Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アプリケーション シグネチャの追加

ジュニパーネットワークスの定義済みアプリケーションデータベースに含まれていないアプリケーションに対して、カスタムアプリケーションシグネチャを追加できます。カスタムアプリケーション署名を追加するときは、一意で関連性のある名前を指定して、アプリケーション署名が一意であることを確認してください。

カスタムアプリケーション署名を作成するには:

  1. [ 共有サービス ] > [オブジェクト] > アプリケーションを選択します。
  2. 「>署名の作成」をクリックします。
    [アプリケーション シグネチャの作成] ページが表示されます。
  3. に記載されている 表 1ガイドラインに従って設定を完了します。
  4. [ OK ] をクリックして変更を保存します。変更を破棄する場合は、代わりに [キャンセル] をクリックします。

    構成を含む新しいアプリケーション署名が作成されます。

    表 1 [ アプリケーション署名の作成] ページのフィールドの使用に関するガイドラインを示します。

    表 1: [アプリケーション署名の作成] ページのフィールド

    フィールド

    説明

    お名前

    英数字、コロン、ピリオド、ダッシュ、アンダースコアの文字列である一意の名前を入力します。スペースは使用できません。最大長は 63 文字です。

    説明

    アプリケーション署名の説明を入力します。最大長は 255 文字です。

    シグネチャの順位と優先度

    注文

    カスタムアプリケーション署名の順序を 1 から 50000 の範囲で入力します。順序値が小さいほど優先度が高くなります。このオプションは、同じタイプの複数のカスタムアプリケーションシグネチャが同じトラフィックに一致する場合に使用されます。ただし、このオプションを使用して、TCP ストリームベースのアプリケーションと TCP ポートベースのアプリケーション、または IP アドレスベースのアプリケーションとポートベースのアプリケーションなど、異なるタイプのアプリケーションに優先順位を付けることはできません。

    注:

    アプリケーションの順序は、アプリケーションごとに一意である必要があります。

    優先度

    他のアプリケーション署名よりもアプリケーション署名の優先度 (高いまたは低い) を指定します。

    シグネチャの分類

    カテゴリー

    アプリケーション署名のカテゴリを入力します。たとえば、メッセージング、Web、インフラストラクチャ、リモート アクセス、マルチメディアなどです。

    サブカテゴリ

    アプリケーション署名のサブカテゴリを入力します。たとえば、Wiki、ファイル共有、マルチメディア、ソーシャル ネットワーキング、ニュースなどです。

    リスク

    アプリケーション シグネチャに関連するリスクのレベルを選択します。たとえば、低、中、高、重大、安全ではありません。

    特徴

    アプリケーション署名の 1 つ以上の特性を入力します。たとえば、ファイル転送、生産性の低下などをサポートします。

    アプリケーション基準

    1 つ以上のアプリケーション一致条件を有効にします。

    • ICMP マッピング

    • IP プロトコル マッピング

    • アドレス マッピング

    • L7シグネチャ

    ICMP マッピング

    トグル ボタンをクリックして、アプリケーションを識別するためのカスタム アプリケーション シグネチャを構成するときに、アプリケーションのインターネット制御メッセージ プロトコル (ICMP) 値を指定します。

    ICMP マッピング手法は、標準の ICMP メッセージ タイプとオプションのコードを一意のアプリケーション名にマップします。ICMP コードと型は、アプリケーション定義でのパケット照合のための追加仕様を提供します。

    ICMP タイプ

    アプリケーションの ICMP 値を入力します。ICMP マッピング手法は、標準の ICMP メッセージ タイプとオプションのコードを一意のアプリケーション名にマップします。

    範囲は 0 から 254 です。

    ICMPコード

    アプリケーションの ICMP コードを入力します。このフィールドは、ICMP タイプ フィールドに関する詳細情報(RFC など)を提供します。

    範囲は 0 から 254 です。

    IP プロトコル マッピング

    切り替えボタンをクリックして、アプリケーションの IP プロトコル値を指定します。このパラメーターは、IP プロトコル値に基づいてアプリケーションを識別するために使用され、IP トラフィックのみを対象としています。適切なセキュリティを確保するには、信頼されたサーバーのプライベート ネットワークでのみ IP プロトコル マッピングを使用します。

    IP プロトコル

    アプリケーションの IP プロトコル番号を入力します。標準の IP プロトコル番号は、アプリケーションを IP トラフィックにマップします。適切なセキュリティを確保するには、信頼されたサーバーのプライベート ネットワークでのみ IP プロトコル マッピングを使用します。

    範囲は 0 から 254 です。

    業界標準のプロトコル番号の完全なリストは、 IANA の Web サイトにあります。

    注:

    IP プロトコル番号 1(ICMP)、6(TCP)、および 17(UDP) をカスタム アプリケーション シグネチャの作成に使用することはできません。代わりに、これらのプロトコルに L7 シグニチャポリシーを使用することをお勧めします。

    アドレス マッピング

    切り替えボタンをクリックして、アドレス マッピング情報を指定します。レイヤー 3 およびレイヤー 4 のアドレス マッピングは、トラフィックの宛先 IP アドレスまたはポート範囲 (オプション) を照合してアプリケーションを定義します。アドレスマッピングオプションを使用して、プライベートネットワークの構成で信頼できるサーバーとの間のアプリケーショントラフィックを予測する場合に、カスタムアプリケーションシグネチャを設定します。

    アドレスマッピングは、既知のアプリケーションからのトラフィックを処理する際に効率と精度を提供します。詳細については、表 2を参照してください。

    注:

    • アドレスマッピングには、IP アドレスまたは TCP/UDP ポート範囲を指定する必要があります。

    • IP アドレスと TCP/UDP ポートの両方が構成されている場合、両方がパケットの宛先タプル (IP アドレスとポート範囲) と一致する必要があります。

    L7シグネチャ

    切り替えボタンをクリックして、同じL7プロトコル上で実行されている複数のアプリケーションを識別するために必要なレイヤー7ベースのカスタムアプリケーションシグネチャを指定します。たとえば、Facebook や Yahoo Messenger などのアプリケーションはどちらも HTTP 上で実行できますが、同じレイヤー 7 プロトコルで実行されている 2 つの異なるアプリケーションとして識別する必要があります。詳細については、表 3を参照してください。

    キャッシュ可能

    トグル ボタンをクリックして、デバイス上のアプリケーション識別結果のキャッシュを有効にします。

    このオプションを True に有効にするのは、L7 署名がカスタム署名で単独で構成されている場合にのみ有効です。このオプションは、アドレスベース、IPプロトコルベース、およびICMPベースのカスタムアプリケーション署名ではサポートされていません。
    表 2: [IP アドレス マッピングの追加] ページのフィールド

    フィールド

    説明

    お名前

    英数字、コロン、ピリオド、ダッシュ、アンダースコアからなる一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

    IPアドレス

    アプリケーションの宛先IPv4またはIPv6アドレスを入力します。

    CIDR

    アプリケーションに割り当てる IP アドレスの CIDR 値を入力します。

    IPv4 アドレスの範囲は 1 から 32 です。

    IPv6 アドレスの範囲は 1-128 です。

    TCP ポート範囲

    (オプション)レイヤー 3 およびレイヤー 4 アドレスベースのカスタム アプリケーションの TCP 宛先ポートと一致するように、ポートまたはポート範囲のスペース区切りリストを入力します。

    範囲は 0 から 65535 です。

    例:80-82 443.

    UDPポート範囲

    (オプション)レイヤー 3 およびレイヤー 4 アドレスベースのカスタム アプリケーションの UDP 宛先ポートと一致するように、ポートまたはポート範囲範囲のリストをスペースで区切って入力します。範囲は 0 から 65535 です。

    例:160-162 260.
    表 3: [署名の追加] ページのフィールド

    フィールド

    説明

    オーバープロトコル

    アプリケーションプロトコルに一致するシグネチャを表示します。

    例:です。

    署名名

    英数字、コロン、ピリオド、ダッシュ、アンダースコアの文字列である一意の名前を入力します。スペースは使用できません。最大長は 63 文字です。

    ポート範囲

    アプリケーションのポート範囲を入力します。

    範囲は 0 から 65535 です

    例:80-82 443

    メンバーの追加

    プラスアイコン(+)をクリックして、メンバーの詳細を追加します。

    会員番号

    カスタム アプリケーション シグニチャのメンバー名を表示します。カスタム署名には、アプリケーションの属性を定義する複数のメンバーを含めることができます。(サポートされるメンバー名の範囲は m01 から m15 です。

    コンテクスト

    サービス固有のコンテキストを選択します。

    • HTTP 経由の L7 シグネチャの場合は、次のいずれかのコンテキストを選択します。

      • http-get-url-parsed-param-parsed

      • http-header-content-type

      • http-header-cookie

      • http-header-host

      • http-header-user-agent

      • http-post-url-parsed-param-parsed

      • http-post-variable-parsed

      • http-url-parsed

      • http-url-parsed-param-parsed

    • SSL 経由の L7 署名の場合は、サービス固有のコンテキストを ssl-server-name として選択します。

    • TCP 経由の L7 シグネチャの場合は、サービス固有のコンテキストを ストリームとして選択します。

    • UDP 経由の L7 シグネチャの場合は、サービス固有のコンテキストを ストリームとして選択します。

    L7 アプリケーション作成のコンテキストと方向の可能な組み合わせについては、 コンテキスト (アプリケーション識別)を参照してください。

    方向

    署名を一致させる必要があるパケット フローの方向を選択します。

    • any:パケット フローの方向は、クライアント側からサーバー側、またはサーバー側からクライアント側のいずれかになります。

    • クライアントからサーバー—パケットフローの方向はクライアント側からサーバー側です。

    • サーバーからクライアント—パケットフローの方向はサーバー側からクライアント側です。

    パターン

    コンテキストでマッチした決定論的有限オートマトン(DFA)パターンを入力します。DFA パターンは、署名に一致するパターンを指定します。最大長は 128 です。

関連項目