애플리케이션 식별을 위한 사전 정의 및 사용자 지정 애플리케이션 그룹
사전 정의된 애플리케이션과 사용자 지정 애플리케이션 모두를 위한 애플리케이션 그룹을 정의할 수 있습니다. 애플리케이션 그룹에는 보안 정책을 정의할 때 유사한 처리가 필요한 애플리케이션이 포함되어 있습니다. 자세한 내용은 다음 주제를 참조하십시오.
Junos OS 애플리케이션 식별을 위한 애플리케이션 그룹 사용자 지정
Junos OS에서는 애플리케이션을 식별하여 정책으로 애플리케이션을 그룹화할 수 있습니다. 애플리케이션은 사전 정의되고 사용자 정의된 애플리케이션 그룹에 따라 그룹화할 수 있습니다. 사전 정의된 전체 애플리케이션 그룹은 IDP 또는 애플리케이션 식별 보안 패키지의 일부로 다운로드할 수 있습니다. 정책을 정의할 때 일관성 있게 재사용할 수 있도록 유사한 애플리케이션 세트를 사용하여 사용자 지정 애플리케이션 그룹을 만들 수 있습니다.
애플리케이션 그룹 지원 관련 애플리케이션을 단일 이름으로 연계하여 모든 애플리케이션 서비스를 사용할 때 단순하고 일관된 재사용을 지원합니다.
사전 정의된 서명 데이터베이스가 변경되면 사전 정의된 애플리케이션 그룹의 컨텐츠를 새로운 시그니처를 포함하도록 수정할 수 있습니다.
애플리케이션 그룹은 애플리케이션 및 그룹을 동시에 포함할 수 있습니다. 하나의 애플리케이션을 여러 그룹에 할당할 수 있습니다. 하나의 규칙에 포함된 동적 애플리케이션 그룹의 수에는 제한이 없습니다.
애플리케이션 그룹의 계층은 리프 노드와 관련된 애플리케이션을 가진 트리 구조와 유사합니다. 모든 그룹이 루트 노드를 참조합니다. 할당되지 않은 그룹은 항상 루트에서 한 레벨로 위치하며 처음에는 모든 애플리케이션을 포함합니다. 그룹이 정의되면 애플리케이션은 할당되지 않은 그룹에서 새 그룹으로 할당됩니다. 그룹이 삭제되면 애플리케이션은 할당되지 않은 그룹으로 다시 이동합니다.
사전 정의된 모든 애플리케이션 그룹에는 애플리케이션 그룹 이름에 prefix "junos"가 있기 때문에 사용자 지정 애플리케이션 그룹과의 명명 충돌을 방지할 수 있습니다. 사전 정의된 애플리케이션 그룹 내의 애플리케이션 목록을 수정할 수 없습니다. 그러나 사전 정의된 애플리케이션 그룹을 복사하여 사용자 지정 애플리케이션 그룹을 만들기 위한 템플릿으로 사용할 수 있습니다.
사전 정의된 애플리케이션 그룹을 사용자 지정하려면 먼저 사전 정의된 그룹을 비활성화해야 합니다. 애플리케이션 데이터베이스 업데이트 후에는 비활성화된 사전 정의된 애플리케이션 그룹이 비활성화된 상태로 유지된다는 점에 유의하십시오. 그런 다음 운영 명령을 request services application-identification group 사용하여 비활성화된 사전 정의된 애플리케이션 그룹을 복사할 수 있습니다. 복사된 그룹이 구성 파일에 배치되고 접두사 "junos"가 "my"로 변경됩니다. 이때 "my" 애플리케이션 그룹의 애플리케이션 목록을 수정하고 고유한 이름으로 그룹의 이름을 바꿀 수 있습니다.
애플리케이션을 사용자 지정 그룹에서 다른 그룹으로 재할당하려면 현재 사용자 지정 애플리케이션 그룹에서 애플리케이션을 제거한 다음 다른 그룹에 재할당해야 합니다.
Junos OS 릴리스 18.2R2 및 Junos OS Release 18.4R1에서 시작하여 SSL을 통한 HTTP, SMTP, IMAP 및 POP3와 같은 암호화된 애플리케이션이 Junos:HTTPS, junos:SMTPS, junos:IMAPS 및 junos:POP3S로 식별됩니다.
예를 들어, HTTPS 트래픽을 허용 또는 거부하는 보안 정책을 구성하는 경우 애플리케이션 매칭 기준을 junos:HTTPS로 지정해야 합니다.
이전 Junos OS 릴리스에서 HTTP 및 암호화된 HTTP(HTTPS) 애플리케이션은 junos:HTTP와 동일한 애플리케이션 매칭 기준을 사용하여 구성할 수 있습니다.
자세한 내용은
예: 간소화된 관리를 위한 Junos OS 애플리케이션 식별을 위한 맞춤형 애플리케이션 그룹 구성
이 예에서는 정책을 정의할 때 일관된 재사용을 위해 Junos OS 애플리케이션 식별을 위해 사용자 지정 애플리케이션 그룹을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 IDP 또는 애플리케이션 식별 보안 패키지의 전체 서명 데이터베이스를 설치하십시오. IDP 보안 패키지의 일부로 Junos OS 애플리케이션 서명 패키지의 수동 다운로드 및 설치 또는 Junos OS 애플리케이션 서명 패키지 다운로드 및 설치를 참조하십시오.
개요
이 예에서는 애플리케이션 그룹에 대한 애플리케이션을 정의하고, 애플리케이션 그룹에서 애플리케이션을 삭제하며, 다른 애플리케이션 그룹 내에 애플리케이션 그룹을 포함합니다.
Junos OS에서는 애플리케이션을 식별하여 정책으로 애플리케이션을 그룹화할 수 있습니다. 애플리케이션은 사전 정의되고 사용자 정의된 애플리케이션 그룹에 따라 그룹화할 수 있습니다. 사전 정의된 전체 애플리케이션 그룹은 IDP 또는 애플리케이션 식별 보안 패키지의 일부로 다운로드할 수 있습니다. 정책을 정의할 때 일관성 있게 재사용할 수 있도록 유사한 애플리케이션 세트를 사용하여 사용자 지정 애플리케이션 그룹을 만들 수 있습니다.
사전 정의된 애플리케이션 그룹에서 정의된 애플리케이션을 수정할 수 없습니다. 그러나 운영 명령을 request services application-identification group group-name copy 사용하여 사전 정의된 애플리케이션 그룹을 복사하여 사용자 지정 애플리케이션 그룹을 생성하고 애플리케이션 목록을 수정할 수 있습니다. 자세한 내용은 를 참조하십시오 request services application-identification group.
구성
Junos OS 애플리케이션 식별 사용자 정의 애플리케이션 그룹 구성
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set services application-identification application-group my_web set services application-identification application-group my_web applications junos:HTTP set services application-identification application-group my_web applications junos:FTP set services application-identification application-group my_web applications junos:AMAZON set services application-identification application-group my_web applications junos:GOPHER set services application-identification application-group my_peer set services application-identification application-group my_peer applications junos:BITTORRENT set services application-identification application-group my_peer applications junos:BITTORRENT-APPLICATION set services application-identification application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 구성 모드의 CLI 에디터 사용(Using in Configuration Mode)을 참조하십시오.
애플리케이션 식별을 위해 사용자 지정 애플리케이션 그룹을 구성하려면 다음을 수행합니다.
사용자 지정 애플리케이션 그룹의 이름을 설정합니다.
[edit services application-identification] user@host# set application-group my_web
사용자 지정 애플리케이션 그룹에 포함하려는 애플리케이션 목록을 추가합니다.
[edit services application-identification] user@host# set application-group my_web applications junos:HTTP user@host# set application-group my_web applications junos:FTP user@host# set application-group my_web applications junos:GOPHER user@host# set application-group my_web applications junos:AMAZON
두 번째 사용자 지정 애플리케이션 그룹의 이름을 설정합니다.
[edit services application-identification] user@host# set application-group my_peer
그룹에 포함할 애플리케이션 목록을 추가합니다.
[edit services application-identification] user@host# set application-group my_peer applications junos:BITTORRENT user@host# set application-group my_peer applications junos:BITTORRENT-APPLICATION user@host# set application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
결과
구성 모드에서 명령을 입력하여 구성을 show services application-identification group 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit] user@host#show services application-identification application-group my_webapplications { junos:HTTP; junos:FTP; junos:GOPHER; junos:AMAZON } user@host#show services application-identification application-group my_peerapplications { junos:BITTORRENT; junos:BITTORRENT-APPLICATION; junos:BITTORRENT-WEB-CLIENT; }
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
사용자 정의 애플리케이션 그룹에서 애플리케이션 삭제
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
[edit] delete services application-identification application-group my_web applications junos:AMAZON
단계별 절차
사용자 지정 애플리케이션 그룹에서 애플리케이션을 삭제하려면 다음을 수행합니다.
사용자 지정 애플리케이션 그룹에서 애플리케이션을 삭제합니다.
[edit services application-identification] user@host# delete application-group my_web applications junos:AMAZON
결과
구성 모드에서 명령을 입력하여 구성을 show services application-identification application group detail 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show services application-identification group detail
application group my_web {
junos:HTTP;
junos:FTP;
junos:GOPHER;
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
애플리케이션 그룹을 위한 하위 애플리케이션 그룹 생성
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set services application-identification application-group p2p set services application-identification application-group p2p application-groups my_web set services application-identification application-group p2p application-groups my_peer
단계별 절차
사용자 지정 애플리케이션 그룹에 대해 하위 애플리케이션 그룹을 구성하려면 다음을 수행합니다.
자식 애플리케이션 그룹을 구성하는 사용자 지정 애플리케이션 그룹의 이름을 설정합니다.
[edit services application-identification] user@host# set application-group p2p
하위 애플리케이션 그룹을 추가합니다.
[edit services application-identification] user@host# set application-group p2p application-groups my_web uer@host# set application-group p2p application-groups my_peer
결과
구성 모드에서 명령을 입력하여 구성을 show services application-identification application-group application-group-name 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show services application-identification application-group p2p
applications-groups {
my_web;
my_peer;
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
Junos OS 애플리케이션 식별에서 애플리케이션 그룹 활성화 또는 비활성화
모든 애플리케이션 그룹은 기본적으로 활성화됩니다. 사전 정의된 애플리케이션 그룹은 설치 시 활성화됩니다.
사전 정의된 애플리케이션 그룹의 경우 명령을 사용하여
request services application-identification group그룹을 비활성화 및 재사용할 수 있습니다. 사전 정의된 서명 또는 서명 그룹을 삭제할 수 없습니다.사전 정의된 애플리케이션 그룹을 비활성화하려면 다음을 수행합니다.
user@host> request services application-identification group disable predefined-application-group-name
참고:비활성화된 애플리케이션 또는 애플리케이션 그룹을 활성화하려고 할 때 구성 변경을 커밋하거나 구성을 롤백해야 합니다. 커밋되지 않은 변경으로 인해 구성이 실패할 수 있습니다.
비활성화된 사전 정의된 애플리케이션 그룹을 다시 설정하려면 다음을 수행합니다.
user@host> request services application-identification group enable predefined-application-group-name