IDPポリシーのアプリケーションとアプリケーションセット
アプリケーションまたはサービスは、データがネットワーク上を移動するときにどのように構造化されるかを定義するアプリケーション層プロトコルを表します。
詳細については、次のトピックを参照してください。
IDPアプリケーションセットについて
アプリケーションまたはサービスは、データがネットワーク上を移動するときにどのように構造化されるかを定義するアプリケーション層プロトコルを表します。ネットワーク上でサポートするサービスは、攻撃者がネットワークを攻撃するために使用する必要があるサービスと同じであるため、宛先 IP でサポートされているサービスを指定して、ルールをより効率的にすることができます。ジュニパーネットワークスでは、業界標準のアプリケーションをベースにした定義済みのアプリケーションやアプリケーションセットを提供しています。事前定義アプリケーションに含まれていないアプリケーションを追加する必要がある場合は、カスタム・アプリケーションを作成するか、ニーズに合わせて事前定義アプリケーションを変更できます。
アプリケーションまたはサービスを指定して、そのタイプのトラフィックにポリシーが適用されることを示します。場合によっては、同じアプリケーションまたはそのサブセットが複数のポリシーに存在し、管理が困難になることがあります。Junos OSでは、 アプリケーションセットと呼ばれるアプリケーションのグループを作成できます。
アプリケーションセットを使用すると、多数の個別のアプリケーションエントリではなく、少数のアプリケーションセットを管理できるため、プロセスが簡素化されます。
アプリケーション(またはアプリケーション セット)が、パケットの一致条件として構成されている。パケットは、ポリシーがパケットに適用されるポリシーで指定されたアプリケーションタイプである必要があります。パケットがポリシーで指定されたアプリケーション タイプに一致し、他のすべての条件が一致する場合、ポリシー アクションがパケットに適用されます。定義済みのアプリケーションまたはカスタムのアプリケーションを使用して、ポリシーで参照できます。
関連項目
例:IDP アプリケーションセットの設定
この例では、アプリケーションセットを作成し、IDPポリシーに関連付ける方法を示しています。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
セキュリティポリシーでIDPアプリケーションサービスを有効にします。
アプリケーションを定義します。 「例:セキュリティポリシーアプリケーションとアプリケーションセットの設定」を参照してください。
概要
アプリケーション・セットを設定するには、事前定義アプリケーションまたはカスタム・アプリケーションをアプリケーション・セットに個別に追加し、そのアプリケーション・セットにわかりやすい名前を割り当てます。アプリケーション セットに名前を付けたら、ポリシーの一部としてその名前を指定します。このポリシーをパケットに適用するには、パケットがこのセットに含まれるアプリケーションのいずれかと一致する必要があります。
この例では、SrvAccessAppSetというアプリケーションセットを作成し、それをIDPポリシーABCに関連付ける方法を説明します。アプリケーションセット SrvAccessAppSet は、3 つのアプリケーションを組み合わせます。ポリシー ルールで 3 つのアプリケーションを指定する代わりに、1 つのアプリケーション セットを指定します。他のすべての基準が一致する場合、アプリケーションセット内のいずれかのアプリケーションが有効な一致基準として機能します。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
アプリケーションセットを作成してIDPポリシーと関連づけるには、次の手順に従います。
アプリケーション・セットを作成し、そのセットに3つのアプリケーションを含めます。
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
IDP ポリシーを作成します。
[edit] user@host# edit security idp idp-policy ABC
アプリケーションセットをIDPポリシーに関連づけます。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
ポリシーのアクションを指定します。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
業績
設定モードから、 show security idp コマンドと show applications コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:IDP アプリケーションおよびサービスの設定
この例では、アプリケーションを作成して IDP ポリシーに関連付ける方法を示します。
必要条件
始める前に:
ネットワークインターフェイスを設定します。
セキュリティポリシーでIDPアプリケーションサービスを有効にします。
概要
カスタム アプリケーションを作成するには、アプリケーションにわかりやすい名前を指定し、パラメーター (非アクティブ タイムアウトやアプリケーション プロトコルの種類など) を関連付けます。この例では、cust-app という特別な FTP アプリケーションを作成し、ポート 78 で実行されている IDP ポリシー ABC で一致条件として指定し、非アクティブ タイムアウト値を 6000 秒に指定します。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
アプリケーションを作成して IDP ポリシーに関連付けるには:
アプリケーションを作成し、そのプロパティを指定します。
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
ポリシーの一致条件としてアプリケーションを指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
アクションなし条件を指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
業績
設定モードから、 show security idp コマンドと show applications コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
デバイスの設定が完了したら、設定モードから commit を入力します。