持つ場合があります。既存の設定は引き続き機能しますが、ログと関連情報には更新された名前が反映されます。
show services application-identification application detail new-application-nameコマンドを使用して、アプリケーションの詳細を取得します。 -
Junos OS をアップグレードする場合、
request system software addコマンドでvalidateまたはno-validateオプションを含めることができます。次世代のアプリケーション識別に含まれていない既存の機能は非推奨であるため、非互換性の問題は発生しません。 -
次世代のアプリケーション識別により、ネストされた新しいアプリケーションの生成が不要になり、既存のネストされたアプリケーションが通常のアプリケーションとして扱われます。また、次世代のアプリケーション識別では、カスタムアプリケーションやカスタムアプリケーショングループはサポートされていません。ネストされたアプリケーション、カスタムアプリケーション、またはカスタムアプリケーショングループを含む既存の設定は無視され、警告メッセージが表示されます。
参照
Junos OS アプリケーション シグネチャ パッケージの手動ダウンロードとインストール
この例では、アプリケーション シグネチャ パッケージをダウンロードし、ポリシーを作成して、それをアクティブなポリシーとして識別する方法を示しています。
必要条件
開始する前に、以下を実行します。
セキュリティ パッケージの更新プログラムをダウンロードするには、セキュリティ デバイスがインターネットに接続されていることを確認します。
手記:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
必要なライセンスがあることを確認します。見る プラットフォーム固有のライセンスサポートジュニパーライセンスガイド.詳細については、 SRXシリーズサービスゲートウェイ の製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズデバイス
Junos OS リリース 12.1X47-D10
概要
ジュニパーネットワークスは、定義済みのアプリケーションシグネチャパッケージデータベースを定期的に更新し、ジュニパーネットワークスのウェブサイトで公開しています。このパッケージには、侵入検出および防止(IDP)、アプリケーションファイアウォールポリシー、およびトラフィックを照合するAppTrackで使用できるアプリケーションオブジェクトが含まれています。
Junos OS リリース 20.4 以前のバージョンから Junos OS リリース 21.1 以降にアップグレードする場合は、アプリケーション識別署名データベースも更新することをお勧めします。
構成
CLIクイック構成
設定中に手動による介入が必要になるため、この例ではCLI簡易設定は使用できません。
アプリケーション識別のダウンロードとインストール
手順
アプリケーション パッケージをダウンロードします。
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
ダウンロードは、ジュニパーネットワークスのセキュリティWebサイト https://signatures.juniper.net/cgi-bin/index.cgi からアプリケーションパッケージを取得します。
また、次のオプションを使用して、特定のバージョンのアプリケーション パッケージをダウンロードしたり、特定の場所からアプリケーション パッケージをダウンロードしたりすることもできます。
特定のバージョンのアプリケーションパッケージをダウンロードするには:
user@host>request services application-identification download version version-number
アプリケーション パッケージのダウンロード URL を構成モードから変更するには、次のようにします。
[edit] user@host# set services application-identification download url URL or File Path
ダウンロード状況を確認してください。
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
また、システムログを使用して、ダウンロードの結果を表示することもできます。
アプリケーション パッケージをインストールします。
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
アプリケーション パッケージは、デバイスのアプリケーション署名データベースにインストールされます。
アプリケーション パッケージのインストール状態を確認します。
コマンド出力には、アプリケーションパッケージとプロトコルバンドルのダウンロードおよびインストールされたバージョンに関する情報が表示されます。
インストールステータスを表示するには、次の手順を実行します。
user@host>request services application-identification install status
Install application package 2345 succeed
プロトコルバンドルのステータスを表示するには:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
新しいバージョンのアプリケーション署名データベースからアプリケーション署名が削除された可能性があります。この署名がデバイス上の既存のアプリケーション ファイアウォール ポリシーで使用されている場合、新しいデータベースのインストールは失敗します。インストール状況メッセージは、無効になった署名を識別します。データベースを正常に更新するには、削除された署名への参照をすべて既存のポリシーとグループから削除し、install コマンドを再実行します。
検証
設定が正常に機能していることを確認します。
アプリケーション識別ステータスの検証
目的
アプリケーション識別設定が正しく機能していることを確認します。
アクション
動作モードから、 show services application-identification status コマンドを入力します。
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
意味
Status: Enabledフィールドは、アプリケーション識別がデバイスで有効になっていることを示しています。
IDP セキュリティ パッケージの一部としての Junos OS アプリケーション シグネチャ パッケージのダウンロードとインストール
侵入検出および防止 (IDP) セキュリティ パッケージを使用して、アプリケーション シグネチャをダウンロードしてインストールできます。
この例では、IDP 署名とアプリケーション 署名パッケージをダウンロードしてインストールすることで、セキュリティを強化する方法を示します。この場合、IDP 署名パックとアプリケーション署名パックの両方が 1 つのコマンドでダウンロードされます。
必要条件
開始する前に、以下を実行します。
SRXシリーズファイアウォールがインターネットに接続していることを確認して、セキュリティパッケージの更新をダウンロードしてください。
手記:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能ライセンスがインストールされていることを確認します。
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール
Junos OS リリース 12.1X47-D10
概要
この例では、ジュニパーネットワークスの Web サイトから署名データベースをダウンロードしてインストールします。
構成
署名データベースのダウンロードとインストール
CLIクイック構成
設定中に手動による介入が必要になるため、この例ではCLI簡易設定は使用できません。
手順
アプリケーション署名をダウンロードしてインストールするには、次の手順を実行します。
シグネチャ データベースをダウンロードします。
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
手記:データベースのサイズとインターネット接続の速度によっては、データベースのダウンロードに時間がかかる場合があります。
セキュリティ パッケージのダウンロード状態を確認します。
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
攻撃データベースをインストールします。
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
手記:攻撃データベースのインストールは、セキュリティ データベースのサイズによっては時間がかかる場合があります。
攻撃データベースのインストール状態を確認します。コマンド出力は、攻撃データベースのダウンロードおよびインストールされたバージョンに関する情報を表示します。
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
IDP セキュリティ パッケージのバージョンを確認します。
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
アプリケーション識別パッケージのバージョンを確認します。
[edit]user@host# run show services application-identification versionApplication package version: 1884
検証
アプリケーション署名パッケージが正しく更新されていることを確認します。
プロキシ サーバーからの Junos OS アプリケーション シグネチャ パッケージのダウンロード
この例では、プロキシ プロファイルを作成し、プロキシ サーバーからアプリケーション署名パッケージをダウンロードするために使用する方法を示します。
構成
手順
プロキシプロファイルを作成し、プロキシサーバー経由でアプリケーションパッケージをダウンロードするために適用します。
プロトコル HTTP のプロキシ プロファイルを作成します。
user@host#set services proxy profile Profile-1 protocol httpプロキシ サーバーの IP アドレスを指定します。
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1プロキシー・サーバーが使用するポート番号を指定します。
user@host#set services proxy profile Profile-1 protocol http port 3128プロキシ ホストからアプリケーション パッケージをダウンロードします。
user@host#set services application-identification download proxy-profile Profile-1
手順
不要な場合は、アプリケーション署名パッケージをダウンロードするためのプロキシサーバーを無効にすることができます。
アプリケーション署名のダウンロードのプロキシサーバーを無効にします。
user@host#delete services application-identification download proxy-profile p1
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能ライセンス。
Junos OS リリース 18.3R1 以降を搭載した SRXシリーズファイアウォールこの設定例は、Junos OS リリース 18.3R1 でテストされています。
概要
SRXシリーズファイアウォール上の外部サーバーでホストされているアプリケーション署名パッケージをダウンロードしてインストールする必要があります。Junos OS リリース 18.3R1 以降では、プロキシ サーバーを使用してアプリケーション シグネチャ パッケージをダウンロードできます。
プロキシサーバーからの署名パッケージのダウンロードを有効にするには:
set services proxy profileコマンドを使用して、プロキシサーバーのホストとポートの詳細を含むプロファイルを構成します。set services application-identification download proxy-profile profile-nameコマンドを使用してプロキシサーバーに接続し、アプリケーション署名パッケージをダウンロードします。
署名パッケージをダウンロードすると、要求はプロキシ ホストを介して、署名パッケージをホストしている実際のサーバーにルーティングされます。プロキシ ホストは、実際のホストからの応答をリレーします。ダウンロードすると、ジュニパーネットワークスのセキュリティWebサイト https://signatures.juniper.net/cgi-bin/index.cgi からアプリケーションパッケージが取得されます。
プロキシ プロファイル構成のサポートは、HTTP 接続でのみ使用できます。
この例では、プロキシプロファイルを作成し、外部ホストからアプリケーション署名パッケージをダウンロードするときにプロファイルを参照します。 表 1 は、この例で使用されるパラメーターの詳細を示しています。
パラメーター |
名前 |
|---|---|
プロファイル名 |
プロフィール-1 |
プロキシサーバーのIPアドレス |
5.0.0.1 |
プロキシー・サーバーのポート番号 |
3128 |
検証
プロキシ サーバーによるアプリケーション シグネチャダウンロードの確認
目的
プロキシサーバー経由でダウンロードするアプリケーション署名パッケージの詳細を表示します。
アクション
動作モードから、 show services application-identification status コマンドを入力します。
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
意味
コマンド出力では、 Proxy Profile フィールドと Proxy Address フィールドにプロキシプロファイルの詳細が表示されます。
アプリケーション シグネチャのダウンロード状態の確認
目的
アプリケーション パッケージのダウンロード状態を確認します。
アクション
動作モードから、 request services application-identification download status コマンドを入力します。
user@host> request services application-identification download statusApplication package 3058 is downloaded successfully
意味
このコマンドは、アプリケーション署名パッケージのダウンロードステータスを表示します。
例:アプリケーション シグネチャ パッケージ更新のスケジュール設定
この例では、定義済みのアプリケーション署名パッケージの自動更新を設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
セキュリティ パッケージの更新プログラムをダウンロードするには、セキュリティ デバイスがインターネットに接続されていることを確認します。
手記:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能ライセンスがインストールされていることを確認します。
概要
この例では、アプリケーション署名パッケージの現在のバージョンを定期的にダウンロードします。ダウンロードは 12 月 10 日の午後 11 時 59 分に開始されます。最新の情報を維持するには、会社のイントラネット サイトから 2 日ごとにパッケージを自動的に更新する必要があります。
構成
プロシージャ
GUI クイックコンフィグレーション
J-Web インターフェイスを使用した自動ダウンロードと定期的な更新を設定するには、次の手順に従います。
手順
「
Configure>Security>AppSecure Settings」と入力して、「アプリケーション・シグニチャ」ページを表示します。[
Global Settings] をクリックします。[
Download Scheduler] タブをクリックし、次のフィールドを変更します。URL: https://signatures.juniper.net/cgi-bin/index.cgi
更新スケジュールの有効化: チェック・ボックスを選択します。
間: 48
[
Reset Setting] をクリックして既存の開始時刻をクリアし、新しい開始時刻を YYYY-MM-DD.hh:mm 形式で入力して、[OK] をクリックします。開始時間: 2019-06-30.10:00:00
「
Commit Options>Commit」をクリックして、変更を確定します。[
Check Status] をクリックして、アクティブなダウンロードまたは更新の進行状況を監視したり、最新の更新の結果を確認したりします。
手順
CLIを使用してJunos OSアプリケーション署名パッケージを自動的に更新するには、次の手順に従います。
セキュリティ パッケージの URL を指定します。セキュリティ パッケージには、ディテクタと最新の攻撃オブジェクトおよびグループが含まれています。次のステートメントは、シグニチャデータベースの更新をダウンロードするための URL として https://signatures.juniper.net/cgi-bin/index.cgi を指定します。
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
ダウンロードの時間と間隔を指定します。次のステートメントは、間隔を 48 時間、開始時刻を 12 月 10 日の午前 10 時に設定します。
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
アプリケーション署名パッケージが正しく更新されていることを確認するには、 show services application-identification version コマンドを入力します。最新の更新プログラムのバージョン番号と詳細を確認します。
IDP セキュリティ パッケージの一部としてのアプリケーション シグネチャ パッケージの更新のスケジュール設定
この例の構成手順では、指定した日時にアプリケーション識別署名パッケージ(IDPセキュリティパッケージの一部)の自動更新を設定する方法について説明します。
必要条件
開始する前に、以下を実行します。
セキュリティ パッケージの更新プログラムをダウンロードするには、セキュリティ デバイスがインターネットに接続されていることを確認します。
手記:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能ライセンスがインストールされていることを確認します。
概要
この例では、アプリケーション署名パッケージの現在のバージョンを定期的にダウンロードします。ダウンロードは 12 月 10 日の午後 11 時 59 分に開始されます。最新の情報を維持するには、会社のイントラネット サイトから 2 日ごとにパッケージを自動的に更新する必要があります。
構成
プロシージャ
GUI クイックコンフィグレーション
J-Web インターフェイスを使用した自動ダウンロードと定期的な更新を設定するには、次の手順に従います。
手順
「
Configure>Security>IDP>Signature Updates」と入力して、[Security IDP Signature Configuration] ページを表示します。[
Download Settings] をクリックし、URL を変更します。 https://signatures.juniper.net/cgi-bin/index.cgi[
Auto Download Settings] タブをクリックし、次のフィールドを変更します。間: 48
開始時間: 2013-12-10.23:59:55
更新スケジュールの有効化: チェック・ボックスを選択します。
[
Reset Setting] をクリックして既存のフィールドをクリアし、新しい値を入力します。[OK] をクリックします。「
Commit Options>Commit」をクリックして、変更を確定します。[
Check Status] をクリックして、アクティブなダウンロードまたは更新の進行状況を監視したり、最新の更新の結果を確認したりします。
手順
CLIを使用してJunos OSアプリケーション署名パッケージを自動的に更新するには、次の手順に従います。
セキュリティ パッケージの URL を指定します。セキュリティ パッケージには、ディテクタと最新の攻撃オブジェクトおよびグループが含まれています。次のステートメントは、シグニチャデータベースの更新をダウンロードするための URL として https://signatures.juniper.net/cgi-bin/index.cgi を指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
ダウンロードの時間と間隔を指定します。次のステートメントは、間隔を 48 時間、開始時刻を 2013 年 12 月 10 日の午後 11:55 に設定します。
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
セキュリティ パッケージの自動ダウンロードと更新を有効にします。
[edit] user@host# set security idp security-package automatic enable
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
アプリケーション署名パッケージが正しく更新されていることを確認します。
例:シャーシ クラスタ モードでのアプリケーション識別パッケージのダウンロードとインストール
この例では、アプリケーション シグネチャ パッケージ データベースをダウンロードして、シャーシ クラスタ モードで動作するデバイスにインストールする方法を示しています。
アプリケーション識別パッケージのダウンロードとインストール
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 CLI ユーザーガイドを参照してください。
アプリケーションパッケージをダウンロードしてインストールするには:
プライマリノードにアプリケーションパッケージをダウンロードします。
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
アプリケーション パッケージのダウンロード状態を確認します。
{primary:node0}[edit]user@host>request services application-identification download statusダウンロードが成功すると、次のメッセージが表示されます
Application package 2345 is downloaded successfully
アプリケーション パッケージはプライマリ ノードのアプリケーション シグネチャ データベースにインストールされ、アプリケーション識別ファイルはプライマリ ノードとセカンダリ ノードで同期されます。
installコマンドを使用してアプリケーション パッケージを更新します。{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
アプリケーション パッケージの更新状態を確認します。コマンド出力には、ダウンロードおよびインストールされたバージョンのアプリケーションパッケージに関する情報が表示されます。
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
手記:アプリケーション・シグニチャー・データベースの新しいバージョンからアプリケーション・シグニチャーが削除される可能性があります。この署名がデバイス上の既存のアプリケーション ファイアウォール ポリシーで使用されている場合、新しいデータベースのインストールは失敗します。インストール状況メッセージは、無効になった署名を識別します。データベースを正常に更新するには、削除された署名への参照をすべて既存のポリシーとグループから削除し、install コマンドを再実行します。
手記:プライマリ ノードでアプリケーション署名パッケージをダウンロードしているときに、予期しないフェールオーバーが原因で、プライマリ ノードがアプリケーション署名パッケージを完全にダウンロードできない場合があります。回避策として、/var/db/appid/sec-download/.apppack_stateを削除し、デバイスを再起動する必要があります。
手順
アプリケーションパッケージをアンインストールするには:
uninstallコマンドを使用してアプリケーションパッケージをアンインストールします。{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
アプリケーションパッケージのアンインストールステータスを確認します。
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
プロトコルバンドルのアンインストールステータスを確認します。
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
必要条件
開始する前に、以下を実行します。
シャーシ クラスタ ノード ID とクラスタ ID を設定します。 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定 を参照してください。
セキュリティ パッケージの更新プログラムをダウンロードするには、セキュリティ デバイスがインターネットに接続されていることを確認します。
手記:更新サーバーの名前を解決する必要があるため、DNS を設定する必要があります。
アプリケーション識別機能ライセンスがインストールされていることを確認します。
概要
アプリケーション ID を使用する場合は、事前定義されたアプリケーション・シグニチャー・パッケージ・データベースをダウンロードできます。ジュニパーネットワークスは、データベースを定期的に更新し、ジュニパーネットワークスの Web サイトで公開しています。このパッケージには、IDP、アプリケーションファイアウォールポリシー、およびアプリケーション追跡のトラフィックの照合に使用できるアプリケーションオブジェクトが含まれています。詳細については、 Junos OS アプリケーション パッケージのインストールについてを参照してください。
シャーシ クラスタ モードで動作するデバイスにアプリケーション識別セキュリティ パッケージをダウンロードすると、セキュリティ パッケージがプライマリ ノードにダウンロードされ、セカンダリ ノードに同期されます。
Junos OSアプリケーション識別の検証 抽出されたアプリケーションパッケージ
目的
アプリケーション パッケージのダウンロードとインストールが正常に完了したら、次のコマンドを使用して、定義済みのアプリケーション署名パッケージの内容を表示します。
アクション
アプリケーションパッケージの現在のバージョンを表示します。
show services application-identification version
Application package version: 1608
アプリケーションパッケージの現在のステータスを表示します。
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
参照
Junos OSアプリケーション識別アプリケーションパッケージのアンインストール
定義済みのアプリケーション パッケージをアンインストールできます。Junos OS設定の事前定義されたアプリケーションシグネチャで参照されるアクティブなセキュリティポリシーがある場合、アンインストール操作は失敗します
アプリケーションパッケージをアンインストールするには:
アプリケーション パッケージとプロトコル バンドルがデバイス上でアンインストールされます。アプリケーションIDを再インストールするには、アプリケーションパッケージをダウンロードして再インストールする必要があります。
参照
アプリケーション シグネチャ パッケージのロールバック
Junos OS リリース 20.3R1 以降では、次のいずれかの方法で、現在のバージョンのアプリケーション シグネチャ パックを以前のバージョンにロールバックできます。
-
自動ロールバック
-
手動ロールバック
自動ロールバック
アプリケーション署名パッケージのインストールに失敗した場合、システムは、セキュリティデバイスに現在インストールされている以前のバージョンのアプリケーション署名パッケージに自動的にロールバックします。
シャーシ クラスタ モードで動作するデバイスにアプリケーション シグネチャ パッケージをダウンロードしてインストールするときに、ノードでインストールに失敗すると、システムは以前のバージョンのアプリケーション シグネチャにロールバックします。デバイスは、インストールに失敗してロールバックに成功した同じノードでマイナーアラームを表示します。
例:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
インストールに失敗し、ロールバックが正常に完了した場合に、アプリケーション署名パッケージのロールバックステータスを確認します。
user@host> request services application-identification rollback status
Application package rollback to version 3297 success手動ロールバック
次の手順を使用して、アプリケーション署名パッケージを以前にインストールしたバージョンに手動でロールバックできます。
アプリケーション署名パッケージを以前のバージョンにロールバックします。
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusロールバックステータスを確認します。
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
アプリケーション署名パッケージの手動ロールバックについては、次の点に注意してください。
-
アプリケーション署名パッケージのバージョンをバージョン Y からバージョン X に手動でロールバックすると、アプリケーション署名パッケージのスケジュールされた自動更新は、バージョン Y よりも上位の新しいバージョン Z が使用可能になるまでスキップされます。
-
侵入検出および防止 (IDP) セキュリティ パッケージを使用して、アプリケーション シグネチャをダウンロードしてインストールできます。この場合、IDP のインストール中に AppID のインストールに失敗すると、AppID は以前のバージョンにロールバックされ、IDP のインストールは要求されたバージョンで続行されます。このような場合、IDP と AppID のバージョンは異なる場合があります。
-
ダウンロードした署名パッケージ ファイルの破損、削除、または変更がある場合、アプリケーション署名パッケージのインストールは続行されません。そのような場合は、次のメッセージが表示されます。
user@host>request services application-identification install error: Checksum validation failed for downloaded files. -
セキュリティ デバイスに以前のバージョンのアプリケーション署名パッケージが含まれていない場合に、アプリケーション署名パッケージをロールバックしようとすると、デバイスに次のエラー メッセージが表示されます。
user@host>request services application-identification install No application package available to rollback.
新しく追加されたアプリケーション シグネチャのグループ化
新しく追加されたすべてのアプリケーション署名を junos:all-new-apps グループにグループ化することで、アプリケーション署名パッケージを強化しました。セキュリティデバイスにアプリケーション署名パッケージをダウンロードすると、次の例に示すように、事前定義されたアプリケーショングループ全体がダウンロードされ、セキュリティポリシーで設定できるようになります:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
また、アプリケーション署名パッケージにアプリケーション タグの一覧も導入しました。アプリケーション属性に基づいた定義済みタグで、類似したアプリケーションをグループ化できます。これにより、セキュリティ ポリシーを定義するときにアプリケーション グループを一貫して再利用できます。
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
例
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
上記の例では、タグ remote-access と web でタグベースのアプリケーショングループを設定し、 social_networkingで別のタググループを設定します。タグが web または remote-access で、 social_networking がアプリケーショングループに追加されるすべてのアプリケーション。
タグに基づいて類似したアプリケーションをグループ化すると、セキュリティポリシーを定義する際にアプリケーショングループを一貫して再利用するのに役立ちます。
新しいアプリケーションから通常のアプリケーションへの移行:
junos:all-new-appsグループには、以前にインストールしたシグネチャパックと比較した、セキュリティデバイスにインストールしたアプリケーションシグネチャパック内のすべての新しいアプリケーションのセットが含まれています。新しいバージョンのアプリケーション署名パッケージをインストールする場合、そのバージョンにはjunos:all-new-appsグループに新しいアプリケーションセットが含まれます。
既存のアプリケーション署名パッケージで、新しいアプリケーションを通常のアプリケーションに移行することを選択できます。この移行により、今後新しいアプリケーション署名バージョンにアップグレードするたびに、新しいアプリケーションに固有のルールをセキュリティ ポリシーで一貫して維持できます。
次の新しいコマンドを使用して、新しいアプリケーションとしてタグ付けされたアプリケーションを通常のアプリケーションに移動できます。
-
指定した新しいアプリケーションのみを通常のアプリケーションとして移行するには、次のコマンドを使用します。
request services application-identification new-to-production applications-list [application-1 application-2]
-
すべての新しいアプリケーションを通常のアプリケーションとして移行するには、次のコマンドを使用します。
request services application-identification new-to-production all
これらのコマンドを実行すると、アプリケーションは新規としてタグ付けされなくなり、 junos:all-new-apps グループの一部ではなくなります。
アプリケーション シグネチャ パッケージの機能強化
アプリケーション署名パッケージに次の機能強化が導入されました。
- FTP データコンテキスト伝搬のサポート
- アプリケーションシステムキャッシュ(ASC)ヒットの高度なポリシーベースのルーティング(APBR)によってオフロードされたセッションのディープパケットインスペクション(DPI)のスキップ。(APBRサービスのみが有効な場合)
- 同じバージョンの署名パックにアプリケーション署名パックを強制的にインストールする。「request services application identification install ignore duplicate version check」を参照してください。
- CLI コマンド出力でのアプリケーション署名パックのリリース日の表示。「show services application-identification version」を参照してください。
- CLIコマンド出力に、インストールされているシグネチャパックで使用可能な非推奨のアプリケーションシグネチャのリストの表示。「show services application identification application obolete applications」を参照してください。
アプリケーション シグネチャ パッケージ インストールの機能強化
次の拡張アプリケーション署名パッケージのインストールオプションを使用できます。
アプリケーション シグネチャ パッケージのインストールの失敗
アプリケーション署名パッケージのインストール中にエラーが発生した場合、またはプロセスが予期せずクラッシュした場合、インストールは自動的に停止し、以前にインストールされたバージョンに戻ります。
障害のあるアプリケーション署名パッケージのダウンロードステータスを確認しようとすると、次のエラーメッセージが表示されます。
- アプリケーション署名パッケージのバージョンを指定すると、次のようになります。
user@host> request services application-identification download status Requested application package 3501 failed data plane validation. Please download another version
- 指定されたアプリケーション署名パッケージバージョンなし:
user@host> request services application-identification download status Downloading application package (latest) failed with error (Requested application package 3657 failed data plane validation. Please download another version)
アプリケーション署名のインストールステータスを確認すると、次のメッセージが表示されます。
-
アプリケーション パッケージのインストールが完了し、欠陥がないか検証されると、次のようになります。
user@host> request services application-identification install status Data plane validation of application package version (3698) is in progress ...
-
障害としてマークされているアプリケーション署名パッケージをインストールしようとすると、次のようになります。
user@host> request services application-identification install status Install Application package 3501 and Protocol bundle failed (Requested application package 3501 failed data plane validation. Please install another version)
-
インストールされているアプリケーションシグネチャパッケージに障害が検出された場合:
user@host> request services application-identification install status Install Application package 3656 and Protocol bundle failed ( Install Application package (3656) failed in data plane validation, auto rollback triggered)
次のコマンドを使用して、失敗したバージョンの詳細を確認できます。
user@host> show services application-identification version detail Application package version: 3654 Release date: Thu Nov 23 14:07:48 2023 UTC Dataplane validation failure version details: Application package version 3620 PB Version 1.550.2-43 (build date Apr 5 2023) Engine version 5.7.1-47 (build date Mar 30 2023)
アプリケーション署名パッケージの自動更新をスケジュールする場合:インストールの進行中で、インストールパッケージに問題がある場合、システムはアプリケーション署名パッケージを以前のバージョンにロールバックします。次回の自動更新では、システムは問題のある署名パッケージのダウンロードとインストールを続行しません。
自動ロールバックの機能拡張
自動ロールバック機能により、システムは以前に動作していたバージョンのアプリケーション署名パッケージに戻すことができるようになりました。さらに、アプリケーション署名パッケージのインストール中に問題が発生した場合に備えて、以前に指定されたロールバックバージョンを保持します
たとえば、デバイスの現在のアプリケーション署名パッケージのバージョンが Y で、ロールバックバージョンを X に設定している場合、インストールの試行中には次のようになります。
- 新しいバージョン Z をインストールしようとしています。
- インストール中に問題が発生した場合、またはバージョン Z のインストールに失敗した場合、システムは自動的に現在のバージョン Y に戻ります。
- 以前に指定されたロールバックバージョンXは変更されません。
このようにして、システムは必要に応じて既知の作業バージョンに戻すことで、スムーズな移行を保証します。
シャーシ クラスタでのアプリケーション シグネチャ パッケージのインストール セットアップ
シャーシ クラスタ セットアップを使用する場合、システムはまずプライマリ ノードにアプリケーション シグネチャ パッケージをインストールし、問題や問題がないかチェックします。
アプリケーション署名パッケージのインストールは、プライマリノードですぐに開始されます。インストール中、セカンダリノードはプライマリノードがインストールパッケージの検証を完了するまで待機します。検証が成功すると、システムはセカンダリノードへの同じパッケージのインストールを続行し、そうでない場合はインストールをスキップします。
次のコマンドを使用して、インストールステータスを確認できます。
user@host> request services application-identification install status node0: -------------------------------------------------------------------------- Checking compatibility of application package version 3577 ... node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the application package ...
プライマリノードでインストールが失敗した場合、ロールバックはプライマリノードでのみ行われます。同様に、セカンダリノードでインストールに失敗した場合、ロールバックはセカンダリノードでのみトリガーされます。
インストールに失敗すると、次のメッセージが表示されます。
プライマリノード
user@host> request services application-identification install status Install Application package 3450 and Protocol bundle failed ( Install Application package (3450) failed in data plane validation, auto rollback triggered)
セカンダリノード
user@host> request services application-identification install status Application package(3420) installation was skipped due to failure in the master RE installation
プライマリ ノードでのインストールの進行中にノードがプライマリ状態からセカンダリ状態に変わると、システムは次のメッセージを表示します。
プライマリノード
user@host> request services application-identification install status
Install Application package 3440 and Protocol bundle failed ( Install Application package (3440) failed due to changes in the master ship of the cluster)セカンダリノード
user@host> request services application-identification install status
Application package (3320) installation was skipped due to changes in the master ship of the cluster予期しない問題により、プライマリシステムが時間内(約 35 分)にセカンダリノードを更新できない場合、セカンダリシステムへのインストールプロセスはキャンセルされます。
user@host> request services application-identification install status Application package(3600) installation was skipped due to master RE did not respond within the timeout
プライマリノードがインストールと検証を完了すると、システムはセカンダリノードでインストールを開始します。フェイルオーバーによってプライマリロールとセカンダリロールが変更された場合、前のセカンダリノード(現在はプライマリ)が署名パッケージのインストールを続行します。
アプリケーション シグネチャ パッケージのメジャー バージョンとマイナー バージョン
アプリケーション署名パッケージのインストールが次の機能で強化されました。
- 署名パッケージサーバーへのインストールステータス
- メジャーおよびマイナーシグネチャーパッケージ
- 未成年者のみの署名パッケージのダウンロード
- アプリケーション シグネチャ パッケージ バージョンのダウングレード
- オフラインアプリケーション識別(AppID)の更新
- 非推奨アプリケーションの syslog メッセージ
- 非推奨のアプリケーショングループを一覧表示する
署名パッケージサーバーへのインストールステータス
アプリケーション署名エンジンは、インストールの成功または失敗のステータスを署名パッケージサーバーに送信します。アプリケーション署名パッケージのインストール中に、パッケージにエラーが見つかった場合、インストールは停止し、以前のアクティブなバージョンに戻り、ステータスがサーバーに送信されます。複数のデバイスがアプリケーション署名パッケージの障害を報告した場合、サーバーはこのデータを分析し、パッケージを無効としてマークし、今後のダウンロードを防ぎます。
署名パッケージを無効としてマークすることは、メジャー署名パッケージでのみ使用できます。
無効とマークされた署名パッケージは、CLIによってのみ今後のダウンロードで使用できなくなります。Security Directorによるダウンロードとインストール、およびオフラインダウンロードでは、要求されたアプリケーションパッケージがダウンロードできないことを通知するエラーメッセージが表示されます。
メジャーおよびマイナーシグネチャーパッケージ
現在、更新プログラムで使用できる 2 種類の署名パッケージがサポートされています。
- 主なアップデートには、IDPシグネチャ、IDP検出器、およびアプリケーション識別protobundleが含まれます。
- マイナー更新には、定期的な署名の更新が含まれます。
例を挙げて、メジャーアップデートとマイナーアップデートの違いを理解しましょう。
- プロトコル バンドルがリリースされた署名パッケージ バージョンのバージョンは 3585 です。これはメジャーアップデートです。3585 以降のすべてのマイナー署名パッケージには、次のメジャー署名パッケージの更新が行われるまで、この更新されたプロトコル バンドルが含まれています。
- パッケージの次のリリースにはIDP検出器が含まれており、バージョン3598があります。これもメジャーアップデートです。3598 以降のすべてのマイナー署名パッケージには、次のメジャー アップデートが行われるまで、この更新された検出器が含まれています。
ファイアウォールにメジャー署名パック バージョン 3598 があり、手動ダウンロード方法または自動ダウンロードを使用して 3588 などのマイナー バージョンをダウンロードしようとすると、ダウンロードに失敗し、次のエラー メッセージが表示されます。
user@host> request services application-identification download status Downloading application package (latest) failed with error (No suitable version available for this device, please re-try the download manually without minor)
未成年者のみの署名パッケージのダウンロード
マイナーとしてマークされているアプリケーション署名パッケージをダウンロードできます。既定の動作では、メジャー バージョンまたはマイナー バージョンはチェックされません。
マイナー署名パッケージの自動ダウンロードを設定するには、次のようにします。
[edit] user@host# set services application-identification download automatic minor-only
コマンドで minor-only を指定すると、署名パッケージのマイナーバージョンがダウンロードされます。
マイナー署名パッケージをダウンロードするには:
[edit] user@host> request services application-identification download minor-only
コマンドで minor-only を指定すると、署名パッケージのマイナーバージョンがダウンロードされます。
使用可能な署名パッケージのバージョンを確認します。
user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
このコマンドは、アプリケーション署名パッケージの使用可能なすべてのバージョンを表示します。
使用可能な署名パッケージのバージョンを確認します。
user@host> show services application-identification version Application package version: 3666 (Major)
このコマンドは、メジャー アプリケーション シグネチャ パッケージの最新バージョンをすべて表示します。
署名パッケージのバージョンを表示します。
user@host> show services application-identification status Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 2097152 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3666 (Major) Release date Mon Oct 10 14:55:29 2022 UTC Status Active PB Version 1.550.2-31 (build date Oct 10 2022) Engine version 5.7.0-47 (build date Mar 25 2022) Micro-App Version 1.1.0-0 Sessions 0 Custom-App Infra Version 1.0.0-0 Rollback version details: Application package version 3662 (Major) PB Version 1.550.2-43 Engine version 5.7.1-47 Micro-App Version 1.2.0-1 Custom-App Infra Version 1.0.0-1
このコマンドは、デバイスにインストールされているアプリケーション署名パッケージのバージョンを Application package version フィールドに表示します。
ジュニパーネットワークスのセキュリティ Web サイトから署名パッケージのバージョンを確認します。
user@host> request services application-identification download check-server Download server URL: https://signatures.juniper.net/cgi-bin/index.cgi Sigpack Version: 3666 (Major) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09Sigpack Version: 3659 (Minor) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09
このコマンドは、ジュニパーネットワークスのセキュリティWebサイトで入手できる、メジャーおよびマイナー両方のアプリケーションシグネチャパッケージの最新バージョンを表示します。
アプリケーション シグネチャ パッケージ バージョンのダウングレード
署名パッケージのバージョンを指定することで、アプリケーション署名パッケージのバージョンをダウングレードできます。ダウングレードするには、次の手順を使用します。
show services application-identification recent-appid-sigpack-versionsコマンドを使用して、使用可能な署名パッケージのバージョンを確認します。user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
コマンドを実行して、必要なバージョンをダウンロードします。
user@host> request services application-identification download version <old-ver>
オフラインアプリケーション識別(AppID)の更新
オフラインアプリケーション識別(AppID)の更新と関連機能は、特に接続が制限されている環境において、ネットワークシステムの管理性と保守性を大幅に向上させます。
AppID のオフライン更新機能では、次の CLI コマンドを使用して、ローカルの tar ファイルから署名パッケージを更新できます。
user@host> request services application-identification offline-download package-path <path>
このコマンドを入力すると、システムは署名パッケージを解凍し、抽出されたファイルをデバイス上の適切な場所に配置します。
例:
- オフライン アプリケーション パッケージを URL からコピーまたはダウンロードします。 https://support.juniper.net/support/downloads/?p=282
- コマンドを入力して、署名パッケージを抽出します。
user@host> request services application-identification offline-download package-path /var/tmp/282_3722_offline-update.tar.gz Please use command "request services application-identification offline-download status" to check offline download status
- 署名パッケージのオフラインダウンロードのステータスを確認します。
user@host> request services application-identification offline-download status AppID sigpack offline download is in progress...
user@host> request services application-identification offline-download status AppID sigpack offline download : Complete
パッケージパスが正しくない場合、次のエラーメッセージが表示されます。
AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)
request services application-identification installコマンドを使用して、署名パッケージをデバイスにインストールします。
操作の終了時には、更新が成功したかどうか、またはエラーが発生したかどうかを示すシステムログメッセージが表示され、トラブルシューティングのためのフィードバックが即座に提供されます。syslog メッセージの例:
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Completeは、更新が成功したことを確認します。APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)は、特定のエラーメッセージとともに障害を示します
この機能は、遠隔地や安全な施設など、インターネット接続が制限されている、またはまったくない環境で特に役立ちます。
非推奨アプリケーションの syslog メッセージ
非推奨のアプリケーションとアプリケーショングループを管理できるようになりました。シグネチャ パックの更新を実行すると、システム ログ メッセージに非推奨のアプリケーションが一覧表示され、セキュリティ ポリシーに影響を与える可能性のある古いアプリケーションを特定して管理するのに役立ちます。
廃止されたアプリケーションを処理する場合、システムログメッセージ APPIDD_DEPRECATED_APPLIST: Obsolete apps: app1, app2, app3, app4... 古いアプリケーションが一覧表示されるため、適切なアクションを実行できます。
非推奨のアプリケーショングループを一覧表示する
次のコマンドを使用して、すべての非推奨のアプリケーション グループを一覧表示できます。
user@host> show services application-identification group obsolete-groupsこのコマンドを使用すると、非推奨のアプリケーショングループを一覧表示して、これらのグループがデバイスの設定に干渉しないようにし、非表示の非推奨グループによるコミット失敗を防ぐことができます。
次のシステムログメッセージを使用して、非推奨のアプリケーショングループを表示できます。
APPIDD_DEPRECATED_GROUPS: Obsolete groups: group1, group2, …
ライセンスに関するプラットフォームの追加情報
アプリケーションセキュリティの個別のライセンスキーは不要になりました。代わりに、製品とデバイスに対応する適切なJSEまたはJSBソフトウェアライセンスを使用する必要があります(表2 および 表3)。このライセンスにより、次のことが可能になります。
- AppID 署名データベースの更新をダウンロードしてインストールする
- AppFW、AppQoS、AppTrackなどのAppSecure機能へのアクセス
これは、専用のアプリケーションセキュリティサブスクリプションライセンスを購入し、各デバイスに個別にインストールする必要があった以前のモデルからの変更を示しています。
アプリケーションセキュリティは、 表2 に示すSRXシリーズファイアウォール向けのJunos Software Enhanced(JSE)ソフトウェアライセンスパッケージに含まれています。
| プラットフォーム | リリース以降 |
| SRX4100、SRX4200デバイス | Junos OS リリース 15.1X49-D65 および Junos OS リリース 17.3R1 |
| SRX1500、SRX300、SRX320、SRX340、SRX345デバイス | Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 |
| SRX5400、SRX5600、SRX5800、vSRX、cSRX | Junos OS リリース 25.2R1 |
アプリケーションセキュリティは、 表3に示すSRXシリーズファイアウォール向けのJunos Software Base(JSB)ソフトウェアライセンスパッケージに含まれています。
| プラットフォーム | リリース以降 |
| SRX380、SRX4600 | Junos OS リリース 20.2R1 |
| SRX1600、SRX2300、SRX4300 | Junos OS リリース 23.4R1 |
| SRX4120 | Junos OS リリース 25.2R1 |
Junos OSソフトウェアライセンスの詳細については、 ジュニパーライセンスガイドを参照してください。
詳細については、 SRXシリーズサービスゲートウェイ の製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。
ソフトウェアリリースの製品でサポートされている機能については 、機能エクスプローラ を参照してください
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
junos:all-new-apps グループにグループ化することで、アプリケーション署名パッケージを強化しました。