Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

통합 정책에 대한 애플리케이션 식별 지원

보안 디바이스에 대한 통합 정책 이해

웹 응용 프로그램의 인기가 높아지고 기존의 전체 클라이언트 기반 응용 프로그램에서 웹으로의 전환으로 인해 점점 더 많은 트래픽이 HTTP를 통해 전송되고 있습니다. 인스턴트 메시징, P2P 파일 공유, 웹 메일, 소셜 네트워킹, IP 음성 및 비디오 공동 작업과 같은 애플리케이션은 통신 포트 및 프로토콜을 변경하여 보안 메커니즘을 회피합니다. 애플리케이션 동작의 변경 사항을 관리하려면 보안 규칙을 지속적으로 수정해야 하며, 보안 정책 규칙의 유지 관리는 중요한 과제입니다. 응용 프로그램 동작에서 이러한 변경 사항을 처리하려면 동적 응용 프로그램을 관리하는 보안 정책이 필요합니다.

이러한 과제에 대한 응답으로 Junos OS 릴리스 18.2R1부터 주니퍼 네트웍스 SRX 시리즈 방화벽과 vSRX 가상 방화벽이 통합 정책을 지원하므로 보안 정책 내에서 동적 레이어 7 애플리케이션을 세부적으로 제어하고 시행할 수 있습니다. 통합 정책은 동적 애플리케이션을 기존 5-튜플 또는 6-튜플(사용자 방화벽이 있는 5-튜플) 일치 조건의 일부로 사용하여 시간 경과에 따른 애플리케이션 변화를 감지할 수 있도록 하는 보안 정책입니다.

통합 정책은 AppID(애플리케이션 식별) 모듈에서 결정된 애플리케이션 ID 정보를 활용합니다. 특정 애플리케이션이 식별되면 디바이스에 구성된 정책에 따라 허용, 거부, 거부 또는 리디렉션과 같은 작업이 트래픽에 적용됩니다.

레이어 3 또는 레이어 4 기준에 따라 보안 정책에 의해 거부되거나 거부된 모든 트래픽은 즉시 삭제됩니다. 보안 정책에서 허용하는 트래픽은 AppID 정보를 기반으로 레이어 7에서 추가로 평가됩니다.

동적 애플리케이션으로 보안 정책을 구성하거나 보안 정책에서 애플리케이션 정책 기반 라우팅(APBR), 애플리케이션 추적(Apptrack), 애플리케이션 서비스 품질(AppQoS), 애플리케이션 방화벽(AppFW), 침입 탐지 및 방지(IDP) 또는 주니퍼 ATP 클라우드와 같은 서비스를 활성화할 때 AppID가 활성화됩니다.

혜택

  • 레이어 7에서 애플리케이션 기반 보안 정책 관리를 간소화합니다.

  • 디바이스가 네트워크의 동적 트래픽 변화에 적응할 수 있도록 합니다.

  • 동적 애플리케이션 트래픽을 기존 보안 정책보다 더 뛰어난 제어 기능과 확장성으로 관리할 수 있습니다.

통합 정책에서 AppID 정보를 사용하는 방법 이해

정확한 트래픽 분류는 클라우드 및 데이터센터 아키텍처의 네트워크 보안에 필수적입니다. 웹 애플리케이션에는 문서, 데이터, 이미지, 오디오 및 비디오 파일이 포함되어 있기 때문에 다양한 유형의 애플리케이션 트래픽(HTTP에서 트랜잭션됨)을 식별하고 분류하는 것도 어려운 과제입니다.

AppID는 포트, 프로토콜, 암호화(TLS/SSL 또는 SSH) 또는 기타 회피 전략에 관계없이 네트워크에서 애플리케이션을 탐지합니다. DPI(심층 패킷 검사) 기술, 서명 데이터베이스, 잘 알려진 주소 및 포트를 사용하여 애플리케이션을 식별합니다. AppID는 동적 애플리케이션 분류, 기본 프로토콜, 애플리케이션의 포트 등의 정보를 제공합니다. 다른 응용 프로그램의 종속 목록에 포함된 응용 프로그램에 대해 AppID는 종속 응용 프로그램의 정보를 제공합니다.

통합 정책은 AppID의 정보를 활용하여 애플리케이션과 일치시키고 정책에 지정된 대로 작업을 수행합니다. 통합 정책 구성에서는 (애플리케이션 식별 서명 패키지에서) 사전 정의된 동적 애플리케이션 또는 일치 조건으로 사용자 정의된 사용자 지정 애플리케이션을 사용할 수 있습니다.

종속 동적 애플리케이션 식별(DEPENDENT DYNAMIC APPLICATION IDENTIFICATION) 이해

종속 응용 프로그램 목록에는 동적 응용 프로그램을 식별할 수 있는 응용 프로그램이 포함됩니다. 예를 들어 Facebook의 종속 응용 프로그램 목록은 HTTP2 및 SSL로 구성됩니다.

동적 애플리케이션의 기본 프로토콜 및 포트에는 해당 애플리케이션에 대해 정의된 프로토콜 및 포트가 포함됩니다. 해당 응용 프로그램에 대한 프로토콜 및 포트가 정의되지 않은 경우 종속 응용 프로그램의 기본 프로토콜 및 포트 목록이 고려됩니다.

예를 들어 Facebook-Access 응용 프로그램은 HTTP, SSL 및 HTTP2와 같은 응용 프로그램에 따라 달라집니다. 따라서 이러한 종속 응용 프로그램의 기본 프로토콜 및 포트는 Facebook-Access 응용 프로그램에 대해 고려됩니다.

메모:

응용 프로그램의 종속 응용 프로그램 목록과 프로토콜 및 포트 매핑은 런타임 중에 새 응용 프로그램 서명 팩이 설치되거나 사용자 지정 응용 프로그램 구성이 변경될 때마다 변경될 수 있습니다. AppID는 이러한 세부 정보를 보안 정책에 제공합니다.

동적 응용 프로그램 분류 상태

애플리케이션 식별 프로세스 중에 DPI는 모든 패킷을 처리하고 애플리케이션이 최종적으로 식별될 때까지 다음 상태 중 하나로 분류합니다.

  • Pre-match(사전 매치) - DPI로 애플리케이션을 식별하기 전입니다.

  • 트랜잭션 최종—동적 애플리케이션의 경우, 하나의 트랜잭션이 완료되지만 애플리케이션 식별이 최종적이지 않습니다. 계층 7을 사용하는 응용 프로그램은 종속 응용 프로그램이 있기 때문에 각 트랜잭션마다 계속 변경될 수 있습니다. 예를 들어 Facebook 응용 프로그램에는 HTTP, SSL 등과 같은 종속 응용 프로그램이 있습니다.

  • Final match(최종 일치) - 레이어 7을 통해 일치하는 애플리케이션은 구성된 최대 트랜잭션 수에 따라 최종 일치로 간주됩니다. 즉, 일치는 최대 트랜잭션 수가 완료된 후에만 최종적인 것으로 간주됩니다.

최종 응용 프로그램을 식별하기 전에는 정책을 정확하게 일치시킬 수 없습니다. 잠재적 정책 목록을 사용할 수 있게 되고, 목록의 잠재적 정책을 사용하여 트래픽이 허용됩니다. 응용 프로그램이 식별되면 최종 정책이 세션에 적용됩니다. 허용, 거부, 거부 또는 리디렉션과 같은 정책 작업은 정책 규칙에 지정된 대로 트래픽에 적용됩니다.

메모:

DPI는 최종 일치 중에 일치하는 애플리케이션을 전환할 수 있습니다. 그러나 해당 정책은 동일하게 유지됩니다. 이로 인해 syslog에 언급된 다른 애플리케이션이 동일한 정책의 세션을 생성하고 닫는 것을 확인할 수 있습니다.

응용 프로그램 분류는 Facebook과 같은 트랜잭션 기반 응용 프로그램에 대해 종료되지 않습니다. 이러한 응용 프로그램에 대한 분류를 종료하려면 여러 트랜잭션의 결과를 최종 분류로 고려하도록 선택할 수 있습니다.

응용 프로그램 식별을 위한 트랜잭션 제한 구성

문을 사용하여 set services application-identification maximum-transactions transactions-number 응용 프로그램을 식별하기 위한 최종 결과를 결론짓기 전에 최대 트랜잭션 수를 구성할 수 있습니다. 최대 트랜잭션 수를 구성하면 구성된 트랜잭션 수가 완료될 때까지 DPI가 종료되지 않습니다.

본보기:

0에서 25까지 거래 번호를 구성할 수 있습니다. 기본적으로 5개의 트랜잭션이 고려됩니다.

트랜잭션 수를 0으로 설정하면 트랜잭션이 DPI를 종료하지 않습니다. 응용 프로그램에 대한 최종 일치 항목을 사용하지 못할 수 있습니다. 최종 보안 정책이 적용되지 않습니다.

표 1 에서는 최대 트랜잭션이 5로 설정된 경우의 애플리케이션 식별 분류의 다양한 상태를 보여 줍니다. 테이블의 값은 예이며 실제 값이 아닙니다. 정확한 트랜잭션은 트래픽 패턴에 따라 달라질 수 있습니다.

표 1: 애플리케이션 식별 트랜잭션 예

시나리오

확인된 응용 프로그램

애플리케이션 식별 상태

트랜잭션을

세션의 첫 번째 패킷

없음

프리매치

0

중간 응용 프로그램

SSL (영문)

프리매치

1

해독된 페이로드에서 식별된 중간 애플리케이션

HTTP

프리매치

2

중간 응용 프로그램이 식별됨

페이스 북 액세스

프리매치

3

중간 응용 프로그램이 식별됨

페이스북 채팅

최종 트랜잭션(트랜잭션 =1)

4

최종 신청서 확인됨

페이스 북 메일

최종 일치(트랜잭션 = 2)

4

메모:

통합 정책에서 레이어 3 또는 레이어 4 정보(ICMP 기반 애플리케이션 제외)를 기반으로 식별할 수 있는 동적 애플리케이션 구성은 지원되지 않습니다. 대신 레이어 3 및 레이어 4 기반 애플리케이션에 대해 사전 정의된 값을 포함하는 그룹을 junos-defaults 사용할 수 있습니다.

통합 정책에 대한 애플리케이션 식별을 위한 고가용성 지원

응용 프로그램이 식별되면 해당 분류 정보가 ASC(응용 프로그램 시스템 캐시)에 저장됩니다.

보안 디바이스(예: SRX 시리즈 방화벽)가 섀시 클러스터 모드에서 작동하면 ASC에 저장된 정보가 기본 노드와 보조 노드 간에 동기화됩니다.

동적 응용 프로그램 분류의 경우 응용 프로그램 분류가 최종일 때 DPI의 세션별 응용 프로그램 분류 정보가 보조 노드와 동기화됩니다.

장애 조치(failover) 중에 보조 노드의 응용 프로그램 분류 정보는 다음 상태 중 하나입니다.

  • 응용 프로그램이 식별되지 않음

  • 최종 신청서 확인됨

장애 조치(failover) 후 새 기본 노드에서 사용할 수 있는 응용 프로그램 분류 정보가 최종 일치로 간주됩니다. 장애 조치(failover) 후 분류가 더 이상 진행되지 않으므로 동일한 정보가 새 보조 노드와 동기화됩니다. 표 2의 예, 표 2 는 섀시 클러스터 설정의 애플리케이션 분류 상태를 보여줍니다.

표 2: 섀시 클러스터 설정의 애플리케이션 분류 상태

애플리케이션 식별 상태

섀시 클러스터 노드

장애 조치(failover) 전

장애 조치(failover) 후

세부 정보

최종 신청서가 확인됩니다.

식별된 애플리케이션: SSL:Facebook

기본 노드

식별된 애플리케이션: SSL:Facebook

식별된 애플리케이션: SSL:Facebook

장애 조치(failover) 후 전체 응용 프로그램 분류가 보조 노드에 동기화되므로 변경되지 않습니다.

보조 노드

식별된 애플리케이션: SSL:Facebook

식별된 애플리케이션: SSL:Facebook

최종 신청서는 확인되지 않습니다. (부분 적용이 확인됩니다.)

식별된 애플리케이션: SSL

기본 노드

식별된 애플리케이션: SSL

식별된 애플리케이션: APP-INVALID

장애 조치(failover) 후 응용 프로그램 식별이 더 이상 진행되지 않습니다.

보조 노드

식별된 응용 프로그램: 사용할 수 없음

식별된 애플리케이션: APP-INVALID

최종 신청서는 확인되지 않습니다. (부분 적용이 확인됨)

기본 노드

식별된 응용 프로그램: 사용할 수 없음

식별된 애플리케이션: APP-INVALID

이 경우 첫 번째 패킷 검사 후 페일오버가 발생했으며 애플리케이션이 식별되지 않습니다.

장애 조치(failover) 후 응용 프로그램 식별이 더 이상 진행되지 않습니다.

보조 노드

식별된 응용 프로그램: 사용할 수 없음

식별된 애플리케이션: APP-INVALID

Application Services for Application Services Application System Cache 활성화 또는 비활성화

Junos OS 릴리스 18.2R1부터 ASC의 기본 동작이 다음과 같이 변경됩니다.

  • Junos OS 릴리스 18.2R1 이전—ASC는 보안 서비스를 포함한 모든 서비스에 대해 기본값으로 활성화됩니다.
  • Junos OS 릴리스 18.2R1부터—ASC는 기본적으로 활성화됩니다. 보안 서비스 조회의 차이점에 유의하십시오.

    • 보안 서비스에 대한 ASC 조회는 기본적으로 활성화되어 있지 않습니다. 즉, 보안 정책, 애플리케이션 방화벽(AppFW), 애플리케이션 추적(AppTrack), 애플리케이션 서비스 품질(AppQoS), 주니퍼 ATP 클라우드, IDP, 컨텐츠 보안을 포함한 보안 서비스는 기본적으로 ASC를 사용하지 않습니다.

    • 기타 서비스에 대한 ASC 조회는 기본적으로 활성화되어 있습니다. 즉, 고급 정책 기반 라우팅(APBR)을 포함한 기타 서비스는 기본적으로 애플리케이션 식별을 위해 ASC를 사용합니다.

메모:

ASC의 기본 동작 변경은 레거시 AppFW 기능에 영향을 줍니다. Junos OS 릴리스 18.2부터 보안 서비스에 대해 ASC가 기본적으로 비활성화되어 있으면 AppFW는 ASC에 있는 항목을 사용하지 않습니다.

명령을 사용하여 릴리스 18.2 이전의 Junos OS 릴리스에서와 같이 ASC 동작으로 set services application-identification application-system-cache security-services 되돌릴 수 있습니다.

주의:

보안 서비스에 대해 ASC가 활성화된 경우 보안 디바이스가 애플리케이션 회피 기술에 취약해질 수 있습니다. 기본 구성(보안 서비스에 대해 비활성화됨)의 디바이스 성능이 특정 사용 사례에 충분하지 않은 경우에만 ASC를 활성화하는 것이 좋습니다.

다음 명령을 사용하여 ASC를 활성화 또는 비활성화합니다.

  • 보안 서비스를 위해 ASC를 사용하도록 설정합니다.

  • 기타 서비스에 대해 ASC를 비활성화합니다.

  • 보안 서비스에 대해 활성화된 ASC를 비활성화합니다.

  • 기타 서비스에 대해 비활성화된 ASC를 활성화합니다.

명령을 사용하여 show services application-identification application-system-cache ASC의 상태를 확인할 수 있습니다.

다음 샘플 출력은 ASC의 상태를 제공합니다.

Junos OS 릴리스 18.2R1 이전 릴리스에서는 애플리케이션 캐싱이 기본적으로 활성화되었습니다. 명령을 사용하여 set services application-identification no-application-system-cache 수동으로 비활성화할 수 있습니다.

터널링 응용 프로그램 지원

Junos OS 릴리스 20.4R1부터 터널링 애플리케이션을 관리할 수 있도록 보안 디바이스에 대한 통합 정책 조회가 향상되었습니다. 이제 통합 정책을 사용하여 특정 터널링 응용 프로그램을 차단할 수 있습니다.

QUIC 또는 SOCK와 같은 특정 터널링 애플리케이션을 차단하려는 경우 거부 또는 거부 작업을 통해 이러한 터널링 애플리케이션을 통합 정책으로 구성할 수 있습니다.

마이크로 애플리케이션을 위한 애플리케이션 식별 지원

Junos OS 릴리스 19.2R1부터는 애플리케이션 식별 기능을 사용하여 하위 기능 수준에서 애플리케이션을 관리할 수 있습니다. 이 문서에서는 응용 프로그램 하위 기능을 마이크로 응용 프로그램이라고 합니다.

마이크로 애플리케이션은 애플리케이션 서명 패키지의 일부입니다. 애플리케이션 식별에서 마이크로 애플리케이션 탐지를 활성화한 다음 보안 정책에서 일치 기준으로 사용해야 합니다.

AppID는 네트워크의 하위 기능 수준에서 애플리케이션을 탐지하고 보안 정책은 AppID(애플리케이션 식별) 모듈에서 결정된 애플리케이션 ID 정보를 활용합니다. 특정 애플리케이션이 식별되면 디바이스에 구성된 정책에 따라 허용, 거부, 거부 또는 리디렉션과 같은 작업이 트래픽에 적용됩니다.

마이크로 응용 프로그램 개념은 트랜잭션 기반 응용 프로그램과 유사하며, 기본 응용 프로그램에 대한 중첩 응용 프로그램이 동일한 세션에 대해 지속적으로 변경됩니다.

본보기:

동적 애플리케이션 MODBUS를 고려하십시오. READ 및 WRITE는 MODBUS 응용 프로그램의 하위 기능 또는 작업입니다. 이러한 하위 기능의 경우 MODBUS-READ 및 MODBUS-WRITE와 같은 마이크로 애플리케이션을 정의해야 합니다. 애플리케이션 분류 경로는 MODBUS:MODBUS-READ 및 MODBUS:MODBUS-WRITE 사이에서 계속 변경될 수 있습니다. 이 경우 MODBUS는 기본 응용 프로그램이고 MODBUS-READ 및 MODBUS-WRITE는 중첩 응용 프로그램, 즉 마이크로 응용 프로그램입니다.

보안 정책에서 사전 정의된 동적 애플리케이션과 동일한 계층에서 마이크로 애플리케이션을 구성하고 정책 규칙에 따라 조치를 취할 수 있습니다.

보안 정책에서 이러한 마이크로 애플리케이션을 구성하면 전체 MODBUS 애플리케이션을 차단하거나 허용하는 대신 MODBUS 하위 기능을 허용하거나 거부할 수 있습니다.

마이크로 애플리케이션 분류

마이크로 응용 프로그램에 대한 응용 프로그램 분류는 세션에 대해 마이크로 응용 프로그램이 계속 변경되기 때문에 최종 일치에 도달하지 않습니다. 일치하는 응용 프로그램은 최대 트랜잭션 수가 완료된 후에만 최종 일치로 간주됩니다.

AppID의 최대 트랜잭션 한도는 25개이지만 각 서비스 모듈에는 자체 요구 사항에 따라 자체 제한이 있습니다. 최대 트랜잭션 제한(25) 전에 서비스별 제한에 도달하면 서비스 모듈은 해당 정책을 최종으로 표시합니다. 그러나 AppID는 애플리케이션 분류를 계속하고 25개 제한에 도달하면 세션을 오프로드합니다.

명령을 사용하여 set services application-identification max-transactions 트랜잭션 한도를 구성할 수 있습니다.

종속 응용 프로그램 목록과 기본 프로토콜 및 포트

종속 응용 프로그램 목록에는 동적 응용 프로그램을 식별할 수 있는 응용 프로그램이 포함됩니다. 동적 애플리케이션의 기본 프로토콜 및 포트에는 해당 애플리케이션에 대해 정의된 프로토콜 및 포트가 포함됩니다.

종속 애플리케이션 목록과 기본 프로토콜 및 포트는 보안 정책을 시행하기 위해 통합 정책에서 사용됩니다. 마이크로 응용 프로그램의 종속 응용 프로그램 목록 및 기본 프로토콜 및 포트는 기본 응용 프로그램과 동일합니다.

Example: 마이크로 애플리케이션 MODBUS-READ의 종속 애플리케이션 목록 및 기본 포트는 MODBUS의 종속 애플리케이션 목록 및 기본 포트와 동일합니다.

마이크로 애플리케이션에 대한 정책 적용

보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 마이크로 애플리케이션을 일치 기준으로 사용하여 보안 정책을 구성한 경우 정책 모듈에는 AppID의 마이크로 애플리케이션 식별 정보가 필요합니다.

마이크로 응용 프로그램을 사용한 응용 프로그램 분류는 세션에 대해 마이크로 응용 프로그램이 계속 변경되기 때문에 최종 일치에 도달하지 못합니다. 그러나 정책의 정책 조회 및 처리를 위해서는 응용 프로그램에 대한 최종 일치가 필요합니다. [edit security policies unified-policy-max-lookups] 명령을 사용하여 정책 조회 수를 제한할 수 있습니다.

응용 프로그램이 식별되면 최종 정책이 세션에 적용됩니다. 허용, 거부, 거부 또는 리디렉션과 같은 정책 작업은 정책 규칙에 지정된 대로 트래픽에 적용됩니다.

마이크로 애플리케이션 설치

마이크로 응용 프로그램은 응용 프로그램 서명 패키지의 일부입니다. 애플리케이션 시그니처 패키지를 다운로드하여 설치하면 마이크로 애플리케이션도 설치되며 보안 정책에서 구성할 수 있습니다. 명령을 사용하여 show services application-identification status 마이크로 애플리케이션의 세부 정보를 볼 수 있습니다.

메모:

Junos OS 릴리스 19.2부터 보안 정책에서 마이크로 애플리케이션을 구성한 경우 이전 버전의 Junos OS 릴리스로 다운그레이드할 수 없습니다. 이전 버전의 Junos OS 릴리스로 다운그레이드하려면 보안 정책에 구성된 마이크로 애플리케이션을 제거해야 합니다.

DNS-over-HTTP 및 DNS-over-TLS 애플리케이션 트래픽 관리

Junos OS 릴리스 20.4R1에서는 애플리케이션 시그니처 패키지를 강화하기 위해 새로운 마이크로 애플리케이션인 DNS-ENCRYPTED를 도입했습니다. 보안 정책에서 이 마이크로 애플리케이션을 구성하면 DNS-over-HTTP 및 DNS-over-TLS 애플리케이션 트래픽을 세밀하게 제어할 수 있습니다.

DNS-ENCRYPTED 애플리케이션은 기본적으로 활성화되어 있습니다. 명령을 사용하여 request services application-identification application disable DNS-ENCRYPTED 비활성화할 수 있습니다.

명령을 사용하여 show services application-identification application 마이크로 애플리케이션의 세부 정보를 볼 수 있습니다.

Micro-Applications 탐지 활성화 및 비활성화

마이크로 애플리케이션 감지를 활성화하거나 비활성화할 수 있습니다. 기본적으로 마이크로 애플리케이션 감지는 비활성화됩니다. 마이크로 애플리케이션이 보안 정책에서 이를 사용할 수 있도록 설정해야 합니다.

다음 명령을 사용하여 마이크로 애플리케이션을 활성화 또는 비활성화할 수 있습니다:

  • 마이크로 애플리케이션 탐지를 활성화합니다(구성 모드에서).

  • 특정 마이크로 애플리케이션을 비활성화합니다(운영 모드에서).

    본보기:

예: 마이크로 응용 프로그램 구성

이 예에서는 보안 정책에서 마이크로 애플리케이션을 구성하여 하위 기능 수준에서 정책을 시행하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • Junos OS 릴리스 19.2R1 이상이 포함된 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 19.2R1에서 테스트되었습니다.

  • SRX 시리즈 방화벽에 설치된 유효한 애플리케이션 식별 기능 라이선스.

시작하기 전에 IDP 또는 애플리케이션 식별 보안 패키지에서 전체 서명 데이터베이스를 설치합니다. Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치 또는 침입 탐지 및 방지(IDP) 보안 패키지의 일부로 Junos OS 애플리케이션 시그니처 패키지 다운로드 및 설치를 참조하십시오.

개요

이 예에서는 마이크로 애플리케이션 MODBUS-READ-COILS 및 MODBUS-WRITE-SINGLE-COIL, MODBUS-READ-COILS, MODBUS-WRITE-MULTIPLE-COILS를 사용하여 보안 정책을 생성합니다. 이러한 마이크로 애플리케이션과 일치하는 애플리케이션 트래픽이 허용됩니다.

구성

마이크로 애플리케이션을 사용한 보안 정책 구성

CLI 빠른 구성

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다.

응용 프로그램 식별을 위한 사용자 지정 응용 프로그램 그룹 구성:

  1. 마이크로 애플리케이션 탐지를 활성화합니다.

  2. 다른 정책 일치 기준을 사용하여 보안 정책을 정의합니다.

  3. 응용 프로그램과 마이크로 응용 프로그램을 일치 기준으로 정의합니다.

  4. 정책 작업을 정의합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

마이크로 애플리케이션을 사용한 애플리케이션 QoS(Quality of Service) 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다.

응용 프로그램 식별을 위한 사용자 지정 응용 프로그램 그룹 구성:

  1. 마이크로 애플리케이션 junos:MODBUS-READ-COILS로 AppQoS 구성 매개 변수를 정의합니다.

  2. 보안 정책을 생성합니다.

  3. 정책 작업을 정의합니다.

결과

구성 모드에서 명령을 입력하여 how class-of-service 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

마이크로 애플리케이션 상태 확인

목적

마이크로 애플리케이션이 사용하도록 설정되어 있는지 확인합니다.

행동

show services application-identification status 명령을 사용하여 마이크로 애플리케이션 버전을 가져오고 명령을 사용하여 show services application-identification application micro-applications 마이크로 애플리케이션의 세부 정보를 가져옵니다.

샘플 출력

show services application-identification application micro-applications

자세한 내용은 show services application-identification application micro-applications 를 참조하십시오.

마이크로 애플리케이션 통계 확인

목적

마이크로 응용 프로그램이 적용되었는지 확인합니다.

행동

다음 명령을 사용하여 마이크로 애플리케이션의 세부 정보를 가져옵니다.

샘플 출력
명령 이름

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
18.2R1 시리즈
Junos OS 릴리스 18.2R1부터 ASC의 기본 동작이 변경됩니다
18.2R1 시리즈
Junos OS 릴리스 18.2R1 이전 릴리스에서는 애플리케이션 캐싱이 기본적으로 활성화되었습니다. 명령을 사용하여 set services application-identification no-application-system-cache 수동으로 비활성화할 수 있습니다.