Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アプリケーション シグネチャの追加

ジュニパーネットワークスの事前定義済みアプリケーション データベースに含まれていないアプリケーションに対して、カスタム アプリケーション シグネチャを追加できます。カスタム・アプリケーション・シグニチャーを追加するときは、ユニークで関連性の高い名前を指定して、アプリケーション・シグニチャーが一意であることを確認してください。

カスタム・アプリケーション・シグネチャを作成するには、次のようにします。

  1. 共有サービス」>「オブジェクト>アプリケーション」を選択します。
  2. 「>署名の作成」をクリックします。
    [アプリケーション シグネチャの作成(Create アプリケーション シグネチャ)] ページが表示されます。
  3. 表 1 のガイドラインに従って設定を完了します。
  4. [ OK ] をクリックして変更を保存します。変更を破棄する場合は、代わりに [キャンセル ] をクリックします。

    設定を含む新しいアプリケーション署名が作成されます。

    表 1 に、[Create アプリケーション シグネチャ] ページのフィールドの使用に関するガイドラインを示します。

    表 1: [Create アプリケーション シグネチャ] ページのフィールド

    形容

    名前

    英数字、コロン、ピリオド、ダッシュ、アンダースコアの文字列である一意の名前を入力します。スペースは使用できず、最大長は 63 文字です。

    形容

    アプリケーション署名の説明を入力します。最大長は 255 文字です。

    署名の順序と優先度

    命令

    カスタムアプリケーションシグネチャの順序を 1 から 50000 の範囲で入力します。順序の値が小さいほど優先度が高くなります。このオプションは、同じタイプの複数のカスタム アプリケーション シグネチャが同じトラフィックに一致する場合に使用されます。ただし、このオプションを使用して、TCPポートベースのアプリケーションに対する TCP ストリームベースのアプリケーションや、ポートベースのアプリケーションに対する IP アドレスベースのアプリケーションなど、異なるタイプのアプリケーション間で優先順位を付けることはできません。

    手記:

    アプリケーションの順序は、アプリケーションごとに一意である必要があります。

    優先権

    他のアプリケーション シグネチャよりも優先されるアプリケーション シグネチャの優先度(高または低)を指定します。

    シグネチャの分類

    カテゴリ

    アプリケーションシグネチャのカテゴリを入力します。たとえば、メッセージング、Web、インフラストラクチャ、リモートアクセス、マルチメディアなどです。

    サブカテゴリ

    アプリケーションシグネチャのサブカテゴリを入力します。たとえば、Wiki、ファイル共有、マルチメディア、ソーシャル ネットワーク、ニュースなどです。

    リスク

    アプリケーション シグネチャに関連するリスクのレベルを選択します。たとえば、低、中、高、重大、安全でないなどです。

    特性

    アプリケーションシグニチャの特性を 1 つ以上入力します。たとえば、ファイル転送、生産性の低下などをサポートします。

    アプリケーション基準

    1 つ以上のアプリケーションポリシーの一致基準を定義を有効にします。

    • ICMP マッピング

    • IP プロトコル マッピング

    • アドレスマッピング

    • L7 シグネチャ

    ICMP マッピング

    クリックしボタンをクリックして、アプリケーション識別用のカスタムアプリケーションシグネチャを設定しながら、アプリケーションのインターネット制御メッセージプロトコル(ICMP)値を指定します。

    ICMPマッピング技術は、標準のICMPメッセージタイプとオプションのコードを一意のアプリケーション名にマッピングします。ICMP コードとタイプは、アプリケーション定義でのパケット照合のための追加の仕様を提供します。

    ICMPタイプ

    アプリケーションの ICMP 値を入力します。ICMPマッピング技術は、標準のICMPメッセージタイプとオプションのコードを一意のアプリケーション名にマッピングします。

    範囲は 0 から 254 です。

    ICMP コード

    アプリケーションのICMP コードを入力します。このフィールドは、ICMPタイプフィールドに関する詳細情報(RFCなど)を提供します。

    範囲は 0 から 254 です。

    IP プロトコル マッピング

    クリックしボタンをクリックして、アプリケーションの IPプロトコル値を指定します。このパラメータは、IPプロトコル値に基づいてアプリケーションを識別するために使用され、IPトラフィックのみを対象としています。適切なセキュリティを確保するには、信頼できるサーバー用のプライベート ネットワークでのみ IPプロトコル マッピングを使用します。

    IPプロトコル

    アプリケーションのIPプロトコル番号を入力します。標準 IPプロトコル番号は、アプリケーションを IP トラフィックにマッピングします。適切なセキュリティを確保するには、信頼できるサーバー用のプライベート ネットワークでのみ IPプロトコル マッピングを使用します。

    範囲は 0 から 254 です。

    業界標準プロトコル番号の一覧については、 IANA の Web サイトを参照してください。

    手記:

    IPプロトコル番号1(ICMP)、6(TCP)、および17(UDP)をカスタムアプリケーションシグネチャの作成に使用することはできません。代わりに、これらのプロトコルには L7 署名ポリシーを使用することをお勧めします。

    アドレスマッピング

    クリックしボタンをクリックして、アドレス マッピング情報を指定します。レイヤー3およびレイヤー4アドレスマッピングは、トラフィックのIP アドレスまたはポート範囲(オプション)を照合することでアプリケーションを定義します。プライベート・ネットワークの構成によって、信頼できるサーバーとの間のアプリケーション・トラフィックが予測される場合に、アドレス・マッピング・オプションを使用してカスタム・アプリケーション・シグネチャを構成します。

    アドレスマッピングは、既知のアプリケーションからのトラフィックを処理する際に効率性と精度を提供します。詳細については、 表 2 を参照してください。

    手記:

    • アドレスマッピングには、IPアドレスまたはTCP/UDPポート範囲を指定する必要があります。

    • IPアドレスとTCP/UDPポートの両方が設定されている場合、両方がパケットの宛先タプル(IPアドレスとポート範囲)と一致する必要があります。

    L7 シグネチャ

    クリックし をクリックして、同じ L7 プロトコルで実行されている複数のアプリケーションを識別するために必要なレイヤー 7 ベースのカスタム アプリケーション シグネチャを指定します。たとえば、Facebook や Yahoo Messenger などのアプリケーションはどちらも HTTP 上で実行できますが、同じレイヤー 7 プロトコルで実行されている 2 つの異なるアプリケーションとして識別する必要があります。詳細については、 表 3 を参照してください。

    キャッシュ可能

    クリックしボタンをクリックして、デバイス上のアプリケーション識別結果のキャッシュを有効にします。

    このオプションを True にするのは、L7 シグニチャがカスタムシグネチャで単独で設定されている場合に限られます。このオプションは、アドレスベース、IPプロトコルベース、ICMPベースのカスタムアプリケーションシグネチャではサポートされていません。
    表 2: [Add IP アドレス Mapping] ページのフィールド

    形容

    名前

    英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

    IP アドレス

    アプリケーションの宛先 IPv4 または IPv6 アドレスを入力します。

    CIDR

    アプリケーションに割り当てる IP アドレスの CIDR 値を入力します。

    IPv4 アドレスの範囲は 1 から 32 です。

    IPv6 アドレスの範囲は 1 から 128 です。

    TCP ポート範囲

    (オプション)レイヤー3およびレイヤー4アドレスベースのカスタムアプリケーションのTCP宛先ポートに一致するポートまたはポート範囲をスペースで区切って入力します。

    範囲は 0 から 65535 です。

    例: 80-82 443。

    UDP ポート範囲

    (オプション)レイヤー3およびレイヤー4アドレスベースのカスタムアプリケーションのUDP宛先ポートに一致するポートまたはポート範囲のスペース区切りリストを入力します。範囲は 0 から 65535 です。

    例: 160-162 260。
    表 3: [Add Signature] ページのフィールド

    形容

    オーバープロトコル

    アプリケーション プロトコルに一致するシグニチャを表示します。

    例: HTTP。

    署名名

    英数字、コロン、ピリオド、ダッシュ、アンダースコアの文字列である一意の名前を入力します。スペースは使用できず、最大長は 63 文字です。

    ポート範囲

    アプリケーションのポート範囲を入力します。

    範囲は 0 から 65535 です。

    例: 80-82 443

    メンバーの追加

    プラスアイコン(+)をクリックして、メンバーの詳細を追加します。

    会員番号

    カスタム・アプリケーション・シグニチャーのメンバー名を表示します。カスタム署名には、アプリケーションの属性を定義する複数のメンバーを含めることができます。(サポートされるメンバー名の範囲は m01 から m15 です。

    文脈

    サービス固有のコンテキストを選択します。

    • [L7 Signatures over HTTP (HTTP 経由の L7 署名)] で、次のコンテキストのいずれかを選択します。

      • http-get-url-parsed-param-parsed

      • HTTPヘッダーコンテンツタイプ

      • HTTPヘッダークッキー

      • HTTPヘッダーホスト

      • httpヘッダー-ユーザーエージェント

      • http-post-url-parsed-param-parsed

      • http-post-variable-parsed (変数後解析)

      • http-url 解析済み

      • http-url-parsed-param-parsed

    • [L7 Signatures over SSL (SSL 経由の L7 署名)] で、サービス固有のコンテキストとして [ssl-server-name] を選択します。

    • [TCP 経由の L7 シグニチャ(L7 Signatures over TCP)] で、サービス固有のコンテキストとして [ストリーム(stream)] を選択します。

    • [L7 Signatures over UDP (UDP 経由の L7 署名)] で、サービス固有のコンテキストとして [stream] を選択します。

    L7 アプリケーション作成のコンテキストと方向の組み合わせについては、「 コンテキスト(アプリケーション識別)」を参照してください。

    方向

    署名を一致させる必要があるパケットフローの方向を選択します。

    • any—パケットフローの方向は、クライアント側からサーバー側、またはサーバー側からクライアント側のいずれかです。

    • クライアントからサーバーへ—パケットフローの方向はクライアント側からサーバー側です。

    • サーバーからクライアントへ—パケットフローの方向はサーバー側からクライアント側です。

    パターン

    コンテキストに一致する決定論的有限オートマトン (DFA) パターンを入力します。DFA パターンは、署名に一致させるパターンを指定します。最大長は 128 です。

関連資料