애플리케이션 식별을 위한 사전 정의된 애플리케이션 시그니처
사전 정의된 애플리케이션 시그니처 패키지는 동적으로 로드 가능한 모듈로, 애플리케이션 분류 기능 및 관련 프로토콜 속성을 제공합니다. 외부 서버에서 호스팅되며 패키지로 다운로드하여 장치에 설치할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
Junos OS 애플리케이션 패키지 설치 이해
주니퍼 네트웍스는 사전 정의된 애플리케이션 시그니처 패키지 데이터베이스를 정기적으로 업데이트하여 가입자가 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 패키지에는 추적, 방화벽 정책, 서비스 품질 우선 순위 지정 및 침입 탐지 및 방지(IDP)를 위해 애플리케이션을 식별하는 데 사용할 수 있는 알려진 애플리케이션 개체의 시그니처 정의가 포함되어 있습니다. 데이터베이스에는 FTP, DNS, Facebook, Kazaa 및 많은 인스턴트 메신저 프로그램과 같은 응용 프로그램 개체가 포함되어 있습니다.
응용 프로그램 서비스를 구성하기 전에 응용 프로그램 서명 패키지를 다운로드하여 설치해야 합니다. 애플리케이션 서명 패키지는 침입 탐지 및 방지(IDP) 설치에 직접 포함되며 별도로 다운로드할 필요가 없습니다.
IDP를 활성화하고 애플리케이션 식별을 사용하려는 경우 IDP 서명 데이터베이스 다운로드를 계속 실행할 수 있습니다. 침입 탐지 및 방지(IDP) 서명 데이터베이스를 다운로드하려면 다음 명령을
request security idp security-package download
실행합니다. 응용 프로그램 패키지 다운로드는 수동 또는 자동으로 수행할 수 있습니다. 침입 탐지 및 방지(IDP) 보안 패키지의 일부로 Junos OS 애플리케이션 서명 패키지 다운로드 및 설치를 참조하십시오.참고:침입 탐지 및 방지(IDP) 지원 디바이스가 있고 애플리케이션 식별을 사용하려는 경우 IDP 서명 데이터베이스만 다운로드하는 것이 좋습니다. 이렇게 하면 동기화되지 않을 수 있는 두 가지 버전의 응용 프로그램 데이터베이스가 있는 것을 방지할 수 있습니다.
IDP를 활성화하지 않았고 애플리케이션 식별을 사용하려는 경우 다음 명령을
request services application-identification download
실행할 수 있습니다. 및request services application-identification install
. 이러한 명령은 애플리케이션 서명 데이터베이스를 다운로드하여 디바이스에 설치합니다.다운로드를 수동 또는 자동으로 수행할 수 있습니다. 압축을 푼 패키지를 수동으로 다운로드할 때 다운로드 URL을 변경할 수 있습니다.
애플리케이션 서명 패키지를 다운로드 및 설치한 후 CLI 명령을 사용하여 데이터베이스 업데이트를 다운로드 및 설치하고 요약 및 자세한 애플리케이션 정보를 확인합니다.
Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치 또는 예: 애플리케이션 서명 패키지 업데이트 예약을 참조하십시오.
참고:Junos OS 애플리케이션 서명 패키지 업데이트는 별도로 라이선스가 부여되는 구독 서비스입니다. 주니퍼 네트웍스에서 제공하는 서명 데이터베이스 업데이트를 다운로드하고 설치하려면 디바이스에 애플리케이션 서명 패키지 업데이트 라이선스 키를 설치해야 합니다. 라이선스 키가 만료되면 로컬에 저장된 애플리케이션 서명 패키지 콘텐츠를 계속 사용할 수 있지만 데이터를 업데이트할 수는 없습니다.
참고:Junos OS 릴리스 15.1X49-D50 및 Junos OS 릴리스 17.3부터 애플리케이션 서명 패키지를 업그레이드하거나 다운그레이드할 때 프로토타입 번들 간에 애플리케이션 ID(애플리케이션 서명의 고유 ID 번호)가 일치하지 않는 경우 오류 메시지가 표시되며 이러한 애플리케이션은 AppFW 및 AppQoS 규칙에서 구성됩니다.
예제:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
해결 방법으로 애플리케이션 서명 패키지를 업그레이드하거나 다운그레이드하기 전에 AppFW 및 AppQoS 규칙을 사용하지 않도록 설정합니다. 업그레이드 또는 다운그레이드 절차가 완료되면 AppFW 및 AppQoS 규칙을 다시 활성화할 수 있습니다.
참고:모든 보안 장비에서 AppSecure Services를 위한 J-Web 페이지는 예비 단계입니다. AppSecure 기능 구성에 CLI를 사용하는 것이 좋습니다.
이 기능을 사용하려면 라이선스가 필요합니다. Junos OS 애플리케이션 서명 패키지에 대한 자세한 내용은 라이선스 관리에 대한 일반 정보는 주니퍼 라이선싱 가이드를 참조하십시오. 자세한 내용은 SRX 시리즈 서비스 게이트웨이 의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.
차세대 애플리케이션 식별(Next-Generation Application Identification)로 업그레이드
Junos OS 릴리스 12.1X47-D10부터 차세대 애플리케이션 식별이 지원됩니다. 기존 또는 레거시 애플리케이션 식별에서 차세대 애플리케이션 식별로 마이그레이션하려면 Junos OS 릴리스 12.1X47-D10을 설치해야 합니다.
레거시 애플리케이션 식별 기능이 있는 Junos OS 빌드와 함께 설치되는 보안 디바이스에는 레거시 애플리케이션 식별 보안 패키지가 포함됩니다. Junos OS 릴리스 12.1X47-D10으로 이러한 디바이스를 업그레이드하면 차세대 애플리케이션 식별 보안 패키지가 기본 프로토콜 번들과 함께 설치됩니다. 디바이스는 차세대 애플리케이션 식별로 자동 업그레이드됩니다.
차세대 애플리케이션 식별 보안 패키지는 레거시 애플리케이션 식별 패키지에 증분 업데이트를 도입합니다. 기존 응용 프로그램을 제거하거나 제거할 필요는 없습니다.
이전 릴리스(Junos OS 릴리스 12.1X46 이하)에서 지원되는 애플리케이션은 새 버전에서 새로운 별칭 또는 대체 이름을 가질 수 있습니다. 따라서 이러한 애플리케이션을 사용하는 기존 구성은 Junos OS 릴리스 12.1X47에서 작동합니다. 그러나 관련 로그 및 기타 정보는 새 이름을 사용합니다. 명령을 사용하여
show services application-identification application detail new-application-name
애플리케이션의 세부 정보를 가져올 수 있습니다.Junos OS를 업그레이드할 때 명령에 또는
no-validate
옵션을request system software add
포함할validate
수 있습니다. 차세대 애플리케이션 식별의 일부가 아닌 기존 기능은 더 이상 사용되지 않으므로 비호환성 문제가 표시되지 않습니다.차세대 응용 프로그램 식별은 새로운 중첩 응용 프로그램의 생성을 제거하고 기존의 중첩 응용 프로그램을 일반 응용 프로그램으로 취급합니다. 또한 차세대 응용 프로그램 식별은 사용자 지정 응용 프로그램 또는 사용자 지정 응용 프로그램 그룹을 지원하지 않습니다. 중첩된 응용 프로그램, 사용자 지정 응용 프로그램 또는 사용자 지정 응용 프로그램 그룹과 관련된 기존 구성은 경고 메시지와 함께 무시됩니다.
또한보십시오
응용 프로그램 서명 패키지에 대한 라이선스 설치 및 확인
Junos OS 애플리케이션 서명 패키지 업데이트는 별도로 라이선스가 부여되는 구독 서비스입니다. 주니퍼 네트웍스에서 제공하는 서명 데이터베이스 업데이트를 다운로드하고 설치하려면 디바이스에 애플리케이션 서명 패키지 업데이트 라이선스 키를 설치해야 합니다. 라이선스 키가 만료되면 로컬에 저장된 애플리케이션 서명 패키지 콘텐츠를 계속 사용할 수 있습니다.
라이센싱은 일반적으로 장치를 구입할 때 주문되며 이 정보는 섀시 일련 번호에 바인딩됩니다. 이 지침에서는 라이선스가 이미 있다고 가정합니다. 디바이스 구매 시 라이선스를 주문하지 않은 경우, 어카운트 팀 또는 주니퍼 고객 관리 센터에 도움을 요청하십시오. 자세한 내용은 https://kb.juniper.net/InfoCenter/index?page=home 의 기술 자료 문서 KB9731을 참조하십시오.
Junos OS 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX1500 디바이스에서 AppSecure는 JSE(Junos Software Enhanced) 소프트웨어 라이선스 패키지의 일부입니다. AppSecure에 대한 별도의 라이선스 키는 없습니다. AppID 서명 데이터베이스 업데이트를 다운로드 및 설치하거나 AppFW, AppQoS 및 AppTrack과 같은 다른 AppSecure 기능을 사용하려면 디바이스에서 JSE 소프트웨어 라이선스를 사용해야 합니다.
AppSecure는 Junos OS 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX300, SRX320, SRX340 및 SRX345 디바이스에서 JSE(Junos Software Enhanced) 소프트웨어 라이선스 패키지의 일부입니다. AppSecure에 대한 별도의 라이선스 키는 없습니다. AppID 서명 데이터베이스 업데이트를 다운로드 및 설치하거나 AppFW, AppQoS 및 AppTrack과 같은 다른 AppSecure 기능을 사용하려면 디바이스에서 JSE 소프트웨어 라이선스를 사용해야 합니다.
AppSecure는 15.1X49-D65 및 Junos OS 릴리스 17.3R1부터 SRX4100 및 SRX4200 디바이스에서 JSE(Junos Software Enhanced) 라이선스 패키지의 일부입니다. AppSecure에 대한 별도의 라이선스 키는 없습니다. AppID 서명 데이터베이스 업데이트를 다운로드 및 설치하거나 AppFW, AppQoS 및 AppTrack과 같은 다른 AppSecure 기능을 사용하려면 디바이스에서 JSE 소프트웨어 라이선스를 사용해야 합니다.
JSB(Junos Software Base) 패키지에는 애플리케이션 시그니처가 포함되어 있지 않습니다. 자세한 내용은 SRX 시리즈 서비스 게이트웨이 의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.
다음과 같이 자동 또는 수동 방법을 사용하여 SRX 시리즈 방화벽에 라이선스를 설치할 수 있습니다.
장치에 라이선스를 자동으로 설치합니다.
라이선스를 자동으로 설치하거나 업데이트하려면 장치가 인터넷에 연결되어 있어야 합니다.
user@host> request system license update
Trying to update license keys from https://ae1.juniper.net, use 'show system license' to check status.
디바이스에 라이선스를 수동으로 설치합니다.
user@host> request system license add terminal
[Type ^D at a new line to end input, enter blank line between each license key]
라이센스 키를 붙여넣고 Enter 키를 눌러 계속합니다.
라이선스가 디바이스에 설치되어 있는지 확인합니다.
show system license command
다음 예와 같이 명령을 사용하여 라이선스 사용량을 확인합니다.License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signature date-based, 2014-02-17 08:00:00 GMT-8 - 2015-02-11 08:00:00 GMT-8
출력 샘플은 라이센스 사용 세부 정보만 표시하도록 잘립니다.
또한보십시오
Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치
이 예에서는 애플리케이션 서명 패키지를 다운로드하고, 정책을 생성하고, 이를 활성 정책으로 식별하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.
참고:업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.
애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 디바이스
Junos OS 릴리스 12.1X47-D10
개요
주니퍼 네트웍스는 사전 정의된 애플리케이션 서명 패키지 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 패키지에는 침입 탐지 및 방지(IDP), 애플리케이션 방화벽 정책 및 AppTrack에서 트래픽을 일치시키는 데 사용할 수 있는 애플리케이션 개체가 포함되어 있습니다.
구성
CLI 빠른 구성
구성 중에 수동 개입이 필요하므로 이 예에서는 CLI 빠른 구성을 사용할 수 없습니다.
응용 프로그램 ID 다운로드 및 설치
단계별 절차
응용 프로그램 패키지를 다운로드합니다.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
Download(다운로드)는 주니퍼 네트웍스 보안 웹 사이트 https://signatures.juniper.net/cgi-bin/index.cgi 에서 애플리케이션 패키지를 검색합니다.
또한 특정 버전의 응용 프로그램 패키지를 다운로드하거나 다음 옵션을 사용하여 특정 위치에서 응용 프로그램 패키지를 다운로드할 수 있습니다.
응용 프로그램 패키지의 특정 버전을 다운로드하려면:To download a specific version of the application package:
user@host>request services application-identification download version version-number
구성 모드에서 응용 프로그램 패키지의 다운로드 URL을 변경하려면:
[edit] user@host# set services application-identification download url URL or File Path
참고:다운로드 URL을 변경하고 해당 변경 내용을 유지하려면 구성을 커밋해야 합니다.
다운로드 상태를 확인합니다.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
참고:시스템 로그를 사용하여 다운로드 결과를 볼 수도 있습니다. Junos OS 릴리스 20.4R1부터 시스템 로그 메시지가 업데이트되어 애플리케이션 서명 패키지 다운로드 및 설치 결과를 표시합니다.
응용 프로그램 패키지를 설치합니다.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
응용 프로그램 패키지는 장치의 응용 프로그램 서명 데이터베이스에 설치됩니다.
응용 프로그램 패키지의 설치 상태를 확인합니다.
명령 출력은 애플리케이션 패키지 및 프로토콜 번들의 다운로드 및 설치된 버전에 대한 정보를 표시합니다.
설치 상태를 보려면:
user@host>request services application-identification install status
Install application package 2345 succeed
프로토콜 번들 상태를 보려면:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
참고:최신 버전의 응용 프로그램 서명 데이터베이스에서 응용 프로그램 서명이 제거되었을 수 있습니다. 이 서명이 디바이스의 기존 애플리케이션 방화벽 정책에서 사용되는 경우 새 데이터베이스 설치가 실패합니다. 설치 상태 메시지는 더 이상 유효하지 않은 서명을 식별합니다. 데이터베이스를 성공적으로 업데이트하려면 기존 정책 및 그룹에서 삭제된 서명에 대한 모든 참조를 제거하고 설치 명령을 다시 실행합니다.
확인
구성이 올바르게 작동하고 있는지 확인합니다.
애플리케이션 식별 상태 확인
목적
애플리케이션 식별 구성이 제대로 작동하고 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show services application-identification status
.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
의미
필드는 Status: Enabled
디바이스에서 애플리케이션 식별이 활성화되어 있음을 보여줍니다.
침입 탐지 및 방지(IDP) 보안 패키지의 일부로 Junos OS 애플리케이션 서명 패키지 다운로드 및 설치
침입 탐지 및 방지(IDP) 보안 패키지를 통해 애플리케이션 시그니처를 다운로드하고 설치할 수 있습니다.
이 예에서는 침입 탐지 및 방지(IDP) 서명 및 애플리케이션 서명 패키지를 다운로드 및 설치하여 보안을 강화하는 방법을 보여줍니다. 이 경우 침입 탐지 및 방지(IDP) 서명 팩과 애플리케이션 서명 팩이 모두 단일 명령으로 다운로드됩니다.
요구 사항
시작하기 전에:
보안 패키지 업데이트를 다운로드하려면 SRX 시리즈 방화벽이 인터넷에 연결되어 있는지 확인하십시오.
참고:업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.
애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽
Junos OS 릴리스 12.1X47-D10
개요
이 예에서는 주니퍼 네트웍스 웹 사이트에서 서명 데이터베이스를 다운로드하여 설치합니다.
구성
서명 데이터베이스 다운로드 및 설치
CLI 빠른 구성
구성 중에 수동 개입이 필요하므로 이 예에서는 CLI 빠른 구성을 사용할 수 없습니다.
단계별 절차
응용 프로그램 서명을 다운로드하고 설치하려면:
서명 데이터베이스를 다운로드합니다.
[edit]
user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
참고:데이터베이스 크기 및 인터넷 연결 속도에 따라 데이터베이스를 다운로드하는 데 다소 시간이 걸릴 수 있습니다.
보안 패키지 다운로드 상태를 확인합니다.
[edit]
user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
공격 데이터베이스를 설치합니다.
[edit]
user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
참고:보안 데이터베이스 크기에 따라 공격 데이터베이스를 설치하는 데 다소 시간이 걸릴 수 있습니다.
공격 데이터베이스 설치 상태를 확인합니다. 명령 출력에는 공격 데이터베이스의 다운로드 및 설치된 버전에 대한 정보가 표시됩니다.
[edit]
user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
침입 탐지 및 방지(IDP) 보안 패키지 버전을 확인합니다.
[edit]
user@host# run show security idp security-package-version
Attack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
애플리케이션 식별 패키지 버전을 확인합니다.
[edit]
user@host# run show services application-identification version
Application package version: 1884
확인
응용 프로그램 서명 패키지가 제대로 업데이트되고 있는지 확인합니다.
프록시 서버에서 Junos OS 애플리케이션 서명 패키지 다운로드
이 예제에서는 프록시 프로필을 만들고 프록시 서버에서 애플리케이션 서명 패키지를 다운로드하는 데 사용하는 방법을 보여 줍니다.
구성
단계별 절차
프록시 프로필을 만들고 프록시 서버를 통해 응용 프로그램 패키지를 다운로드하기 위해 적용합니다.
프로토콜 HTTP에 대한 프록시 프로파일을 생성합니다.
user@host#
set services proxy profile Profile-1 protocol http프록시 서버의 IP 주소를 지정합니다.
user@host#
set services proxy profile Profile-1 protocol http host 5.0.0.1프록시 서버에서 사용하는 포트 번호를 지정합니다.
user@host#
set services proxy profile Profile-1 protocol http port 3128프록시 호스트에서 응용 프로그램 패키지를 다운로드합니다.
user@host#
set services application-identification download proxy-profile Profile-1
단계별 절차
필요하지 않은 경우 응용 프로그램 서명 패키지를 다운로드하기 위해 프록시 서버를 사용하지 않도록 설정할 수 있습니다.
응용 프로그램 서명 다운로드를 위해 프록시 서버를 사용하지 않도록 설정합니다.
user@host#
delete services application-identification download proxy-profile p1
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽에 설치된 유효한 애플리케이션 식별 기능 라이선스.
SRX 시리즈 방화벽(Junos OS 릴리스 18.3R1 이상 포함). 이 구성 예는 Junos OS 릴리스 18.3R1에 대해 테스트되었습니다.
개요
SRX 시리즈 방화벽의 외부 서버에서 호스팅되는 애플리케이션 시그니처 패키지를 다운로드하여 설치해야 합니다. Junos OS 릴리스 18.3R1부터 프록시 서버를 사용하여 애플리케이션 서명 패키지를 다운로드할 수 있습니다.
프록시 서버에서 서명 패키지 다운로드를 활성화하려면:
명령을 사용하여
set services proxy profile
프록시 서버의 호스트 및 포트 세부 정보가 포함된 프로필을 구성합니다.set services application-identification download proxy-profile profile-name
명령을 사용하여 프록시 서버에 연결하고 애플리케이션 서명 패키지를 다운로드합니다.
서명 패키지를 다운로드하면 요청이 프록시 호스트를 통해 서명 패키지를 호스팅하는 실제 서버로 라우팅됩니다. 프록시 호스트는 실제 호스트에서 응답을 다시 릴레이합니다. 이 다운로드는 주니퍼 네트웍스 보안 웹 사이트 https://signatures.juniper.net/cgi-bin/index.cgi 에서 애플리케이션 패키지를 검색합니다.
프록시 프로파일 구성에 대한 지원은 HTTP 연결에만 사용할 수 있습니다.
이 예에서는 프록시 프로파일을 생성하고 외부 호스트에서 애플리케이션 서명 패키지를 다운로드할 때 해당 프로파일을 참조합니다. 표 1 은 이 예에서 사용된 매개 변수에 대한 세부 정보를 제공합니다.
매개 변수 |
이름 |
---|---|
프로필 이름 |
프로필-1 |
프록시 서버의 IP 주소 |
5.0.0.1 |
프록시 서버의 포트 번호 |
3128 |
확인
프록시 서버를 통한 응용 프로그램 서명 다운로드 확인
목적
프록시 서버를 통해 애플리케이션 서명 패키지 다운로드에 대한 세부 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다 show services application-identification status
.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
의미
명령 출력의 및 Proxy Address
필드에서 Proxy Profile
프록시 프로파일 세부 정보를 찾을 수 있습니다.
애플리케이션 서명 다운로드 상태 확인
목적
응용 프로그램 패키지 다운로드 상태를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 request services application-identification download status
.
user@host> request services application-identification download status
Application package 3058 is downloaded successfully
의미
이 명령은 애플리케이션 서명 패키지 다운로드 상태를 표시합니다.
예: 응용 프로그램 서명 패키지 업데이트 예약
이 예제에서는 사전 정의된 애플리케이션 서명 패키지의 자동 업데이트를 설정하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.
참고:업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.
애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.
개요
이 예제에서는 현재 버전의 응용 프로그램 서명 패키지를 주기적으로 다운로드하려고 합니다. 다운로드는 12월 10일 오후 11시 59분에 시작됩니다. 최신 정보를 유지 관리하려면 회사의 인트라넷 사이트에서 2일마다 패키지를 자동으로 업데이트해야 합니다.
구성
절차
GUI 빠른 구성
J-Web 인터페이스로 자동 다운로드 및 주기적 업데이트를 설정하려면 다음을 수행합니다.
단계별 절차
를 입력하여
Configure>Security>AppSecure Settings
애플리케이션 서명 페이지를 표시합니다.을 누르십시오
Global Settings
.Download Scheduler
탭을 클릭하고 다음 필드를 수정합니다.Url: https://signatures.juniper.net/cgi-bin/index.cgi
업데이트 예약 사용: 확인란을 선택합니다.
간격: 48
기존 시작 시간을 지우려면 클릭하고
Reset Setting
새 시작 시간을 YYYY-MM-DD.hh:mm 형식으로 입력한 다음 을 클릭합니다OK
.시작 시간: 2019-06-30.10:00:00
변경 내용을 커밋하려면 클릭합니다
Commit Options>Commit
.활성 다운로드 또는 업데이트의 진행률을 모니터링하거나 최신 업데이트의 결과를 확인하려면 클릭합니다
Check Status
.
단계별 절차
CLI를 사용하여 Junos OS 애플리케이션 서명 패키지를 자동으로 업데이트하려면 다음을 수행합니다.
보안 패키지의 URL을 지정합니다. 보안 패키지에는 탐지기와 최신 공격 객체 및 그룹이 포함됩니다. 다음 문은 서명 데이터베이스 업데이트를 다운로드하기 위한 URL로 https://signatures.juniper.net/cgi-bin/index.cgi 를 지정합니다.
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
다운로드 시간 및 간격을 지정합니다. 다음 문은 간격을 48시간으로 설정하고 시작 시간을 12월 10일 오전 10시로 설정합니다.
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
애플리케이션 서명 패키지가 제대로 업데이트되고 있는지 확인하려면 명령을 입력합니다 show services application-identification version
. 최신 업데이트의 버전 번호와 세부 정보를 검토합니다.
침입 탐지 및 방지(IDP) 보안 패키지의 일부로 애플리케이션 서명 패키지 업데이트 예약
이 예의 구성 지침에서는 지정된 날짜와 시간에 애플리케이션 식별 서명 패키지(침입 탐지 및 방지(IDP) 보안 패키지의 일부)의 자동 업데이트를 설정하는 방법을 설명합니다.
요구 사항
시작하기 전에:
보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.
참고:업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.
애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.
개요
이 예제에서는 현재 버전의 응용 프로그램 서명 패키지를 주기적으로 다운로드하려고 합니다. 다운로드는 12월 10일 오후 11시 59분에 시작됩니다. 최신 정보를 유지 관리하려면 회사의 인트라넷 사이트에서 2일마다 패키지를 자동으로 업데이트해야 합니다.
구성
절차
GUI 빠른 구성
J-Web 인터페이스로 자동 다운로드 및 주기적 업데이트를 설정하려면 다음을 수행합니다.
단계별 절차
보안 침입 탐지 및 방지(IDP) 서명 구성 페이지를 표시하려면 을(를) 입력합니다
Configure>Security>IDP>Signature Updates
.URL을 클릭하고
Download Settings
수정합니다. https://signatures.juniper.net/cgi-bin/index.cgiAuto Download Settings
탭을 클릭하고 다음 필드를 수정합니다.간격: 48
시작 시간: 2013-12-10.23:59:55
업데이트 예약 사용: 확인란을 선택합니다.
기존 필드를 지우려면 클릭하고
Reset Setting
새 값을 입력합니다. 을 누르십시오OK
.변경 내용을 커밋하려면 클릭합니다
Commit Options>Commit
.활성 다운로드 또는 업데이트의 진행률을 모니터링하거나 최신 업데이트의 결과를 확인하려면 클릭합니다
Check Status
.
단계별 절차
CLI를 사용하여 Junos OS 애플리케이션 서명 패키지를 자동으로 업데이트하려면 다음을 수행합니다.
보안 패키지의 URL을 지정합니다. 보안 패키지에는 탐지기와 최신 공격 객체 및 그룹이 포함됩니다. 다음 문은 서명 데이터베이스 업데이트를 다운로드하기 위한 URL로 https://signatures.juniper.net/cgi-bin/index.cgi 를 지정합니다.
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
다운로드 시간 및 간격을 지정합니다. 다음 문은 간격을 48시간으로 설정하고 시작 시간을 2013년 12월 10일 오후 11시 55분으로 설정합니다.
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
보안 패키지의 자동 다운로드 및 업데이트를 사용하도록 설정합니다.
[edit] user@host# set security idp security-package automatic enable
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
예: 섀시 클러스터 모드에서 애플리케이션 식별 패키지 다운로드 및 설치
이 예에서는 섀시 클러스터 모드에서 작동하는 디바이스에 애플리케이션 서명 패키지 데이터베이스를 다운로드하고 설치하는 방법을 보여줍니다.
응용 프로그램 식별 패키지 다운로드 및 설치Downloading and Installing the Application Identification Package
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 CLI 사용 설명서를 참조하십시오.
응용 프로그램 패키지를 다운로드하고 설치하려면:To download and install an application package:
기본 노드에서 애플리케이션 패키지를 다운로드합니다.
{primary:node0}[edit]
user@host>
request services application-identification downloadPlease use command "request services application-identification download status" to check status
응용 프로그램 패키지 다운로드 상태를 확인합니다.
{primary:node0}[edit]
user@host>
request services application-identification download status다운로드에 성공하면 다음 메시지가 표시됩니다
Application package 2345 is downloaded successfully
애플리케이션 패키지는 기본 노드의 애플리케이션 서명 데이터베이스에 설치되고 애플리케이션 식별 파일은 기본 노드와 보조 노드에서 동기화됩니다.
명령을 사용하여
install
응용 프로그램 패키지를 업데이트합니다.{primary:node0}[edit]
user@host>
request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
응용 프로그램 패키지 업데이트 상태를 확인합니다. 명령 출력에는 응용 프로그램 패키지의 다운로드 및 설치된 버전에 대한 정보가 표시됩니다.
{primary:node0}[edit]
user@host>
request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
참고:새 버전의 응용 프로그램 서명 데이터베이스에서 응용 프로그램 서명이 제거될 수 있습니다. 이 서명이 디바이스의 기존 애플리케이션 방화벽 정책에서 사용되는 경우 새 데이터베이스 설치가 실패합니다. 설치 상태 메시지는 더 이상 유효하지 않은 서명을 식별합니다. 데이터베이스를 성공적으로 업데이트하려면 기존 정책 및 그룹에서 삭제된 서명에 대한 모든 참조를 제거하고 설치 명령을 다시 실행합니다.
참고:기본 노드에서 애플리케이션 서명 패키지를 다운로드하는 동안 예기치 않은 장애 조치로 인해 기본 노드가 애플리케이션 서명 패키지를 완전히 다운로드하지 못할 수 있습니다. 해결 방법으로 /var/db/appid/sec-download/.apppack_state를 삭제하고 디바이스를 다시 시작해야 합니다.
단계별 절차
응용 프로그램 패키지를 제거하려면:
명령을 사용하여
uninstall
응용 프로그램 패키지를 제거합니다.{primary:node0}[edit]
user@host>
request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
응용 프로그램 패키지의 제거 상태를 확인합니다.
{primary:node0}[edit]
user@host>
request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
프로토콜 번들의 제거 상태를 확인합니다.
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
요구 사항
시작하기 전에:
섀시 클러스터 노드 ID 및 클러스터 ID를 설정합니다. 예: 섀시 클러스터에서 보안 디바이스에 대한 노드 ID 및 클러스터 ID 설정을 참조하십시오.
보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.
참고:업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.
애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.
개요
애플리케이션 식별을 사용하는 경우 사전 정의된 애플리케이션 서명 패키지 데이터베이스를 다운로드할 수 있습니다. 주니퍼 네트웍스는 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 패키지에는 침입 탐지 및 방지(IDP)의 트래픽을 일치시키는 데 사용할 수 있는 애플리케이션 객체, 애플리케이션 방화벽 정책 및 애플리케이션 추적이 포함되어 있습니다. 자세한 내용은 Junos OS 애플리케이션 패키지 설치 이해하기를 참조하십시오.
섀시 클러스터 모드에서 작동하는 디바이스에서 애플리케이션 식별 보안 패키지를 다운로드하면 보안 패키지가 기본 노드로 다운로드된 다음 보조 노드와 동기화됩니다.
Junos OS 애플리케이션 식별 추출 애플리케이션 패키지 검증
목적
응용 프로그램 패키지를 성공적으로 다운로드하고 설치한 후 다음 명령을 사용하여 미리 정의된 응용 프로그램 서명 패키지 콘텐츠를 확인합니다.
작업
응용 프로그램 패키지의 현재 버전을 봅니다.
show services application-identification version
Application package version: 1608
응용 프로그램 패키지의 현재 상태를 봅니다.
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
또한보십시오
Junos OS Application Identification 애플리케이션 패키지 제거
미리 정의된 응용 프로그램 패키지를 제거할 수 있습니다. Junos OS 구성의 사전 정의된 애플리케이션 시그니처에서 참조되는 활성 보안 정책이 있는 경우 제거 작업이 실패합니다
응용 프로그램 패키지를 제거하려면:
애플리케이션 패키지 및 프로토콜 번들이 디바이스에서 제거됩니다. 응용 프로그램 ID를 다시 설치하려면 응용 프로그램 패키지를 다운로드하고 다시 설치해야합니다.
또한보십시오
응용 프로그램 서명 패키지 롤백
Junos OS 릴리스 20.3R1부터 다음 방법 중 하나로 현재 버전의 애플리케이션 서명 팩을 이전 버전으로 롤백할 수 있습니다.
자동 롤백
수동 롤백
자동 롤백
애플리케이션 시그니처 패키지 설치에 실패할 경우, 시스템은 보안 디바이스에 현재 설치되어 있는 애플리케이션 시그니처 패키지의 이전 버전으로 자동 롤백합니다.
섀시 클러스터 모드에서 작동하는 디바이스에 애플리케이션 시그니처 패키지를 다운로드하여 설치할 때 노드에서 설치에 실패하면 시스템은 이전 버전의 애플리케이션 시그니처로 롤백됩니다. 디바이스는 설치가 실패하고 롤백이 성공한 동일한 노드에 사소한 경보를 표시합니다.
예제:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
설치에 실패하고 롤백이 성공적으로 완료되면 응용 프로그램 서명 패키지 롤백 상태를 확인합니다.
user@host>
request services application-identification rollback status
Application package rollback to version 3297 success
수동 롤백
다음 단계를 사용하여 응용 프로그램 서명 패키지를 설치된 이전 버전으로 수동으로 롤백할 수 있습니다.
응용 프로그램 서명 패키지를 이전 버전으로 롤백합니다.
user@host>
request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback status롤백 상태를 확인합니다.
user@host>
request services application-identification rollback status Application package rollback to version 3265 success.
응용 프로그램 서명 패키지의 수동 롤백에 대해 다음 사항에 유의하십시오.
버전 Y에서 버전 X로 애플리케이션 서명 패키지 버전을 수동으로 롤백하면 버전 Y보다 높은 새 버전 Z를 사용할 수 있을 때까지 애플리케이션 서명 패키지의 예약된 자동 업데이트를 건너뜁니다.
침입 탐지 및 방지(IDP) 보안 패키지를 통해 애플리케이션 시그니처를 다운로드하고 설치할 수 있습니다. 이 경우 IDP 설치 중에 AppID 설치가 실패하면 AppID는 이전 버전으로 롤백되고 IDP 설치는 요청된 버전으로 계속됩니다. 이러한 경우 IDP와 AppID의 버전이 다를 수 있습니다.
다운로드한 서명 패키지 파일의 손상, 삭제 또는 수정이 있는 경우 애플리케이션 서명 패키지 설치가 진행되지 않습니다. 이러한 경우 다음 메시지가 표시됩니다.
user@host>
request services application-identification install error: Checksum validation failed for downloaded files.-
보안 디바이스에 이전 버전의 애플리케이션 시그니처 패키지가 포함되어 있지 않은 상태에서 애플리케이션 시그니처 패키지를 롤백하려고 하면 디바이스에 다음과 같은 오류 메시지가 표시됩니다.
user@host>
request services application-identification install No application package available to rollback.
새로 추가된 응용 프로그램 서명 그룹화
Junos OS 릴리스 21.1R1부터 새로 추가된 모든 애플리케이션 시그니처를 junos:all-new-apps 그룹 아래에 그룹화하여 애플리케이션 시그니처 패키지를 개선했습니다. 보안 디바이스에 애플리케이션 서명 패키지를 다운로드하면 사전 정의된 전체 애플리케이션 그룹이 다운로드되고 아래 예와 같이 보안 정책에서 구성할 수 있습니다.
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
또한 응용 프로그램 서명 패키지에 응용 프로그램 태그 목록을 도입했습니다. 애플리케이션 속성을 기반으로 하는 사전 정의된 태그를 기반으로 유사한 애플리케이션을 그룹화할 수 있습니다. 이렇게 하면 보안 정책을 정의할 때 애플리케이션 그룹을 일관되게 재사용할 수 있습니다.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
예제
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
위의 예에서 remote-access와 web 태그가 있는 태그 기반 애플리케이션 그룹과 social_networking가 있는 또 다른 태그 그룹을 구성합니다. 웹 또는 원격 액세스 및 social_networking 태그가 있는 모든 응용 프로그램이 응용 프로그램 그룹에 추가됩니다.
태그를 기반으로 유사한 응용 프로그램을 그룹화하면 보안 정책을 정의할 때 응용 프로그램 그룹을 일관되게 재사용할 수 있습니다.
새 응용 프로그램을 일반 응용 프로그램으로 마이그레이션:
junos:all-new-apps 그룹에는 이전에 설치된 시그니처 팩과 비교하여 보안 디바이스에 설치된 애플리케이션 시그니처 팩의 모든 새 애플리케이션 세트가 포함됩니다. 애플리케이션 서명 패키지의 최신 버전을 설치하기로 결정한 경우, 해당 버전의 junos:all-new-apps 그룹에 새로운 애플리케이션 세트가 포함됩니다.
새 응용 프로그램을 기존 응용 프로그램 서명 패키지의 일반 응용 프로그램으로 마이그레이션하도록 선택할 수 있습니다. 이 마이그레이션은 나중에 최신 애플리케이션 시그니처 버전으로 업그레이드할 때마다 새 애플리케이션에만 생성되는 보안 정책 규칙을 일관되게 유지하는 데 도움이 됩니다.
다음과 같은 새 명령을 사용하여 새 응용 프로그램으로 태그가 지정된 응용 프로그램을 일반 응용 프로그램으로 이동할 수 있습니다.
-
지정된 새 응용 프로그램만 일반 응용 프로그램으로 마이그레이션하려면 다음 명령을 사용합니다.
request services application-identification new-to-production applications-list [application-1 application-2]
-
모든 새 응용 프로그램을 일반 응용 프로그램으로 마이그레이션하려면 다음 명령을 사용합니다.
request services application-identification new-to-production all
이러한 명령을 실행하면 응용 프로그램이 더 이상 새 것으로 태그가 지정되지 않으며 그룹에 속 junos:all-new-apps
하지 않습니다.
응용 프로그램 서명 패키지 개선 사항
Junos OS 릴리스 21.1R1부터 애플리케이션 서명 패키지에 다음과 같은 개선 사항을 도입했습니다.
- FTP 데이터 컨텍스트 전파 지원
- 애플리케이션 시스템 캐시(ASC) 적중 시 APBR(Advanced Policy-Based Routing)에 의해 오프로드된 세션에 대한 DPI(심층 패킷 검사)를 건너뜁니다. (APBR 서비스만 활성화된 경우)
- 동일한 버전의 서명 팩에 응용 프로그램 서명 팩을 강제로 설치합니다. 요청 서비스, 애플리케이션 식별, 설치, 중복 버전 확인 무시를 참조하세요.
- CLI 명령 출력에 애플리케이션 시그니처 팩 릴리스 날짜를 표시합니다. show services application-identification version을 참조하십시오
- 설치된 시그니처 팩에서 사용할 수 있는 더 이상 사용되지 않는 애플리케이션 시그니처 목록을 CLI 명령 출력에 표시합니다. show services application identification application obsolete applications를 참조하십시오
Junos OS 릴리스 20.4 및 이전 버전에서 Junos OS 릴리스 21.1 이상으로 업그레이드할 때는 및 request services application-identification install
명령을 사용하여 request services application-identifications download
애플리케이션 식별 서명 데이터베이스를 업데이트하는 것이 좋습니다.