Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서는
 

애플리케이션 식별

애플리케이션 식별을 사용하면 네트워크에서 애플리케이션을 보고 작동 방식, 동작 특성 및 상대적 위험을 알 수 있습니다. App ID는 여러 가지 서로 다른 신원 확인 메커니즘을 사용하여 사용되는 포트, 프로토콜 및 기타 우회 전술에 관계없이 네트워크의 애플리케이션을 탐지합니다. 자세한 내용은 다음 항목을 참조하십시오.

애플리케이션 식별 기법 이해

지금까지 방화벽은 정책을 적용하는 방법으로 IP 주소와 포트 번호를 사용했습니다. 이러한 전략은 사용자가 고정 위치에서 네트워크에 연결하고 특정 포트 번호를 사용하여 특정 리소스에 액세스하는 가정을 기반으로 합니다.

오늘날 무선 네트워킹과 모바일 장치는 서로 다른 전략을 필요로 합니다. 디바이스가 네트워크에 연결하는 방식은 빠르게 변화합니다. 개인은 여러 대의 장치를 동시에 사용하여 네트워크에 연결할 수 있습니다. 정적으로 할당된 IP 주소 및 포트 번호 그룹을 통해 사용자, 애플리케이션 또는 장치를 식별하는 것은 더 이상 실용적이지 않습니다.

이 주제에는 다음 섹션이 포함되어 있습니다.

Junos OS 애플리케이션 식별

차세대 애플리케이션 식별 기능은 레거시 애플리케이션 식별 기능을 토대로 구축되어 Skype, BitTorrent, Tor와 같은 유회 애플리케이션을 보다 효과적으로 탐지할 수 있는 기능을 제공합니다.

Junos OS 인식할 수 있는 애플리케이션은 포트 번호가 다른 특성을 사용하여 서로 다른 네트워크 계층에서 웹 기반 및 기타 애플리케이션 및 프로토콜을 인식합니다. 애플리케이션 시그니처 및 구문 분석 정보가 포함된 프로토콜 번들을 사용하여 애플리케이션을 식별합니다. 이 신원 확인은 프로토콜 구문 분석 및 디코딩 및 세션 관리를 기반으로 합니다.

탐지 메커니즘에는 애플리케이션을 식별하기 위한 자체 데이터 피드 및 구조가 있습니다.

애플리케이션 식별에 지원되는 기능은 다음과 같습니다.

  • 비디오 스트리밍, Peer-to-Peer 통신, 소셜 네트워킹, 메시징을 비롯한 프로토콜 및 애플리케이션 지원

  • 애플리케이션 내 서비스 확인

  • 애플리케이션 내에서 실행되는 조치를 구분할 수 있는 기능(로그인, 탐색, 채팅, 파일 전송 등)

  • 모든 버전의 프로토콜 및 애플리케이션 디코더 및 디코더의 동적 업데이트 지원

  • 암호화되고 압축된 트래픽 및 가장 복잡한 터널링 프로토콜 지원

  • Layer 3에서 Layer 7까지의 모든 프로토콜을 식별할 수 있는 능력

애플리케이션 식별의 이점

  • 비디오 스트리밍, Peer-to-Peer 통신, 소셜 네트워킹, 메시징을 비롯한 애플리케이션에 대한 세부적인 제어를 제공합니다. 또한 애플리케이션 내의 서비스, 포트 사용량, 지원 기술 및 동작 특성을 식별합니다. 이러한 가시성을 통해 SRX 시리즈 방화벽에서 인라인으로 침입하는 애플리케이션을 차단할 수 있습니다.

  • 우회 기법을 사용하여 식별을 회피하는 것으로 알려진 애플리케이션을 비롯해 포트나 프로토콜에 관계없이 애플리케이션을 식별하고 애플리케이션을 허용, 차단 또는 제한합니다. 이러한 신원 확인을 통해 기업들은 네트워크 진입 및 출구를 허용하는 트래픽 유형을 제어할 수 있습니다.

애플리케이션 시그니처 매핑

애플리케이션 시그니처 매핑은 네트워크에서 트래픽을 발행한 애플리케이션을 식별하는 정밀한 방법입니다. 서명 매핑은 Layer 7에서 작동하며 페이로드의 실제 컨텐츠를 검사합니다.

애플리케이션은 다운로드 가능한 프로토콜 번들을 사용하여 식별됩니다. 처음 몇 개의 패킷에 대한 애플리케이션 시그니처 및 구문 분석 정보를 데이터베이스 컨텐트와 비교합니다. 페이로드에 데이터베이스 엔트리와 동일한 정보가 포함되어 있는 경우 트래픽 애플리케이션은 해당 데이터베이스 엔트리에 매핑된 애플리케이션으로 식별됩니다.

주니퍼 네트웍스 FTP 및 DNS와 같은 포괄적인 알려진 애플리케이션 세트에 대한 엔트리가 포함된 사전 정의된 애플리케이션 식별 데이터베이스와 HTTP 프로토콜(예: Facebook, Kazaa 및 많은 인스턴트 메시징 프로그램)을 통해 작동하는 애플리케이션을 제공합니다. 서명 구독을 사용하면 새로운 사전 정의한 서명이 추가될 때 주니퍼 네트웍스 다운로드하고 정기적으로 컨텐트 업데이트를 할 수 있습니다.

애플리케이션 식별 일치 순서

그림 1 은 매핑 기법이 적용되는 순서와 애플리케이션이 어떻게 결정되는지 보여줍니다.

그림 1: 매핑 시퀀스 Mapping Sequence

애플리케이션 식별에서 플로우의 모든 패킷은 애플리케이션이 식별될 때까지 처리를 위해 애플리케이션 식별 엔진을 통과합니다. 애플리케이션 바인딩은 향후 신원 확인 프로세스를 위해 ASC(Application System Cache)에 저장됩니다.

애플리케이션 시그니처는 처음 몇 개의 세션 패킷에서 프로토콜 문법 분석을 기반으로 애플리케이션을 식별합니다. 애플리케이션 식별 엔진이 아직 애플리케이션을 식별하지 못하면 패킷을 통과하고 더 많은 데이터를 기다릴 수 있습니다.

애플리케이션 식별 모듈은 클라이언트-서버 및 서버-클라이언트 세션 모두에 대한 애플리케이션을 일치합니다.

애플리케이션이 결정되면 AppSecure 애플리케이션 ID를 기반으로 트래픽을 추적, 우선 순위화, 액세스 제어, 감지 및 방지할 수 있도록 트래픽을 모니터링하고 제어하도록 서비스 모듈을 구성할 수 있습니다.

  • AppTrack(Application Tracking) — 디바이스를 통과하는 애플리케이션을 추적하고 보고합니다.

  • 침입 탐지 및 방지(침입 탐지 및 방지(IDP))— 비스탠드 포트에서 실행되는 애플리케이션에 적절한 공격 객체를 적용합니다. 애플리케이션 식별은 디코더 침입 탐지 및 방지(IDP) 없이 애플리케이션에 대한 공격 시그니처의 범위를 좁혀 애플리케이션 성능을 향상합니다.

  • AppFW(Application Firewall) — 애플리케이션 기반 규칙을 사용하여 애플리케이션 방화벽을 구현합니다.

  • AppQoS(Application Quality of Service) — 애플리케이션 인식 에 기반한 서비스 품질 우선 순위를 제공합니다.

  • 고급 정책 기반 라우팅(APBR) — 애플리케이션을 기준으로 세션을 분류하고 트래픽을 재라우트하기 위해 구성된 규칙을 적용합니다.

  • AppQoE(Application Quality of Experience) — 애플리케이션 성능을 모니터링하고 점수를 기반으로 해당 애플리케이션 트래픽에 가장 적합한 링크를 선택합니다.

다음 참조

애플리케이션 Junos OS 데이터베이스 이해

사전 정의한 서명 데이터베이스는 보안 엔지니어링 웹 사이트 주니퍼 네트웍스 사용할 수 있습니다. 이 데이터베이스에는 애플리케이션 시그니처 라이브러리가 포함되어 있습니다. 자세한 내용은 애플리케이션 서명 을 참조하십시오. 이러한 서명 페이지는 애플리케이션 범주, 그룹, 위험 수준, 포트에 대한 가시성을 제공합니다.

사전 정의된 서명 패키지는 알려진 애플리케이션 시그니처에 대한 신원 확인 기준을 제공하며 주기적으로 업데이트됩니다.

새로운 애플리케이션이 추가될 때마다 모든 관련 플랫폼에 대해 프로토콜 번들이 업데이트 및 생성됩니다. 다른 애플리케이션 서명 파일과 함께 패키지로 제공됩니다. 이 패키지는 보안 다운로드 웹 사이트 를 통해 다운로드할 수 있습니다.

구독 서비스를 사용하면 사용자가 직접 사용할 엔트리를 생성하지 않고도 최신 범위에 대한 최신 시그니처를 정기적으로 다운로드할 수 있습니다.

애플리케이션 식별은 기본적으로 활성화되며, 애플리케이션(침입 탐지 및 방지), AppFW침입 탐지 및 방지(IDP) AppQoS 또는 AppTrack을 구성하면 자동으로 켜집니다.

참고:

사전 Junos OS 애플리케이션 서명 패키지에 대한 업데이트는 별도로 라이선스가 부여된 구독 서비스를 통해 승인됩니다. 애플리케이션 식별 애플리케이션 시그니처 업데이트 라이선스 키를 장비에 설치하여 디바이스에서 제공하는 서명 데이터베이스 업데이트를 다운로드하고 설치해야 주니퍼 네트웍스. 라이선스 키가 만료되면 로컬에 저장된 애플리케이션 서명 패키지 컨텐츠를 계속 사용할 수 있지만 패키지를 업데이트할 수는 없습니다.

다음 참조

애플리케이션 식별을 위한 Junos OS 및 재가동

애플리케이션 식별은 기본적으로 활성화됩니다. 이 애플리케이션을 사용하여 애플리케이션 식별을 CLI.

애플리케이션 식별을 비활성화하는 경우:

애플리케이션 식별을 다시 설정하려면 애플리케이션 식별을 사용할 수 없는 것을 지정하는 구성 명령문을 삭제하십시오.

디바이스 구성을 완료한 경우 구성을 커밋합니다.

구성을 확인하려면 명령을 입력 show services application-identification 합니다.

다음 참조

애플리케이션 시스템 캐시 이해

ASC(Application System Cache)는 애플리케이션 유형과 해당 대상 IP 주소, 대상 포트, 프로토콜 유형 및 서비스 간의 매핑을 저장합니다. 애플리케이션이 식별되면 해당 정보가 ASC에 저장되므로 일치되는 항목만 특정 시스템에서 실행되는 애플리케이션을 식별하기 때문에 신원 확인 프로세스를 더 쉽게 진행할 수 있습니다.

기본적으로 ASC는 3600초 동안 매핑 정보를 저장합니다. 그러나 이 메모리를 사용하여 캐시 타임아웃 값을 CLI.

이 명령을 [edit services application-identification application-system-cache-timeout] 사용하여 애플리케이션 시스템 캐시 엔트리에 대한 타임아웃 값을 변경할 수 있습니다. 타임아웃 값은 0에서 1,000,000초까지 구성할 수 있습니다. ASC 세션은 1000,000초 후에 만료될 수 있습니다.

구성된 ASC 타임아웃 후에 ASC 엔트리가 만료됩니다. 타임아웃 기간 동안 캐시 히트(발견된 ASC의 일치 항목)가 있는 경우에도 ASC 엔트리가 갱신되지 않습니다.

참고:

새 사용자 지정 애플리케이션 시그니처를 구성하거나 기존 사용자 지정 서명을 수정할 경우 사전 정의 및 사용자 지정 애플리케이션에 대한 모든 기존 애플리케이션 시스템 캐시 엔트리가 지워 지게 됩니다.

참고:

사용자 지정 애플리케이션 서명을 삭제하거나 비활성화하면 구성 커밋에 실패하면 ASC(Application System Cache) 엔트리가 완전히 지워지지 않습니다. 대신 맞춤형 애플리케이션 경로의 기본 애플리케이션은 ASC에서 보고됩니다.

다음 참조

애플리케이션 서비스를 위한 애플리케이션 시스템 캐시 활성화 또는 비가동

릴리스 Junos OS 릴리스 18.2R1 ASC의 기본 동작은 다음과 같이 변경됩니다.

  • 릴리스 Junos OS 18.2R1—ASC는 보안 서비스를 포함한 모든 서비스에 대해 기본적으로 활성화됩니다.

  • 릴리스 Junos OS 릴리스 18.2R1—ASC는 기본적으로 활성화됩니다. 보안 서비스 룩업의 차이점은 다음과 같습니다.

    • 보안 서비스에 대한 ASC 룩업은 기본적으로 활성화되지 않습니다. 즉, 보안 정책, AppFW(Application Firewall), AppTrack(Application Tracking), AppQoS(Application 서비스 품질), Juniper Sky ATP, 침입 탐지 및 방지(IDP) 및 UTM(Unified Threat Management) ASC를 기본적으로 사용하지 않습니다.

    • 기타 서비스에 대한 ASC 룩업은 기본적으로 활성화됩니다. 즉, 고급 정책 기반 라우팅(APBR)을 비롯한 기타 서비스는 기본적으로 애플리케이션 식별을 위해 ASC를 이용합니다.

참고:

ASC의 기본 동작의 변경은 레거시 AppFW 기능에 영향을 미치게 됩니다. Release 18.2 이후의 보안 서비스에 대해 기본적으로 ASC가 비활성화된 경우 Junos OS, AppFW는 ASC에 제시된 엔트리를 사용하지 않습니다.

이 명령어를 사용하면 릴리즈 18.Junos OS 릴리스에서와 같은 ASC 동작으로 되버릴 수 set services application-identification application-system-cache security-services 있습니다.
주의:

보안 서비스를 위해 ASC를 사용할 경우 보안 장비는 애플리케이션 공격에 대한 위협을 가할 수 있습니다. 기본 구성의 디바이스 성능(보안 서비스에서 비활성화)이 특정 사용 사례에 충분하지 않은 경우 ASC를 활성화하는 것이 좋습니다.

ASC를 활성화 또는 비활성화하려면 다음 명령을 사용할 수 있습니다.

  • 보안 서비스를 위한 ASC 지원:

  • 기타 서비스를 위해 ASC 비활성화:

  • 보안 서비스를 위해 활성화된 ASC 비활성화:

  • 기타 서비스에 대해 비활성화된 ASC를 활성화합니다.

이 명령을 사용하여 show services application-identification application-system-cache ASC의 상태를 확인할 수 있습니다.

다음 샘플 출력은 ASC의 상태를 제공합니다.

Release Junos OS 릴리스 18.2R1 릴리스에서는 애플리케이션 캐싱을 기본적으로 사용할 수 있습니다. 명령어를 사용하여 수동으로 비활성화할 수 set services application-identification no-application-system-cache 있습니다.

다음 참조

애플리케이션 시스템 캐시 통계 검증

목적

ASC(Application System Cache) 통계를 검증합니다.

참고:

애플리케이션 시스템 캐시는 애플리케이션 식별 애플리케이션을 위한 캐시를 표시합니다.

작업

운영 CLI 모드에서 명령어를 입력 show services application-identification application-system-cache 합니다.

샘플 출력

명령 이름

의미

출력은 ASC 통계 정보의 요약을 보여줍니다. 다음 정보를 검증합니다.

  • IP 주소—대상 주소를 표시

  • 포트—서버의 대상 포트를 표시

  • 프로토콜—대상 포트에 프로토콜 유형을 표시합니다.

  • 애플리케이션—대상 포트에서 식별된 애플리케이션의 이름을 표시합니다.

참고:

디바이스SRX300, SRX320, SRX340, SRX345, SRX550M 및 SRX1500 디바이스의 경우 많은 ASC 엔트리(10,000 show services application-identification application-system-cache개 이상)가 있으며 엔트리가 명령의 출력에 나열될 경우 세션 타임아웃이 CLI 발생합니다.

다음 참조

받은 편지함 애플리케이션 식별 통계

애플리케이션 식별 서비스는 세션당 통계 정보를 제공합니다. 이러한 통계는 고객에게 애플리케이션 사용 프로필을 제공합니다. 받은 편지함 애플리케이션 식별 통계 기능은 애플리케이션 수준 통계를 애플리케이션 AppSecure 추가합니다. 애플리케이션 통계는 관리자가 사용자 정의 간격 동안 누적된 통계뿐만 아니라 누적된 통계에 액세스할 수 있도록 합니다.

이 기능을 통해 관리자는 통계를 지우고 간격 값을 구성하는 동시에 Bytes 및 세션 수 통계를 유지할 수 있습니다. 통계 수가 세션 종료 이벤트 시간에서 발생하기 때문에 세션이 종료될 때까지 Byte 및 세션 카운트는 업데이트되지 않습니다. 주니퍼 네트웍스 보안 장비는 관리자가 애플리케이션 세션과 백트 카운트를 표시하는 데 사용할 수 있는 8개의 간격을 지원합니다. 먼저 Junos OS 18.3R1 디바이스는 애플리케이션 세션과 Junos OS 18.3R1 수를 표시하는 한 간격의 역사를 지원합니다.

애플리케이션 그룹화가 네트워크 구성에서 지원되는 Junos OS 받은 받은 편지함 애플리케이션 식별 통계 기능은 그룹당 매칭 통계를 지원함 통계는 사전 정의한 그룹에만 유지 관리됩니다.

애플리케이션 서명 패키지를 다시 설치하면 애플리케이션 통계가 지워지지 않습니다. 애플리케이션이 비활성화된 경우 해당 애플리케이션에 대한 트래픽은 없지만 애플리케이션은 여전히 통계에 유지 관리됩니다. 애플리케이션은 애플리케이션 유형에 따라 추적하기 때문에 미리 정의한 애플리케이션을 재설치하는 경우 문제가 되지 않습니다. 사전 정의 그룹 통계의 경우 보안 패키지를 다시 설치하면 통계가 지워지지 않습니다. 그러나 그룹 멤버십에 대한 변경은 업데이트됩니다. 예를 들어 junos:web은 현재 릴리스에서 50개 애플리케이션과 업그레이드 후 60개 애플리케이션을 지원할 수 있습니다. 삭제된 애플리케이션과 이름을 수정한 애플리케이션 그룹은 추가된 애플리케이션과 동일한 방식으로 처리됩니다.

Application Identification 모듈은 각 SPU(Services Processing Unit)의 각 애플리케이션에 대해 64비트 세션 카운터를 유지 관리합니다. 세션이 특정 애플리케이션으로 식별되면 카운터는 증분됩니다. 또 다른 64비트 카운터 세트는 SPU의 애플리케이션당 총 바이트 수를 집계합니다. 미지정 애플리케이션에 대한 카운터도 유지 관리됩니다. 세션 및 bytes에 대한 여러 SPUS의 통계는 데이터 플래너에서 집계되어 라우팅 엔진 사용자에게 표시됩니다.

개별 SP SP는 시간당 통계를 롤아웃할 간격 시간(interval time)을 가 interval 집니다. 통계 수집의 간격을 구성하기 위해 명령어를 set services application-identification statistics interval time 사용하여 필요한 간격을 라우팅 엔진 쿼리할 때마다 해당 통계는 각 SPU에서 페치되어 해당 라우팅 엔진 사용자에게 표시됩니다.

clear services application-identification statistics 사용하여 누적, 간격, 애플리케이션 및 애플리케이션 그룹과 같은 모든 애플리케이션 통계를 지우기.

명령어를 clear services application-identification counter 사용하여 카운터를 수동으로 리셋하십시오. 장비 업그레이드 또는 재부팅, 플로우 재시작 또는 간격 타임러에 변경이 있는 경우 자동으로 카운터 리셋

set services application-identification application-system-cache-timeout value 사용하여 애플리케이션 시스템 캐시 엔트리에 대한 타임아웃 값을 몇 초 만에 지정합니다.

모든 SRX 시리즈 장치에서 Junos OS Release 15.1X49-D120 애플리케이션 식별 통계 수집에 소요되는 기본 시간 간격이 1분에서 1440분으로 변경됩니다.

IMAP 캐시 크기 구성

IMAP(Internet Message Access Protocol)는 e-메일 스토리지 및 검색 서비스를 위해 e-메일 클라이언트가 사용하는 인터넷 표준 프로토콜입니다. IMAP 캐시는 프로토콜 구문 분석 및 컨텍스트 생성에 사용됩니다. 이메일의 구문 분석 관련 정보를 저장합니다.

Junos OS Release 15.1X49-D120 IMAP 캐시의 최대 엔트리 개수를 제한하도록 구성하고 캐시의 엔트리에 대한 타임아웃 값을 지정할 수 있습니다.

다음 명령을 사용하여 IMAP 캐시에 대한 설정을 수정할 수 있습니다.

set services application-identification imap-cache imap-cache-size size

set services application-identification imap-cache imap-cache-timeout time in seconds

예제:

이 예에서 IMAP 캐시 크기는 50,000개 항목을 저장하도록 구성됩니다.

이 예제에서 타임아웃 기간은 캐시 엔트리가 IMAP 캐시에 유지되는 600초로 구성됩니다.

다음 참조

Jumbo Frames 이해 애플리케이션 식별 Junos OS 지원

애플리케이션 식별은 더 큰 9192비트의 더 큰 Jumbo 프레임 크기를 받습니다. 기본적으로 Jumbo 프레임이 활성화되어 있는 반면, [] 명령어를 최대 전송 단위(최대 전송 단위(MTU)) 크기를 조정할set interfaces 수 있습니다. 점보 프레임을 처리하면서 CPU 오버헤드를 줄일 수 있습니다.

다음 참조

애플리케이션 식별 검사 제한

2018년 Junos OS 릴리스에서 15.1X49-D200 19.4R1 확인 검사 제한을 구성할 수 있는 유연성을 확고하게 다투게 됩니다.

  • Inspection Limit for TCP and UDP Sessions

    UDP 또는 TCP 세션에서 AppID(Application Identification)에 대한 Byte Limit 및 패킷 제한을 설정할 수 있습니다. AppID는 구성된 검사 제한을 기준으로 분류를 끝마치고 있습니다. 제한을 초과하면 AppID는 애플리케이션 분류를 종료합니다.

    AppID가 구성된 제한 내에서 최종 분류를 결론지지 못하고 사전 일치된 애플리케이션을 사용할 수 있는 경우 AppID는 해당 애플리케이션을 사전 일치 애플리케이션으로 결론지습니다. 그렇지 않으면, 애플리케이션은 junos:UNKNOWN로 결론 지어 집니다. global AppID 캐시가 활성화된 경우 글로벌 AppID 캐시는 기본적으로 활성화됩니다.

    byte limit과 패킷 제한을 구성하려면 계층에서 다음 구성 명령문을 [edit] 사용하십시오.

    표 1 은 TCP 및 UDP 세션에 대한 패킷 제한과 Byte Limit 구성에 대한 범위와 기본 값을 제공합니다.

    표 1: TCP 및 UDP 세션에 대한 최대 Byte Limit 및 Packet Byte Limit

    세션

    제한

    범위

    기본 값

    TCP

    Byte 제한

    0~4294967295

    6000

    Junos OS Release 15.1X49-D200 기본값은 10000입니다.

    패킷 제한

    0~4294967295

    제로(Zero)

    UDP

    Byte 제한

    0~4294967295

    제로(Zero)

    패킷 제한

    0~4294967295

    10

    Junos OS Release 15.1X49-D200 기본값은 20입니다.

    BYTE 제한은 IP 헤더와 TCP/UDP 헤더 길이를 제외합니다.

    두 옵션 모두를 byte-limit packet-limit 설정하면 AppID는 두 제한에 도달할 때까지 세션을 검사합니다.

    해당 값과 값을 0으로 구성하여 TCP 또는 UDP 검사 byte-limit packet-limit 제한을 비활성화할 수 있습니다.

  • Global Offload Byte Limit (Other Sessions)

    AppID에 대한 byte 제한을 설정하여 분류를 종료하고 세션에서 애플리케이션을 식별할 수 있습니다. 제한을 초과할 경우, AppID는 애플리케이션 분류를 종료하고 다음과 같은 결정 중 하나를 실행합니다.

    • 사전 일치된 애플리케이션을 사용할 수 있는 경우, AppID는 다음과 같은 경우 애플리케이션 분류를 사전 일치 애플리케이션으로 분류합니다.

      • AppID가 구성된 byte 제한 내에서 최종 분류를 마무리하지 않는 경우

      • 일부 애플리케이션의 터널링 동작으로 인해 세션이 오프로드되지 않은 경우

    • 사전 일치된 애플리케이션을 사용할 수 없는 경우 AppID는 글로벌 AppID 캐시가 활성화되면 애플리케이션을 junos:UNKNOWN로 결론지습니다. 글로벌 AppID 캐시는 기본적으로 활성화됩니다. 애플리케이션 서비스를 위한 애플리케이션 시스템 캐시 활성화 또는 활성화를 참조합니다.

    byte 제한을 구성하려면 계층에서 다음 구성 명령문을 [edit] 사용하십시오.

    옵션의 기본값은 global-offload-byte-limit 10000입니다.

    값을 0으로 구성하여 글로벌 오프로드 byte 제한 global-offload-byte-limit 을 비활성화할 수 있습니다.

    BYTE 제한은 IP 헤더와 TCP/UDP 헤더 길이를 제외합니다.

성능 모드 옵션 활성화

릴리스 Junos OS 릴리스부터 15.1X49-D200 19.4R1 DPI set services application-identification enable-performance-mode max-packet-threshold value 성능 모드 옵션의 최대 패킷 임계값은 즉시 제거되는 대신 더 이상 사용되지 않습니다. 이를 통해 역호성 및 새로운 구성을 준수할 수 있는 기회를 제공합니다. 이 옵션은 DPI 성능 모드의 최대 패킷 임계값을 설정하는 데 사용되었습니다.

max-packet-threshold 구성에 Junos OS 15.1X49-D200 및 19.4R1 릴리스가 포함된 활성화된 성능 모드 옵션이 포함된 경우, AppID는 TCP 또는 UDP 검사 제한 또는 글로벌 오프로드 byte Limit에 구성된 최저 값에 도달하거나 DPI 성능 모드 옵션의 최대 패킷 임계값에 도달하는 애플리케이션 분류를 실행합니다.

CDN(Content Delivery Network)에서 호스팅되는 애플리케이션에 대한 애플리케이션 식별 지원

릴리스 Junos OS 릴리스 20.1R1 19.1R3(AppID)를 사용하여 AWS, Akamai, Azure, Fastly, Cloudflare 등 CDN(컨텐츠 전송 네트워크)에서 호스팅되는 웹 애플리케이션을 정확하게 분류할 수 있습니다. CDN 애플리케이션 분류를 지원하려면 다음 구성 명령문을 사용하여 

[edit] 
user@host# user@hots# set service application-identification enable-cdn-application-detection

구성을 적용할 때 AppID는 CDN에서 호스팅되는 실제 애플리케이션을 식별하고 분류합니다.

DPI에 대한 최대 메모리 제한

Junos OS Release 20.1R1 19.1R3 시작하여 다음 구성 명령문을 사용하여 심층 패킷 검사(DPI)에 대한 최대 메모리 제한을 구성할 수 있습니다.

1~20000MB를 메모리 값으로 설정할 수 있습니다.

JDPI 메모리 소모가 구성된 값의 90%에 도달하면 DPI는 새로운 세션의 처리를 중단합니다.

애플리케이션 트래픽의량 향상

클라이언트-서버 및 서버-클라이언트 방향을 포함한 2개의 패킷으로 기본 패킷 검사 제한을 적용하여 성능 모드에서 심층 패킷 검사(DPI)를 설정하여 애플리케이션 트래픽 처리량을 개선할 수 있습니다. 기본적으로 보안 장비에서는 성능 모드가 비활성화됩니다.

애플리케이션 트래픽 성능 향상:

  1. DPI 성능 모드를 활성화합니다.
  2. (옵션) 클라이언트-서버 및 서버-클라이언트 방향을 포함하여 DPI 성능 모드의 최대 패킷 임계값을 설정할 수 있습니다.

    패킷 검사 제한을 1에서 100으로 설정할 수 있습니다.

    릴리스 Junos OS 릴리스부터 15.1X49-D200 19.4R1 DPI set services application-identification enable-performance-mode max-packet-threshold value 성능 모드 옵션의 최대 패킷 임계값은 즉시 제거되는 대신 더 이상 사용되지 않습니다. 이를 통해 역호성 및 새로운 구성을 준수할 수 있는 기회를 제공합니다. 이 옵션은 DPI 성능 모드의 최대 패킷 임계값을 설정하는 데 사용되었습니다.

  3. 구성을 커밋합니다.

명령어 show services application-identification status 를 사용하여 애플리케이션 식별 상태에 대한 자세한 정보를 표시합니다.

서비스 애플리케이션 식별 상태 표시(DPI 성능 모드 지원)

DPI 성능 모드 필드는 DPI 성능 모드가 활성화되어 있는지 여부를 표시합니다. 이 필드는 성능 모드를 활성화하는 CLI 명령 출력에 표시됩니다.

DPI를 기본 정확성 모드로 설정하고 성능 모드를 비활성화하려는 경우 성능 모드 활성화를 지정하는 구성 명령문을 삭제합니다.

성능 모드를 비활성화하는 경우:

  1. 성능 모드를 삭제합니다.

  2. 구성을 커밋합니다.

다음 참조

알 수 없는 애플리케이션 트래픽의 패킷 캡처 개요

알려지지 않은 애플리케이션 기능의 패킷 캡처를 사용하여 보안 디바이스에서 알 수 없는 애플리케이션에 대한 자세한 정보를 수집할 수 있습니다. 알 수 없는 애플리케이션 트래픽은 애플리케이션 서명과 일치하지 않는 트래픽입니다.

보안 장비에서 패킷 캡처 옵션을 구성한 후 알 수 없는 애플리케이션 트래픽은 패킷 캡처 파일(.pcap)에서 장비에 수집 및 저장됩니다. 알려지지 않은 애플리케이션의 패킷 캡처를 사용하여 새로운 사용자 지정 애플리케이션 시그니처를 정의할 수 있습니다. 보안 정책에서 이러한 사용자 지정 애플리케이션 시그니처를 사용하여 애플리케이션 트래픽을 보다 효율적으로 관리할 수 있습니다.

.pcap 파일을 전송하여 트래픽이 주니퍼 네트웍스 분석이나 애플리케이션 서명 생성을 요청할 수 있습니다.

알 수 없는 애플리케이션 트래픽의 패킷 캡처의 이점

알려지지 않은 애플리케이션 트래픽의 패킷 캡처를 사용하여 다음을 할 수 있습니다.

  • 알려지지 않은 애플리케이션에 대한 더 많은 인사이트 수집

  • 알려지지 않은 애플리케이션 트래픽을 분석하여 잠재적 위협을 분석합니다.

  • 보안 정책 규칙 생성 지원

  • 맞춤형 애플리케이션 시그니처 생성 지원

참고:

알려지지 않은 모든 애플리케이션 트래픽을 차단하는 보안 정책을 구현하면 네트워크 기반 애플리케이션에서 문제가 발생할 수 있습니다. 이러한 유형의 정책을 적용하기 전에 이러한 접근 방식이 사용자 환경에 문제가 되지 않는지 반드시 검증해야 합니다. 알려지지 않은 애플리케이션 트래픽을 신중하게 분석하고 그에 따라 보안 정책을 정의해야 합니다.

알 수 없는 애플리케이션 트래픽에 대한 패킷 캡처 구성

시작하기 전

알려지지 않은 애플리케이션 트래픽에 대한 자동 패킷 캡처를 활성화하려면 다음을 수행해야 합니다.

개요

다음 단계를 완료하면 보안 디바이스에서 알 수 없는 애플리케이션의 자동화된 패킷 캡처를 구성하는 방법을 배우게 됩니다.

  • 글로벌 수준 또는 보안 정책 수준에서 패킷 캡처 옵션을 설정할 수 있습니다.

  • 패킷 캡처 모드 구성

  • (선택 사항) 패킷 캡처 파일 옵션 구성

  • 생성된 패킷 캡처 파일에 액세스(. pcap 파일)

구성

패킷 캡처 구성 옵션에 대한 자세한 내용은 패킷 캡처를 시작하기 전에 참조 하십시오.

전 세계 알려지지 않은 애플리케이션을 위한 패킷 캡처

단계별 절차

  • 글로벌 수준에서 패킷 캡처를 활성화하려면 다음 명령을 사용하십시오.

글로벌 수준에서 패킷 캡처를 활성화하면 보안 디바이스는 알려지지 않은 애플리케이션 트래픽이 포함된 모든 세션에 대한 패킷 캡처를 생성합니다.

보안 정책 수준에서 알 수 없는 애플리케이션을 위한 패킷 캡처

단계별 절차

  • 보안 정책 수준에서 패킷 캡처를 구성하고 다음 절차를 사용합니다. 다음 예제에서는 보안 정책 P1에서 알 수 없는 애플리케이션 트래픽의 패킷 캡처를 실행합니다.

    보안 정책 수준에서 알 수 없는 애플리케이션 트래픽의 패킷 캡처를 활성화하려면 동적 junos:UNKNOWN 애플리케이션 일치 조건으로 포함해야 합니다.

    보안 정책(P1)을 구성하면 시스템은 보안 정책 일치 기준과 일치하는 애플리케이션 트래픽에 대한 패킷 세부 정보를 캡처합니다.

패킷 캡처 모드 선택

다음 모드 중 하나에서 알 수 없는 애플리케이션 트래픽에 대한 패킷을 캡처할 수 있습니다.

  • ASC 모드—애플리케이션이 junos:UNKNOWN로 분류되어 ASC(Application System Cache)에 일치하는 엔트리가 있는 경우 알려지지 않은 애플리케이션을 위한 패킷을 캡처합니다. 이 모드는 기본적으로 활성화됩니다.

  • 공격성 모드—AppID가 분류를 완료하기 전에 모든 트래픽을 캡처합니다. 이 모드에서 시스템은 가용 ASC 엔트리에 관계없이 모든 애플리케이션 트래픽을 캡처합니다. 패킷 캡처는 첫 번째 세션의 첫 번째 패킷에서 시작됩니다. 공격 모드는 훨씬 더 리소스 집약적이기 때문에 주의해야 합니다.

    공격적인 모드를 활성화하려면 다음 명령을 사용하십시오.

    플로우 발생을 처음 포착할 필요가 없는 경우 공격적인 모드를 사용하지 않는 것이 좋습니다. 위에서 언급했듯이 장치의 기본 동작은 ASC를 사용합니다.

패킷 캡처 옵션 정의(옵션)

단계별 절차

선택적으로 다음과 같은 패킷 캡처 매개변수를 설정할 수 있습니다. 그렇지 않으면 패킷 캡처에 설명된 기본 옵션이 이 기능에 사용됩니다. 이 예에서는 최대 패킷 제한, 최대 byte limit, 패킷 캡처 수(.pcap) 파일 수와 같은 패킷 캡처 옵션을 정의합니다.

  1. 세션당 최대 UDP 패킷 수를 설정합니다.

    [edit]
user@host# set services application-identification packet-capture max-packets 10

  2. 세션당 최대 TCP bytes 수를 설정합니다.

  3. 가장 오래된 패킷이 덮어 쓰이기 및 회전하기 전에 만들 수 있는 최대 패킷 캡처(.pcap) 파일의 수를 설정합니다.

결과

구성 모드에서 명령 및 계층 수준을 show services application-identification packet-capture 입력하여 구성 show security policies 을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 따라 수정합니다.

다음 구성은 선택 사항인 구성을 통해 글로벌 수준에서 알 수 없는 애플리케이션 패킷 캡처의 예를 보여줍니다.

다음 구성은 옵션 구성을 통해 보안 정책 수준에서 알 수 없는 애플리케이션 패킷 캡처의 예를 보여줍니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

패킷 캡처 파일 액세스(.pcaps)

구성을 완료하고 커밋한 후 패킷 캡처(.pcap) 파일을 볼 수 있습니다. 시스템은 각 대상 IP 주소, 대상 포트 및 프로토콜에 대해 고유의 패킷 캡처 파일을 생성합니다.

단계별 절차

패킷 캡처 파일을 보시다면 다음을 할 수 있습니다.

  1. .pcap 파일이 장비에 저장되는 디렉토리를 탐색합니다.

  2. .pcap 파일을 찾습니다.

    .pcap 파일이 포맷으로 저장 destination-IP-address. destination-port.protocol. pcap 됩니다. 예: 142.250.31.156_443_17.pcap.

    SFTP 또는 SCP를 사용하여 .pcap 파일을 다운로드하고 Wireshark 또는 가장 좋아하는 네트워크 분석기를 사용하여 파일을 볼 수 있습니다.

    그림 2 는 알려지지 않은 애플리케이션 트래픽에 대해 생성된 샘플 .pcap 파일을 보여줍니다.

    그림 2: 샘플 패킷 캡처 파일 Sample Packet Capture File
    참고:

    패킷 손실이 발생하는 경우 디바이스가 플로우에 대한 모든 관련 세부 정보를 캡처할 수 없습니다. 이 경우 .pcap 파일에는 디바이스에서 무엇을 인제스트하고 처리할 수 있는가 반영됩니다.

보안 장치는 글로벌 또는 정책 수준 구성에 관계없이 동일한 파일에서 3가지 일치 조건(대상 IP 주소, 대상 포트, 프로토콜)과 일치하는 모든 트래픽에 대한 패킷 캡처 세부 정보를 저장합니다. 시스템은 대상 IP 주소, 대상 포트 및 프로토콜로 캐시를 유지 관리하며 정의된 제한을 초과하는 동일한 트래픽의 반복 캡처를 허용하지 않습니다. 패킷 캡처에서와 같은 패킷 캡처 파일 옵션을 설정할 수 있습니다.

확인

패킷 캡처 세부 정보 보기

목적

패킷 캡처 세부 정보를 보고 구성이 작동하고 있는지 확인할 수 있습니다.

작업

명령어를 show services application-identification packet-capture counters 사용한다.

의미

이 샘플 출력에서 캡처할 세션 수 및 이미 캡처된 세션 수와 같은 세부 정보를 얻을 수 있습니다. 패킷 캡처 카운터에 대한 자세한 내용은 서비스 애플리케이션 인식 패킷 캡처 카운터 를 표시하십시오.

세션당 알 수 없는 애플리케이션 세부 정보의 패킷 캡처

릴리스 21.1은 Junos OS 릴리스 21.1부터 시작하여 세션당 알려지지 않은 애플리케이션 세부 사항의 패킷 캡처를 저장합니다. 이 변경으로 인해 패킷 캡처(.pcap) 파일에는 파일 이름에 세션 ID가 포함되어 있습니다. 즉, 대상-IP-address_destination-port_protocol_session id입니다. pcap in/var/log/pcap 위치.

세션당 패킷 캡처를 저장하면 세션당 세부 정보만 저장하면 .pcap 파일 크기는 줄어듭니다.

또한 알려지지 않은 애플리케이션 기능에 대한 패킷 캡처를 향상하여 알려지지 않은 SNI 세부 정보를 포착했습니다.

다음 참조

관련 문서

릴리스 내역 표
릴리스
설명
19.4R1
2018년 Junos OS 릴리스에서 15.1X49-D200 19.4R1 확인 검사 제한을 구성할 수 있는 유연성을 확고하게 지원할 수 있습니다.
19.4R1
DPI Junos OS 릴리스부터 15.1X49-D200 19.4R1 DPI 성능 모드 옵션에 대한 최대 패킷 임계치 설정 서비스 애플리케이션 식별 활성화-성능 모드 최대 패킷 임계값 값은 더 희소식
18.2R1
릴리스 Junos OS 릴리스 18.2R1 ASC의 기본 동작이 변경됩니다.
18.2R1
Release Junos OS 릴리스 18.2R1 릴리스에서는 애플리케이션 캐싱을 기본적으로 사용할 수 있습니다. set services 애플리케이션 인식 no-application-system-cache 명령을 사용하여 수동으로 비활성화할 수 있습니다.
15.1X49-D120
Junos OS Release 15.1X49-D120 IMAP 캐시의 최대 엔트리 개수를 제한하도록 구성하고 캐시의 엔트리에 대한 타임아웃 값을 지정할 수 있습니다.