Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

응용 프로그램 서명 추가

주니퍼 네트웍스의 사전 정의된 애플리케이션 데이터베이스에 속하지 않는 애플리케이션에 대해 사용자 지정 애플리케이션 서명을 추가할 수 있습니다. 사용자 지정 응용 프로그램 서명을 추가할 때는 고유하고 관련성 높은 이름을 제공하여 응용 프로그램 서명이 고유한지 확인합니다.

이름, 프로토콜, 응용 프로그램이 실행되는 포트 번호 및 일치 기준을 지정하여 사용자 지정 응용 프로그램 서명을 추가할 수 있습니다.

사용자 지정 응용 프로그램 서명을 만들려면:

  1. Configuration(구성) > Shared Objects > Application Signatures(애플리케이션 서명 공유 객체)를 선택합니다.
  2. Create > Signature( 서명 만들기)를 클릭합니다.
  3. 표 1에 제공된 지침에 따라 구성을 완료합니다.
  4. 확인을 클릭하여 변경 사항을 저장합니다. 변경 내용을 취소하려면 대신 취소를 클릭합니다.

구성과 함께 새 애플리케이션 시그니처가 생성됩니다. SD-WAN 정책 및 방화벽 정책 의도를 생성하는 동안 이 애플리케이션 서명을 사용합니다.

표 1 에서는 애플리케이션 서명 작성 페이지의 필드 사용에 대한 지침을 제공합니다.

표 1: 애플리케이션 서명 생성 페이지의 필드

필드

설명

이름

영숫자 문자, 콜론, 마침표, 대시 및 밑줄로 구성된 고유한 이름을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다.

설명

응용 프로그램 서명에 대한 설명을 입력합니다.
서명 순서 및 우선 순위  

순서

사용자 지정 응용 프로그램 서명의 순서를 입력합니다. 순서 값이 낮을수록 우선 순위가 높습니다. 이 옵션은 동일한 유형의 여러 사용자 지정 애플리케이션 시그니처가 동일한 트래픽과 일치할 때 사용됩니다. 그러나 이 옵션을 사용하여 TCP 포트 기반 응용 프로그램에 대한 TCP 스트림 기반 응용 프로그램 또는 포트 기반 응용 프로그램에 대한 IP 주소 기반 응용 프로그램과 같은 다른 유형의 응용 프로그램 중에서 우선 순위를 지정할 수는 없습니다.

범위는 1-50000입니다.

우선 순위

다른 응용 프로그램 서명보다 응용 프로그램 서명 우선 순위(높음 또는 낮음)를 지정합니다.
시그니처 분류  

범주

응용 프로그램 서명의 범주를 입력합니다. 예를 들어 메시징, 웹, 인프라, 원격 액세스, 멀티미디어 등이 있습니다.

하위 카테고리

응용 프로그램 서명의 하위 범주를 입력합니다. 예를 들어 Wiki, 파일 공유, 멀티미디어, 소셜 네트워킹, 뉴스 등이 있습니다.

위험

응용 프로그램 서명과 관련된 위험 수준을 선택합니다. 예를 들어 낮음, 보통, 높음, 위험, 안전하지 않음 등이 있습니다.

특성

애플리케이션 시그니처의 특성을 하나 이상 입력합니다. 예를 들어 파일 전송, 생산성 손실 등을 지원합니다.
신청 기준

하나 이상의 응용 프로그램 일치 기준을 활성화합니다.

  • ICMP 매핑

  • IP 프로토콜 매핑

  • 주소 매핑

  • L7 시그니처

ICMP 매핑

토글 단추를 클릭하여 응용 프로그램 식별을 위한 사용자 지정 응용 프로그램 서명을 구성하는 동안 응용 프로그램에 대한 ICMP(Internet Control Message Protocol) 값을 지정합니다.

ICMP 매핑 기술은 표준 ICMP 메시지 유형 및 선택적 코드를 고유한 애플리케이션 이름에 매핑합니다. ICMP 코드 및 유형은 애플리케이션 정의에서 패킷 매칭을 위한 추가 사양을 제공합니다.

ICMP 유형

애플리케이션에 대한 ICMP 값을 입력합니다. ICMP 매핑 기술은 표준 ICMP 메시지 유형 및 선택적 코드를 고유한 애플리케이션 이름에 매핑합니다.

범위는 0-254입니다.

ICMP 코드

애플리케이션에 대한 ICMP 코드를 입력합니다. 필드는 ICMP 유형 필드에 대한 추가 정보(예: RFC)를 제공합니다.

범위는 0-254입니다.

IP 프로토콜 매핑

토글 버튼을 클릭하여 응용 프로그램의 IP 프로토콜 값을 지정합니다. 이 매개 변수는 IP 프로토콜 값을 기반으로 애플리케이션을 식별하는 데 사용되며 IP 트래픽에만 사용됩니다. 적절한 보안을 유지하려면 신뢰할 수 있는 서버에 대해 개인 네트워크에서만 IP 프로토콜 매핑을 사용합니다.

IP 프로토콜

응용 프로그램의 IP 프로토콜 번호를 입력합니다. 표준 IP 프로토콜 번호는 애플리케이션을 IP 트래픽에 매핑합니다. 적절한 보안을 유지하려면 신뢰할 수 있는 서버에 대해 개인 네트워크에서만 IP 프로토콜 매핑을 사용합니다.

범위는 0-254입니다.

업계 표준 프로토콜 번호의 전체 목록은 IANA 웹 사이트에서 확인할 수 있습니다.

참고:

IP 프로토콜 번호 1(ICMP), 6(TCP) 및 17(UDP)은 사용자 지정 응용 프로그램 서명을 만드는 데 사용할 수 없습니다. 대신 이러한 프로토콜에 L7 서명 정책을 사용하는 것이 좋습니다.

주소 매핑

토글 버튼을 클릭하여 주소 매핑 정보를 지정합니다. 레이어 3 및 레이어 4 주소 매핑은 트래픽의 대상 IP 주소 또는 포트 범위(선택 사항)를 일치시켜 애플리케이션을 정의합니다. 주소 매핑 옵션을 사용하면 개인 네트워크 구성에서 신뢰할 수 있는 서버와 주고받는 응용 프로그램 트래픽을 예측할 때 사용자 지정 응용 프로그램 서명을 구성할 수 있습니다.

주소 매핑은 알려진 애플리케이션의 트래픽을 처리하는 동안 효율성과 정확성을 제공합니다. 자세한 정보는 표 2의 내용을 참조하십시오.

참고:

  • 주소 매핑을 위해 IP 주소 또는 TCP/UDP 포트 범위를 지정해야 합니다.

  • IP 주소와 TCP/UDP 포트가 모두 구성된 경우 둘 다 패킷의 대상 튜플(IP 주소 및 포트 범위)과 일치해야 합니다.

L7 시그니처

토글 버튼을 클릭하여 동일한 L7 프로토콜에서 실행되는 여러 애플리케이션을 식별하는 데 필요한 레이어 7 기반 사용자 지정 애플리케이션 서명을 지정합니다. L7 애플리케이션을 기반으로 사용자 지정 서명을 구성합니다. 동일한 L7 프로토콜에서 실행되는 여러 애플리케이션을 식별하기 위해 계층 7 기반 사용자 지정 애플리케이션 시그니처를 생성합니다. 예를 들어, Facebook 및 Yahoo Messenger와 같은 애플리케이션은 모두 HTTP를 통해 실행될 수 있지만, 동일한 레이어 7 프로토콜에서 실행되는 두 개의 서로 다른 애플리케이션으로 식별해야 합니다. 자세한 정보는 표 3의 내용을 참조하십시오.

Cacheable

토글 버튼을 클릭하여 장치에서 애플리케이션 식별 결과의 캐싱을 활성화합니다.

L7 서명이 사용자 지정 서명에서 단독으로 구성된 경우에만 이 옵션을 True 로 설정합니다. 주소 기반, IP 프로토콜 기반 및 ICMP 기반 사용자 지정 응용 프로그램 서명에는 이 옵션이 지원되지 않습니다.
표 2: IP 주소 추가 매핑 페이지의 필드

필드

설명

이름

영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않습니다. 최대 길이는 63자입니다.

IP 주소

애플리케이션의 대상 IPv4 또는 IPv6 주소를 입력합니다.

Cidr

애플리케이션에 할당하는 IP 주소에 대한 CIDR 값을 입력합니다.

IPv4 주소의 범위는 1-32입니다.

IPv6 주소의 범위는 1-128입니다.

TCP 포트 범위

(선택 사항) 레이어 3 및 레이어 4 주소 기반 사용자 지정 애플리케이션에 대한 TCP 대상 포트와 일치하도록 공백으로 구분된 포트 또는 포트 범위 목록을 입력합니다.

범위는 0-65535입니다.

예: 80-82 443.

UDP 포트 범위

(선택 사항) 레이어 3 및 레이어 4 주소 기반 사용자 지정 애플리케이션에 대한 UDP 대상 포트와 일치하도록 공백으로 구분된 포트 또는 포트 범위 목록을 입력합니다. 범위는 0-65535입니다.

예: 160-162 260.
표 3: 서명 추가 페이지의 필드

필드

설명

오버 프로토콜

애플리케이션 프로토콜과 일치하는 서명을 표시합니다.

예: HTTP.

서명 이름

영숫자 문자, 콜론, 마침표, 대시 및 밑줄로 구성된 고유한 이름을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다.

포트 범위

애플리케이션의 포트 범위를 입력합니다.

범위는 0-65535입니다.

예: 80-82,443
구성원 추가

더하기 아이콘(+)을 클릭하여 구성원 세부 정보를 추가합니다.

회원 번호

사용자 지정 응용 프로그램 서명의 구성원 이름을 입력합니다. 사용자 지정 서명에는 응용 프로그램의 특성을 정의하는 여러 멤버가 포함될 수 있습니다. (지원되는 멤버 이름 범위는 m01—m15입니다.)

컨텍스트

서비스별 컨텍스트를 선택합니다.

  • HTTP를 통한 L7 서명의 경우 다음 컨텍스트 중 하나를 선택합니다.

    • http-get-url-parsed-param-parsed

    • http-헤더-콘텐츠 유형

    • http-헤더-쿠키

    • http-헤더-호스트

    • http-헤더-사용자 에이전트

    • http-post-url-parsed-param-구문 분석

    • http-post-variable-구문 분석

    • http-url 구문 분석

    • http-url-parsed-param-구문 분석

  • SSL을 통한 L7 서명의 경우 서비스별 컨텍스트를 ssl-server-name으로 선택합니다.

  • TCP를 통한 L7 시그니처의 경우 서비스별 컨텍스트를 스트림으로 선택합니다.

  • UDP를 통한 L7 서명의 경우 서비스별 컨텍스트를 스트림으로 선택합니다.

L7 애플리케이션 생성에 대한 컨텍스트 및 방향의 가능한 조합은 컨텍스트(애플리케이션 식별)를 참조하십시오.

방향

시그니처를 일치시켜야 하는 패킷 플로우의 방향을 선택합니다.

  • any - 패킷 흐름의 방향은 클라이언트 측에서 서버 측으로 또는 서버 측에서 클라이언트 측으로 이루어질 수 있습니다.

  • client-to-server—패킷 흐름의 방향은 클라이언트 측에서 서버 측입니다.

  • server-to-client—패킷 흐름의 방향은 서버 측에서 클라이언트 측입니다.

패턴

컨텍스트와 일치하는 결정론적 유한 자동화(DFA) 패턴을 입력합니다. DFA 패턴은 서명에 대해 일치시킬 패턴을 지정합니다. 최대 길이는 128입니다.

관련 문서