アプリケーションとアプリケーション セットIDPポリシー
アプリケーションやサービスは、アプリケーション層移動するデータの構造を定義するプロトコルを表します。
詳細については、以下のトピックを参照してください。
アプリケーション IDPセットについて
アプリケーションやサービスは、アプリケーション層移動するデータの構造を定義するプロトコルを表します。ネットワークでサポートされるサービスは、攻撃者がネットワークを攻撃するために使用するサービスと同じなので、宛先 IP でサポートされているサービスを指定して、ルールを効率化できます。ジュニパーネットワークスは、業界標準のアプリケーションに基づいて、事前定義されたアプリケーションとアプリケーション セットを提供します。事前定義されたアプリケーションに含まれていないアプリケーションを追加する必要がある場合は、カスタム アプリケーションを作成したり、ニーズに合わせて事前定義アプリケーションを変更することができます。
アプリケーションまたはサービスを指定して、ポリシーがそのタイプのトラフィックに適用されるかどうかを示します。同じアプリケーションやサブセットが複数のポリシーに存在する場合が多く、管理が難しくなる場合があります。Junos OSと呼ばれるアプリケーションのグループを 作成できます。
アプリケーション セットは、多数の個別のアプリケーション エントリではなく、多数のアプリケーション セットを管理することで、プロセスを簡素化します。
アプリケーション(またはアプリケーション セット)は、パケットの一致条件として設定されています。パケットをパケットに適用するには、ポリシーで指定されたアプリケーション タイプである必要があります。パケットがポリシーで指定されたアプリケーション タイプと一致し、その他すべての条件が一致する場合、ポリシー アクションがパケットに適用されます。事前定義されたアプリケーションやカスタム アプリケーションを使用し、ポリシーで参照できます。
詳細については、
例: IDP セットの設定
この例では、アプリケーション セットを作成し、それをアプリケーション ポリシーと関連IDPします。
要件
開始する前に、以下を実行します。
ネットワーク インターフェイスを設定します。
セキュリティ IDPアプリケーション サービスの有効化
アプリケーションを定義します。例 :セキュリティー ポリシー アプリケーションとアプリケーション セットの設定 を参照してください。
概要
アプリケーション セットを設定するには、事前定義済みアプリケーションとカスタム アプリケーションをアプリケーション セットに個別に追加し、アプリケーション セットにわかりやすい名前を割り当てる必要があります。アプリケーション セットの名前を指定したら、ポリシーの一部として名前を指定します。このポリシーをパケットに適用するには、パケットは、このセットに含まれるアプリケーションのいずれかを一致する必要があります。
この例では、SrvAppSet と呼ばれるアプリケーション セットを作成し、それをアプリケーション ポリシー ABC IDPする方法を説明します。アプリケーション セット SrvAppSet は 3 つのアプリケーションを組み合わせたもの。ポリシー ルールで 3 つのアプリケーションを指定するのではなく、1 つのアプリケーション セットを指定します。その他のすべての条件が一致する場合、アプリケーション セット内のいずれかのアプリケーションが有効な一致条件として使用されます。
構成
手順
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI 使用 」を 参照してください。
アプリケーション セットを作成し、アプリケーション ポリシーと関連付IDPするには、次のIDPします。
アプリケーション セットを作成し、そのセットに 3 つのアプリケーションを含める。
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
ポリシーのIDP作成します。
[edit] user@host# edit security idp idp-policy ABC
アプリケーション セットをアプリケーション ポリシーとIDPします。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
ポリシーのアクションを指定します。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
結果
設定モードから、 および コマンドを入力して設定 show security idp を確認 show applications します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
デバイスの設定が完了したら、設定モード commit から を入力します。
例: アプリケーションIDPサービスの設定
この例では、アプリケーションを作成してアプリケーション ポリシーと関連付けるIDPします。
要件
開始する前に、以下を実行します。
ネットワーク インターフェイスを設定します。
セキュリティ IDPでアプリケーション サービスの追加を有効にする。
概要
カスタム アプリケーションを作成するには、アプリケーションの意味のある名前を指定し、アプリケーション に関連付けるパラメーター(非アクティブ タイムアウト、アプリケーション プロトコル タイプなど)を指定します。この例では、cust-app と呼ばれる特別な FTP アプリケーションを作成し、ポート 78 で実行されている IDP ポリシー ABC で一致条件として指定し、非アクティブ タイムアウト値を 6000 秒として指定します。
構成
手順
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザーガイド 」 の CLI モードでの CLI CLI エディターの使用を参照してください。
アプリケーションを作成し、アプリケーション ポリシーと関連付IDPするには、次のIDPします。
アプリケーションを作成し、そのプロパティを指定します。
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
ポリシーでアプリケーションを一致条件として指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
no アクション条件を指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
結果
設定モードから、 および コマンドを入力して設定 show security idp を確認 show applications します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
デバイスの設定が完了したら、設定モード commit から を入力します。