IDPポリシーのアプリケーションとアプリケーションセット
アプリケーションは、特定の種類のネットワーク トラフィックまたはサービスを表す定義済みまたはカスタム定義のエンティティです。アプリケーションセットは、管理とポリシー作成を容易にするためにグループ化されたアプリケーションのコレクションです。複数の関連アプリケーションを含むアプリケーションセットを作成し、そのセット全体にポリシーを適用できます。
アプリケーションまたはサービスは、ネットワーク上を移動する際のデータの構造を定義するアプリケーション層プロトコルを表します。
詳細については、次のトピックを参照してください。
IDPアプリケーションセットについて
アプリケーションまたはサービスは、ネットワーク上を移動する際のデータの構造を定義するアプリケーション層プロトコルを表します。ネットワークでサポートするサービスは、攻撃者がネットワークを攻撃するために使用する必要があるサービスと同じであるため、宛先 IP でサポートされるサービスを指定して、ルールをより効率的にすることができます。ジュニパーネットワークスは、業界標準のアプリケーションをベースにした定義済みアプリケーションおよびアプリケーションセットを提供します。定義済みアプリケーションに含まれていないアプリケーションを追加する必要がある場合は、カスタム・アプリケーションを作成したり、ニーズに合わせて事前定義アプリケーションを変更したりできます。
アプリケーションまたはサービスを指定して、そのタイプのトラフィックにポリシーが適用されることを示します。場合によっては、同じアプリケーションまたはアプリケーションのサブセットが複数のポリシーに存在し、管理が困難になることがあります。Junos OSでは、 アプリケーションセットと呼ばれるアプリケーションのグループを作成できます。
アプリケーション・セットを使用すると、多数の個別のアプリケーション・エントリーを管理するのではなく、少数のアプリケーション・セットを管理できるため、プロセスが簡素化されます。
アプリケーション(またはアプリケーションセット)は、パケットの一致条件として設定されます。パケットは、ポリシーがパケットに適用するポリシーの、ポリシーで指定されたアプリケーション タイプである必要があります。パケットがポリシーで指定されたアプリケーションタイプに一致し、その他のすべての基準が一致する場合、ポリシーアクションがパケットに適用されます。定義済みアプリケーションまたはカスタムアプリケーションを使用し、ポリシーで参照できます。
参照
例:IDP アプリケーション セットの設定
この例では、アプリケーションセットを作成し、IDPポリシーに関連付ける方法を示しています。
必要条件
開始する前に、以下を実行します。
ネットワークインターフェイスを設定します。
セキュリティポリシーでIDPアプリケーションサービスを有効にします。
アプリケーションを定義します。 例:セキュリティポリシーアプリケーションおよびアプリケーションセットの設定を参照してください。
概要
アプリケーションセットを設定するには、定義済みアプリケーションまたはカスタムアプリケーションをアプリケーションセットに個別に追加し、そのアプリケーションセットにわかりやすい名前を割り当てます。アプリケーション・セットに名前を付けたら、ポリシーの一部としてその名前を指定します。このポリシーをパケットに適用するには、パケットがこのセットに含まれるアプリケーションのいずれかに一致する必要があります。
この例では、SrvAccessAppSet というアプリケーション セットを作成し、それを IDP ポリシー ABC に関連付ける方法について説明します。アプリケーション セット SrvAccessAppSet は、3 つのアプリケーションを結合します。ポリシールールで3つのアプリケーションを指定する代わりに、1つのアプリケーションセットを指定します。他のすべての基準が一致する場合、アプリケーションセット内のアプリケーションのいずれかが有効なポリシーの一致基準を定義として機能します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピーアンドペーストして、設定モードから commit を入力します。
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
アプリケーションセットを作成し、IDPポリシーに関連付けるには:
アプリケーションセットを作成し、そのセットに3つのアプリケーションを含めます。
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
IDP ポリシーを作成します。
[edit] user@host# edit security idp idp-policy ABC
アプリケーションセットをIDPポリシーに関連付けます。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
ポリシーのアクションを指定します。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
業績
設定モードから、 show security idp コマンドと show applications コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:IDP アプリケーションとサービスの設定
この例では、アプリケーションを作成し、IDP ポリシーに関連付ける方法を示しています。
必要条件
開始する前に、以下を実行します。
ネットワークインターフェイスを設定します。
セキュリティポリシーでIDPアプリケーションサービスを有効にします。
概要
カスタム アプリケーションを作成するには、アプリケーションに意味のある名前を指定し、そのアプリケーションにパラメータ(たとえば、非アクティブ タイムアウト、アプリケーション プロトコル タイプ)を関連付けます。この例では、cust-app という特別な FTP アプリケーションを作成し、ポート 78 で実行されている IDP ポリシー ABC の一致条件として指定し、非アクティブ タイムアウト値を 6000 秒に指定します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピーアンドペーストして、設定モードから commit を入力します。
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
アプリケーションを作成し、IDP ポリシーに関連付けるには:
アプリケーションを作成し、そのプロパティを指定します。
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
ポリシーの一致条件としてアプリケーションを指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
アクションなし条件を指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
業績
設定モードから、 show security idp コマンドと show applications コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
デバイスの設定が完了したら、設定モードから commit を入力します。