IDP ポリシーのアプリケーションとアプリケーション セット
アプリケーションまたはサービスは、ネットワークを移動するデータの構造を定義するアプリケーションレイヤープロトコルを表しています。
詳細については、以下のトピックを参照してください。
IDP アプリケーション セットについて
アプリケーションまたはサービスは、ネットワークを移動するデータの構造を定義するアプリケーションレイヤープロトコルを表しています。ネットワークでサポートするサービスは、攻撃者がネットワークを攻撃するために使用する必要があるサービスと同じであるため、宛先 IP でサポートされるサービスを指定してルールの効率を高めることができます。ジュニパーネットワークスは、業界標準のアプリケーションに基づく事前定義されたアプリケーションとアプリケーションセットを提供しています。事前定義アプリケーションに含まれていないアプリケーションを追加する必要がある場合は、カスタム・アプリケーションを作成したり、事前定義されたアプリケーションをニーズに合わせて変更したりできます。
ポリシーがそのタイプのトラフィックに適用されていることを示すために、アプリケーション(サービス)を指定します。複数のポリシーに同じアプリケーションやサブセットが存在し、管理が難しい場合があります。Junos OS では、 アプリケーション セットと呼ばれるアプリケーションのグループを作成できます。
アプリケーション・セットは、多数の個々のアプリケーション・エントリーではなく、少数のアプリケーション・セットを管理できるようにすることで、プロセスを簡素化します。
アプリケーション(またはアプリケーション セット)は、パケットの一致条件として構成されます。パケットは、ポリシーがパケットに適用するためにポリシーで指定されたアプリケーション タイプである必要があります。パケットがポリシーで指定されたアプリケーション タイプに一致し、その他のすべての基準が一致する場合、ポリシー アクションがパケットに適用されます。事前定義アプリケーションまたはカスタム・アプリケーションを使用し、ポリシーで参照することができます。
「」も参照
例:IDP アプリケーション・セットの構成
この例では、アプリケーション・セットを作成して IDP ポリシーに関連付ける方法を示しています。
要件
開始する前に、以下を行います。
ネットワーク インターフェイスを設定します。
セキュリティ ポリシーで IDP アプリケーション サービスを有効にします。
アプリケーションを定義します。 例: セキュリティー・ポリシー・アプリケーションとアプリケーション・セットの構成を参照してください。
概要
アプリケーション・セットを構成するには、事前定義アプリケーションまたはカスタム・アプリケーションをアプリケーション・セットに個別に追加し、アプリケーション・セットに意味のある名前を割り当てます。アプリケーション・セットに名前を付けてから、ポリシーの一部として名前を指定します。このポリシーをパケットに適用するには、パケットがこのセットに含まれるアプリケーションのいずれかと一致する必要があります。
この例では、SrvAccessAppSet と呼ばれるアプリケーション セットを作成し、IDP ポリシー ABC に関連付ける方法について説明します。アプリケーション セット SrvAccessAppSet は、3 つのアプリケーションを組み合わせています。ポリシー ルールで 3 つのアプリケーションを指定する代わりに、1 つのアプリケーション セットを指定します。その他のすべての条件が一致する場合、アプリケーション・セット内のアプリケーションのいずれかが有効な整合基準として機能します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
アプリケーション・セットを作成し、IDP ポリシーに関連付けるには、以下のようにします。
アプリケーション セットを作成し、そのセットに 3 つのアプリケーションを含めます。
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
IDP ポリシーを作成します。
[edit] user@host# edit security idp idp-policy ABC
アプリケーション セットを IDP ポリシーに関連付けます。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
ポリシーのアクションを指定します。
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
結果
設定モードから、 および show applications コマンドを入力して設定をshow security idp確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
例:IDP アプリケーションとサービスの設定
この例では、アプリケーションを作成して IDP ポリシーに関連付ける方法を示します。
要件
開始する前に、以下を行います。
ネットワーク インターフェイスを設定します。
セキュリティ ポリシーで IDP アプリケーション サービスを有効にします。
概要
カスタム・アプリケーションを作成するには、アプリケーションに意味のある名前を指定し、パラメーターを関連付けます(非アクティブタイムアウト、アプリケーション・プロトコル・タイプなど)。この例では、cust-app と呼ばれる特別な FTP アプリケーションを作成し、ポート 78 で実行されている IDP ポリシー ABC で一致条件として指定し、非アクティブタイムアウト値を 6000 秒として指定します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
アプリケーションを作成し、IDP ポリシーに関連付けるには、以下の手順に基づきます。
アプリケーションを作成し、そのプロパティを指定します。
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
ポリシーの一致条件としてアプリケーションを指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
ノー・アクション条件を指定します。
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy ABC
結果
設定モードから、 および show applications コマンドを入力して設定をshow security idp確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
デバイスの設定が完了したら、設定モードから を入力します commit 。