Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

응용 프로그램 식별을 위한 사용자 지정 응용 프로그램 시그니처

또한 사용자 정의 사용자 정의 애플리케이션 시그니처를 사용하여 사용 중인 프로토콜 및 포트에 관계없이 애플리케이션을 식별할 수 있습니다. 호스트 이름, IP 주소 범위 및 포트를 사용하여 사용자 지정 서명을 만들 수 있으며, 이를 통해 특정 대상에 대한 트래픽을 추적할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

Junos OS 애플리케이션 식별 사용자 지정 애플리케이션 시그니처 이해

이 주제는 다음 섹션을 포함합니다.

사용자 지정 응용 프로그램 시그니처 개요Custom Application Signatures Overview(사용자 지정 응용 프로그램 시그니처 개요)

Junos OS 애플리케이션 식별 기능은 웹 기반 애플리케이션이든 클라이언트-서버 애플리케이션이든 상관없이 모든 애플리케이션을 식별할 수 있는 사용자 지정 시그니처를 생성할 수 있는 유연성을 제공합니다. ICMP, IP 프로토콜, IP 주소 및 레이어 7을 기반으로 애플리케이션에 대한 사용자 지정 애플리케이션 시그니처를 생성할 수 있습니다.

일반적으로 사용자 지정 응용 프로그램 서명은 사용자 환경에 고유하며 주로 내부 또는 사용자 지정 응용 프로그램을 검사하는 데 사용됩니다. 사용자 지정 애플리케이션 서명을 생성하면 AppID는 표준 애플리케이션과 동일한 방식으로 분류하고 검사합니다. 사용자 지정 응용 프로그램 서명은 사전 정의된 응용 프로그램 패키지의 일부가 아니기 때문에 사전 정의된 응용 프로그램 서명 데이터베이스가 아닌 구성 계층에 저장됩니다.

사용자 지정 서명을 구성하려면 장치에 응용 프로그램 서명 패키지를 다운로드하여 설치해야 합니다. 사용자 지정 서명이 구성되면 응용 프로그램 서명 패키지를 제거할 수 없습니다. 모든 사용자 지정 애플리케이션 서명은 시스템을 새 소프트웨어 버전으로 업그레이드할 때 그대로 전달됩니다.

사용자 지정 응용 프로그램 서명에 대한 향상된 기능

사용자 지정 응용 프로그램 서명 기능은 새로운 응용 프로그램 및 컨텍스트 집합을 제공합니다.

사용자 지정 응용 프로그램 서명 컨텍스트는 이제 응용 프로그램 서명 패키지의 일부입니다. 사용자 지정 응용 프로그램 서명에 새로 도입된 응용 프로그램 및 컨텍스트를 사용하려면 최신 응용 프로그램 서명 패키지 버전 3248 이상을 다운로드하여 설치해야 합니다. Junos OS를 업그레이드하지 않고 애플리케이션 서명 패키지를 별도로 업그레이드할 수 있습니다.

지원되는 사용자 지정 응용 프로그램 시그니처 유형

보안 디바이스는 다음과 같은 유형의 사용자 지정 서명을 지원합니다.

  • ICMP 기반 매핑

  • 주소 기반 매핑

  • IP 프로토콜 기반 매핑

  • 레이어 7 기반 및 TCP/UDP 스트림 기반 매핑

지원되는 모든 사용자 지정 애플리케이션 서명에서 ICMP 기반, IP 프로토콜 기반 및 주소 기반 사용자 지정 애플리케이션은 레이어 7 기반 및 TCP/UDP 스트림 기반 사용자 지정 애플리케이션보다 더 높은 우선 순위를 갖습니다. 사용자 지정 애플리케이션 시그니처 우선 순위는 ICMP 기반, IP 프로토콜 기반, 주소 기반 및 Layer7 기반 또는 TCP/UDP 스트림 기반 사용자 지정 애플리케이션입니다.

ICMP 기반 매핑

  • ICMP 매핑 기술은 표준 ICMP 메시지 유형 및 선택적 코드를 고유한 애플리케이션 이름에 매핑합니다. 이 매핑 기술을 사용하여 다양한 유형의 ICMP 메시지를 구별할 수 있습니다. ICMP 매핑 기술은 ICMPv6 트래픽을 지원하지 않습니다.

  • 침입 탐지 및 방지(IDP)는 TCP 또는 UDP 트래픽에서만 작동합니다. 따라서 ICMP 매핑은 침입 탐지 및 방지(IDP)에 적용되지 않으며 사용자 지정 공격과 같은 침입 탐지 및 방지(IDP) 기능을 지원할 수 없습니다.

주소 기반 매핑

  • 레이어 3 및 레이어 4 주소 매핑은 트래픽의 IP 주소 및 포트 범위(선택 사항)로 애플리케이션을 정의합니다.

  • 레이어 3 및 레이어 4 주소 기반 맞춤형 애플리케이션을 구성하려면 IP 주소 및 포트 범위를 대상 IP 주소 및 포트와 일치시켜야 합니다. IP 주소와 포트가 모두 구성된 경우, 두 기준 모두 패킷의 대상 IP 주소 및 포트 범위와 일치해야 합니다.

    알려진 포트 5060에서 세션을 시작하는 SIP(Session Initiation Protocol) 서버를 고려합니다. 이 IP 주소 및 포트의 모든 트래픽은 SIP 애플리케이션에 의해서만 생성되므로 애플리케이션 식별을 위해 SIP 애플리케이션을 서버의 IP 주소 및 포트 5060에 매핑할 수 있습니다. 이러한 방식으로 이 IP 주소 및 포트를 가진 모든 트래픽은 SIP 애플리케이션 트래픽으로 식별됩니다.

  • 주소 기반 애플리케이션과 TCP/UDP 스트림 기반 애플리케이션을 구성하는 경우 세션이 두 애플리케이션과 모두 일치하는 경우 TCP/UDP 스트림 기반 애플리케이션은 애플리케이션으로 보고되고 주소 기반 애플리케이션은 확장 애플리케이션으로 보고됩니다.

주의:

적절한 보안을 보장하려면 개인 네트워크 구성에서 신뢰할 수 있는 서버와 주고받는 응용 프로그램 트래픽을 예측할 때 주소 매핑을 사용합니다. 주소 매핑은 알려진 애플리케이션의 트래픽을 효율적이고 정확하게 처리할 수 있게 해줍니다.

IP 프로토콜 기반 매핑

  • 표준 IP 프로토콜 번호는 애플리케이션을 IP 트래픽에 매핑합니다. 주소 매핑과 마찬가지로 적절한 보안을 보장하려면 신뢰할 수 있는 서버의 개인 네트워크에서만 IP 프로토콜 매핑을 사용합니다.

  • 침입 탐지 및 방지(IDP)는 TCP 또는 UDP 트래픽에서만 작동합니다. 따라서 IP 프로토콜 매핑은 침입 탐지 및 방지(IDP)에 적용되지 않으며 사용자 지정 공격과 같은 침입 탐지 및 방지(IDP) 기능을 지원할 수 없습니다.

IP 프로토콜 기반 사용자 지정 애플리케이션 서명이 19.2 Junos OS 릴리스 19.4의 Junos OS 릴리스에서 예상대로 작동하지 않습니다. 이후 릴리스에서는 IP 프로토콜 기반 사용자 지정 애플리케이션 서명을 사용할 수 있습니다.

제안된 해결 방법:

  • 통합 정책을 구성하는 경우 서비스 기반 응용 프로그램 구성을 사용합니다. 본보기:

    본보기:

  • 레거시 애플리케이션 방화벽을 사용하는 경우 사전 정의된 IP 프로토콜 애플리케이션을 사용합니다. 본보기

    본보기:

레이어 7 기반 및 TCP/UDP 스트림 기반 서명

  • 레이어 7 사용자 지정 서명은 TCP 또는 UDP 또는 레이어 7 애플리케이션을 통해 실행되는 애플리케이션을 정의합니다.

  • 동일한 레이어 7 프로토콜에서 실행되는 여러 애플리케이션을 식별하려면 레이어 7 기반 사용자 지정 애플리케이션 시그니처가 필요합니다. 예를 들어 Facebook 및 Yahoo Messenger와 같은 애플리케이션은 모두 HTTP를 통해 실행할 수 있지만 동일한 계층 7 프로토콜에서 실행되는 두 개의 서로 다른 애플리케이션으로 식별해야 합니다.

  • 레이어 7 기반 사용자 지정 애플리케이션 시그니처는 HTTP 컨텍스트의 패턴을 기반으로 애플리케이션을 감지합니다. 그러나 일부 HTTP 세션은 SSL로 암호화됩니다. 애플리케이션 ID는 TLS 또는 SSL 세션에서 서버 이름 정보 또는 서버 인증을 추출할 수도 있습니다. 또한 레이어 7 애플리케이션에서 TCP 또는 UDP 페이로드의 패턴을 감지할 수 있습니다.

사용자 지정 애플리케이션 시그니처 사용의 이점

  • 특정 애플리케이션을 기반으로 네트워킹 환경에 고유한 보안 정책을 적용합니다

  • 알 수 없거나 분류되지 않은 애플리케이션에 대한 가시성 제공

  • 레이어 7 및 전환 또는 임시 애플리케이션을 통해 애플리케이션을 식별하고, 알려진 애플리케이션을 더욱 세분화할 수 있습니다

  • 특정 애플리케이션에 대한 QoS(quality-of-service) 수행

제한

다음과 같은 기능은 지원되지 않습니다.

  • 일부 PCRE 기반 표현식 및 유니코드 기반 문자(Hyperscan에서 지원되지 않는 경우)

  • 레이어 7 기반 서명에서 구성원 간의 순서 적용

  • 주소 기반 서명(레이어 3 및 레이어 4)의 와일드카드 주소

사용자 지정 응용 프로그램 서명을 위한 추가 구성 옵션

Junos OS 릴리스 20.1R1부터 애플리케이션 시그니처 패키지 버전 3248 이상을 사용하는 경우 사용자 지정 애플리케이션 서명에 대해 다음 옵션을 구성할 수 있습니다.

사용자 지정 애플리케이션 패턴 깊이

AppID에 대한 바이트 제한을 지정하여 TCP 또는 UDP 또는 계층 7 응용 프로그램을 통해 실행되는 응용 프로그램에 대한 사용자 지정 응용 프로그램 패턴을 식별할 수 있습니다.

제한을 구성하려면 계층에서 다음 구성 문을 사용합니다.[edit]

본보기:

레이어 7 사용자 지정 애플리케이션의 경우, 깊이는 레이어 7 컨텍스트의 시작부터 고려됩니다. TCP/UDP 스트림 기반 사용자 지정 애플리케이션의 경우 TCP/UDP 페이로드의 시작 부분부터 깊이가 고려됩니다.

Custom Applications Inspection Byte Limit(사용자 지정 애플리케이션 검사 바이트 제한)

AppID에 대한 검사 바이트 제한을 설정하여 분류를 완료하고 세션에서 사용자 지정 애플리케이션을 식별할 수 있습니다. 제한을 초과하면 AppID가 애플리케이션 분류를 종료합니다. 이 옵션을 사용하여 애플리케이션 트래픽 처리량을 향상시킬 수 있습니다.

애플리케이션 바이트 제한을 구성하려면 [edit] 계층에서 다음 구성 문을 사용합니다.

본보기:

미리 정의된 애플리케이션에 대해 사용자 지정 애플리케이션 서명을 구성하고 AppID가 미리 정의된 애플리케이션을 이미 식별한 경우 DPI는 사용자 지정 서명 식별을 계속합니다. 사용자 지정 서명 식별이 진행 중인 동안 분류는 비최종으로 표시됩니다. 사용자 지정 애플리케이션 바이트 제한 내에서 사용자 지정 애플리케이션이 식별되지 않고 미리 정의된 애플리케이션이 이미 식별된 경우 AppID는 미리 정의된 애플리케이션을 최종으로 종료하고 세션을 오프로드합니다.

사용자 지정 응용 프로그램에 대한 우선 순위

Junos OS 20.1R1 이전 릴리스에서는 사용자 지정 애플리케이션 서명의 기본 우선 순위가 높았기 때문에 사용자 지정 서명이 사전 정의된 애플리케이션보다 우선할 수 있었습니다. 이제 사용자 지정 응용 프로그램 서명의 기본 우선 순위는 낮습니다.

AppID는 미리 정의된 애플리케이션을 식별하기 전에 우선 순위가 낮은 사용자 지정 애플리케이션을 식별하는 경우 미리 정의된 애플리케이션 분류가 최종적일 때까지 기다립니다. 미리 정의된 애플리케이션 일치 항목이 없고 사용자 지정 애플리케이션이 식별되면 AppID는 식별된 사용자 지정 애플리케이션으로 분류를 종료합니다.

사용자 지정 응용 프로그램 서명으로 미리 정의된 응용 프로그램 우선 순위를 재정의하려면 사용자 지정 응용 프로그램 서명에 대해 우선 순위를 높음으로 명시적으로 설정해야 합니다.

사용자 지정 애플리케이션에 대해 높은 우선 순위를 구성하려면 [edit] 계층에서 다음 구성 문을 사용합니다.

본보기:

사용자 지정 응용 프로그램의 우선 순위에 대한 다음 사항에 유의하세요.

  • 이전 행동 :

    • 사용자 지정 응용 프로그램의 기본 우선 순위는 높음입니다.

    • 애플리케이션의 우선 순위는 동일한 패킷에서 여러 애플리케이션이 일치할 때 고려됩니다.

    • 사용자 지정 응용 프로그램에 대해 높은 우선 순위를 구성할 때—사용자 지정 응용 프로그램은 항상 사전 정의된 응용 프로그램보다 높은 우선 순위를 갖습니다.

      사용자 지정 애플리케이션에 대해 낮은 우선 순위를 구성하는 경우—사용자 지정 애플리케이션은 유사한 패턴 기반 사전 정의된 서명보다 우선 순위가 낮고 다른 응용 프로그램보다 우선 순위가 높습니다. 이러한 릴리스에서는 동작을 변경하는 데 사용할 수 있는 옵션이 없습니다.

  • 변경된 동작 (최근 릴리스에서) :

    • 사용자 지정 응용 프로그램의 기본 우선 순위는 낮습니다.

    • 우선 순위는 동일한 패킷의 일치 항목에 의존하지 않습니다.

    • 레이어 7 및 TCP/UDP 스트림 기반 사용자 지정 애플리케이션의 우선 순위는 모든 사전 정의된 애플리케이션에서 구성된 대로(높음 또는 낮음) 작동합니다.

    • 레이어 3 및 레이어 4 기반 맞춤형 애플리케이션은 항상 높은 우선 순위를 유지합니다. 이 경우, 구성된 우선 순위는 무시됩니다. 레이어 3 및 레이어 4 기반 사용자 지정 애플리케이션은 사전 정의된 모든 애플리케이션을 재정의합니다. 이러한 응용 프로그램은 세션의 첫 번째 패킷에서 트리거되기 때문입니다.

주체 대체 이름

SSL 서명에 SAN(주체 대체 이름) 인증서 속성을 사용하여 AppID 사용자 지정 서명을 생성할 수 있습니다. SAN 특성이 있는 SSL 인증서를 사용하면 단일 인증서에 여러 호스트 이름 또는 IP 주소를 지정할 수 있습니다. 이러한 향상된 기능을 통해 사용자 지정 애플리케이션 서명은 SSL 인증서의 SAN 필드에 나열된 애플리케이션의 호스트 이름을 기반으로 애플리케이션을 감지할 수 있습니다.

[edit services application-identification application name over SSL signature name member name context] 계층에서 옵션을 사용하여 SAN을 ssl-subject-alt-name 구성할 수 있습니다.

예: Junos OS 애플리케이션 식별 구성 사용자 지정 애플리케이션 시그니처

이 예에서는 Junos OS 애플리케이션 식별을 위한 사용자 지정 애플리케이션 시그니처를 구성하는 방법을 보여 줍니다.

주의:

고급 Junos OS 사용자만 애플리케이션 시그니처 사용자 지정을 시도하는 것이 좋습니다.

시작하기 전에:

  • SRX 시리즈 방화벽에 유효한 애플리케이션 식별 기능 라이선스를 설치합니다. Junos OS 라이선스 관리를 참조하십시오

  • 이 구성 예는 Junos OS 릴리스 20.1R1을 사용하여 테스트되었습니다.

  • 응용 프로그램 서명 패키지가 있는 보안 장치가 설치되어 있는지 확인합니다. Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치를 참조하십시오.

  • 향상된 사용자 지정 응용 프로그램 서명을 사용하려면 최신 응용 프로그램 서명 패키지 버전 3284 이상을 업그레이드하십시오. 다음 명령을 사용하여 애플리케이션 서명 버전을 확인합니다.

주의:

고급 Junos OS 사용자만 애플리케이션 시그니처 사용자 지정을 시도하는 것이 좋습니다.

개요

애플리케이션 식별은 맞춤형 애플리케이션 시그니처를 지원하여 디바이스가 디바이스를 통과할 때 애플리케이션을 감지합니다. 사용자 지정 서명을 구성할 때는 서명이 고유한지 확인합니다.

다음 단계를 사용하여 사용자 지정 애플리케이션 서명을 구성합니다.

  1. 보안 디바이스가 애플리케이션 트래픽과 일치하도록 컨텍스트, 패턴, 방향, 포트 범위 등의 속성을 정의합니다.

  2. 검사 한계, 패턴 깊이, 우선순위(옵션 구성)를 구성하여 맞춤형 애플리케이션 애플리케이션 식별 프로세스를 개선합니다.

  3. 애플리케이션 트래픽을 허용하거나 거부하는 보안 정책에 사용자 지정 애플리케이션을 연결합니다.

  4. show services application-identification group 명령을 사용하여 show services application-identification application 응용 프로그램 서명 및 응용 프로그램 서명 그룹을 봅니다.

사용자 지정 응용 프로그램 구성의 예

절차

단계별 절차

  • 맞춤형 응용 프로그램에 대한 검사 한계를 설정합니다.

  • 사용자 지정 응용 프로그램에 대한 우선 순위를 설정합니다.

  • TCP 스트림 기반 사용자 지정 서명 구성:

  • FTP 컨텍스트 기반 사용자 지정 서명 구성:

  • HTTP 컨텍스트 기반 사용자 지정 서명을 구성합니다.

  • SSL 컨텍스트 기반 사용자 지정 서명 구성:

    SSL 컨텍스트 기반 사용자 지정 서명은 ssl-version 애플리케이션 서명 패키지 버전 3796 이상에서 더 이상 사용되지 않습니다. ssl-protocol-version 옵션을 사용합니다. 보안 디바이스에 설치된 애플리케이션 시그니처 패키지 버전을 확인하려면 서비스 애플리케이션 식별 버전 표시를 참조하십시오.

    ssl-protocol-version에 대한 패턴 옵션을 지정하려면 다음 값을 사용하십시오.

    • SSLv2(0x0002) : 2
    • SSLv3(0x0300) : 768
    • TLS 1.0(0x0301) : 769
    • TLS 1.1(0x0302) : 770
    • TLS 1.2(0x0303) : 771
    • TLS 1.3(0x0304) : 772
    • TLS 1.4(0x0305) : 773

  • ICMP 기반 사용자 지정 애플리케이션 시그니처 구성:

  • 레이어 3 또는 레이어 4 주소 기반 맞춤형 애플리케이션 시그니처 구성:

    메모:

    주소 기반 사용자 지정 애플리케이션 서명을 구성하려면 적절한 포트 범위와 지정된 IP 주소를 제공해야 합니다.

  • IP 프로토콜 매핑 기반 사용자 지정 애플리케이션 시그니처를 구성합니다.

  • 일치 기준으로 사용자 지정 애플리케이션을 사용하여 보안 정책을 생성합니다.

    이 예제에서는 my_custom_http를 사용합니다. 마찬가지로, 다른 보안 정책을 생성하고 요구 사항에 따라 동적 애플리케이션에 대한 일치 조건으로 my_custom_ftp, my_custom_tcp, my_custom_ssl, my_custom_address, my_custom_icmp my_custom_ip_proto 등의 다른 사용자 지정 애플리케이션을 지정할 수 있습니다.

  • 응용 프로그램 추적을 활성화합니다.

결과

구성 모드에서 명령을 입력하여 show services application-identification 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

사용자 지정 응용 프로그램 정의 확인

목적

장치에 구성된 사용자 지정 응용 프로그램 서명을 표시합니다. 사전 정의된 애플리케이션 시그니처 이름에는 접두사 "junos:"가 사용됩니다.

행동

구성 모드에서 명령을 입력합니다 show services application-identification application detail name .

의미

명령의 출력에는 사용자 지정 애플리케이션 이름, 유형, 설명, ID 및 우선 순위가 표시됩니다.

서비스 응용 프로그램 식별 응용 프로그램 표시를 참조하십시오.

참조

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
23.4
Junos OS 릴리스 23.4R1부터는 SSL 서명에 SAN(주체 대체 이름) 인증서 속성을 사용하여 AppID 사용자 지정 서명을 생성할 수 있습니다.
20.1R1 시리즈
Junos OS 릴리스 20.1R1부터 주니퍼는 새로운 애플리케이션 및 컨텍스트 세트를 제공하여 사용자 지정 애플리케이션 시그니처 기능을 향상했습니다.
20.1R1 시리즈
Junos OS 릴리스 20.1R1부터는 IP 프로토콜 기반 사용자 지정 애플리케이션 서명을 사용할 수 있습니다.
20.1R1 시리즈
Junos OS 릴리스 20.1R1부터 사용자 지정 애플리케이션 서명의 기본 우선 순위는 낮습니다. 이전 릴리스에서는 사용자 지정 응용 프로그램 서명의 기본 우선 순위가 높았습니다.