Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アプリケーションとアプリケーション セットIDPポリシー

アプリケーションやサービスは、アプリケーション層移動するデータの構造を定義するプロトコルを表します。

詳細については、以下のトピックを参照してください。

アプリケーション IDPセットについて

アプリケーションやサービスは、アプリケーション層移動するデータの構造を定義するプロトコルを表します。ネットワークでサポートされるサービスは、攻撃者がネットワークを攻撃するために使用するサービスと同じなので、宛先 IP でサポートされているサービスを指定して、ルールを効率化できます。ジュニパーネットワークスは、業界標準のアプリケーションに基づいて、事前定義されたアプリケーションとアプリケーション セットを提供します。事前定義されたアプリケーションに含まれていないアプリケーションを追加する必要がある場合は、カスタム アプリケーションを作成したり、ニーズに合わせて事前定義アプリケーションを変更することができます。

アプリケーションまたはサービスを指定して、ポリシーがそのタイプのトラフィックに適用されるかどうかを示します。同じアプリケーションやサブセットが複数のポリシーに存在する場合が多く、管理が難しくなる場合があります。Junos OSと呼ばれるアプリケーションのグループを 作成できます

アプリケーション セットは、多数の個別のアプリケーション エントリではなく、多数のアプリケーション セットを管理することで、プロセスを簡素化します。

アプリケーション(またはアプリケーション セット)は、パケットの一致条件として設定されています。パケットをパケットに適用するには、ポリシーで指定されたアプリケーション タイプである必要があります。パケットがポリシーで指定されたアプリケーション タイプと一致し、その他すべての条件が一致する場合、ポリシー アクションがパケットに適用されます。事前定義されたアプリケーションやカスタム アプリケーションを使用し、ポリシーで参照できます。

例: IDP セットの設定

この例では、アプリケーション セットを作成し、それをアプリケーション ポリシーと関連IDPします。

要件

開始する前に、以下を実行します。

概要

アプリケーション セットを設定するには、事前定義済みアプリケーションとカスタム アプリケーションをアプリケーション セットに個別に追加し、アプリケーション セットにわかりやすい名前を割り当てる必要があります。アプリケーション セットの名前を指定したら、ポリシーの一部として名前を指定します。このポリシーをパケットに適用するには、パケットは、このセットに含まれるアプリケーションのいずれかを一致する必要があります。

この例では、SrvAppSet と呼ばれるアプリケーション セットを作成し、それをアプリケーション ポリシー ABC IDPする方法を説明します。アプリケーション セット SrvAppSet は 3 つのアプリケーションを組み合わせたもの。ポリシー ルールで 3 つのアプリケーションを指定するのではなく、1 つのアプリケーション セットを指定します。その他のすべての条件が一致する場合、アプリケーション セット内のいずれかのアプリケーションが有効な一致条件として使用されます。

構成

手順

CLI迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI 使用 」を 参照してください

アプリケーション セットを作成し、アプリケーション ポリシーと関連付IDPするには、次のIDPします。

  1. アプリケーション セットを作成し、そのセットに 3 つのアプリケーションを含める。

  2. ポリシーのIDP作成します。

  3. アプリケーション セットをアプリケーション ポリシーとIDPします。

  4. ポリシーのアクションを指定します。

  5. ポリシーをアクティブ化します。

結果

設定モードから、 および コマンドを入力して設定 show security idp を確認 show applications します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認するには、以下のタスクを実行します。

設定の検証

目的

アプリケーション セットがネットワーク ポリシーに関連付けられているIDPします。

アクション

動作モードから コマンドを入力 show security idp status します。

例: アプリケーションIDPサービスの設定

この例では、アプリケーションを作成してアプリケーション ポリシーと関連付けるIDPします。

要件

開始する前に、以下を実行します。

  • ネットワーク インターフェイスを設定します。

  • セキュリティ IDPでアプリケーション サービスの追加を有効にする。

概要

カスタム アプリケーションを作成するには、アプリケーションの意味のある名前を指定し、アプリケーション に関連付けるパラメーター(非アクティブ タイムアウト、アプリケーション プロトコル タイプなど)を指定します。この例では、cust-app と呼ばれる特別な FTP アプリケーションを作成し、ポート 78 で実行されている IDP ポリシー ABC で一致条件として指定し、非アクティブ タイムアウト値を 6000 秒として指定します。

構成

手順

CLI迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザーガイド 」 の CLI モードでの CLI CLI エディターの使用を参照してください

アプリケーションを作成し、アプリケーション ポリシーと関連付IDPするには、次のIDPします。

  1. アプリケーションを作成し、そのプロパティを指定します。

  2. ポリシーでアプリケーションを一致条件として指定します。

  3. no アクション条件を指定します。

  4. ポリシーをアクティブ化します。

結果

設定モードから、 および コマンドを入力して設定 show security idp を確認 show applications します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認するには、以下のタスクを実行します。

設定の検証

目的

アプリケーションがネットワーク ポリシーに関連付けられたIDPします。

アクション

動作モードから コマンドを入力 show security idp status します。