응용 프로그램 서명 패키지 설치

차세대 애플리케이션 식별로 업그레이드

레거시 애플리케이션 식별과 함께 Junos OS 빌드와 함께 설치되는 보안 디바이스에는 레거시 애플리케이션 식별 보안 패키지가 포함됩니다. 이러한 디바이스를 최신 릴리스로 업그레이드하면 차세대 애플리케이션 식별 보안 패키지가 기본 프로토콜 번들과 함께 설치됩니다. 장치는 차세대 애플리케이션 식별 기능으로 자동 업그레이드됩니다.

차세대 애플리케이션 식별 보안 패키지에 대한 다음 사항에 유의하세요.

• 차세대 애플리케이션 식별 보안 패키지는 레거시 애플리케이션 식별 패키지에 대한 증분 업데이트를 도입합니다. 기존 응용 프로그램을 제거하거나 제거할 필요는 없습니다.

• 이전 Junos OS 버전의 애플리케이션은 이후 버전에서 새로운 별칭을 가질 수 있습니다. 기존 구성은 계속 작동하지만 로그 및 관련 정보에는 업데이트된 이름이 반영됩니다. show services application-identification application detail new-application-name 명령을 사용하여 애플리케이션의 세부사항을 가져옵니다.

• Junos OS를 업그레이드할 때 명령에 또는 no-validate 옵션을 request system software add 포함할 validate 수 있습니다. 차세대 애플리케이션 식별의 일부가 아닌 기존 기능은 더 이상 사용되지 않으므로 비호환성 문제가 발생하지 않습니다.

• 차세대 애플리케이션 식별 기능은 새로운 중첩 애플리케이션의 생성을 제거하고 기존의 중첩된 애플리케이션을 일반 애플리케이션으로 처리합니다. 또한 차세대 응용 프로그램 식별은 사용자 지정 응용 프로그램 또는 사용자 지정 응용 프로그램 그룹을 지원하지 않습니다. 중첩된 응용 프로그램, 사용자 지정 응용 프로그램 또는 사용자 지정 응용 프로그램 그룹과 관련된 기존 구성은 경고 메시지와 함께 무시됩니다.

구성

• 단계별 절차
• 단계별 절차

Application Identification Package 다운로드 및 설치

• 단계별 절차
• 단계별 절차

목적

응용 프로그램 패키지를 성공적으로 다운로드하고 설치한 후 다음 명령을 사용하여 미리 정의된 응용 프로그램 서명 패키지 콘텐츠를 확인합니다.

행동

• 응용 프로그램 패키지의 현재 버전을 봅니다.

• 응용 프로그램 패키지의 현재 상태를 봅니다.

자동 롤백

애플리케이션 시그니처 패키지 설치가 실패할 경우 시스템은 보안 디바이스에 현재 설치되어 있는 애플리케이션 시그니처 패키지의 이전 버전으로 자동 롤백합니다.

섀시 클러스터 모드에서 작동하는 디바이스에 애플리케이션 시그니처 패키지를 다운로드하여 설치할 때 노드에서 설치가 실패하면 시스템은 이전 버전의 애플리케이션 시그니처로 롤백됩니다. 디바이스는 설치가 실패하고 롤백이 성공한 동일한 노드에 사소한 알람을 표시합니다.

본보기:

설치가 실패하고 롤백이 성공적으로 완료된 경우 응용 프로그램 서명 패키지 롤백 상태를 확인합니다.

수동 롤백

다음 단계를 사용하여 응용 프로그램 서명 패키지를 이전에 설치된 버전으로 수동으로 롤백할 수 있습니다.

1. 응용 프로그램 서명 패키지를 이전 버전으로 롤백합니다.

2. 롤백 상태를 확인합니다.

응용 프로그램 서명 패키지의 수동 롤백에 대해 다음 사항에 유의하세요.

• 응용 프로그램 서명 패키지 버전을 버전 Y에서 버전 X로 수동으로 롤백하면 버전 Y보다 높은 새 버전 Z를 사용할 수 있을 때까지 응용 프로그램 서명 패키지의 예약된 자동 업데이트를 건너뜁니다.

• 침입 탐지 및 방지(IDP) 보안 패키지를 통해 애플리케이션 시그니처를 다운로드하고 설치할 수 있습니다. 이 경우 IDP 설치 중 AppID 설치가 실패하면 AppID는 이전 버전으로 롤백되고 IDP 설치는 요청된 버전으로 계속됩니다. 이 경우 IDP와 AppID의 버전이 다를 수 있습니다.

• 다운로드한 서명 패키지 파일의 손상, 삭제 또는 수정이 있는 경우 응용 프로그램 서명 패키지 설치가 진행되지 않습니다. 이러한 경우 다음 메시지가 표시됩니다.

• 보안 디바이스에 이전 버전의 애플리케이션 시그니처 패키지가 포함되어 있지 않은 상태에서 애플리케이션 시그니처 패키지를 롤백하려고 하면 디바이스에 다음과 같은 오류 메시지가 표시됩니다.

새 응용 프로그램을 일반 응용 프로그램으로 마이그레이션:

junos:all-new-apps 그룹에는 이전에 설치된 서명 팩과 비교하여 보안 디바이스에 설치된 애플리케이션 서명 팩의 모든 새 애플리케이션 세트가 포함되어 있습니다. 최신 버전의 애플리케이션 서명 패키지를 설치하기로 결정한 경우, 해당 버전에는 junos:all-new-apps 그룹의 새로운 애플리케이션 세트가 포함됩니다.

새 응용 프로그램을 기존 응용 프로그램 서명 패키지의 일반 응용 프로그램으로 마이그레이션하도록 선택할 수 있습니다. 이 마이그레이션은 나중에 최신 애플리케이션 시그니처 버전으로 업그레이드할 때마다 새 애플리케이션과 관련하여 생성되는 보안 정책의 규칙을 일관되게 유지하는 데 도움이 됩니다.

다음과 같은 새 명령을 사용하여 새 응용 프로그램으로 태그가 지정된 응용 프로그램을 일반 응용 프로그램으로 이동할 수 있습니다.

• 지정된 새 응용 프로그램만 일반 응용 프로그램으로 마이그레이션하려면 다음 명령을 사용합니다.

• 모든 새 응용 프로그램을 일반 응용 프로그램으로 마이그레이션하려면 다음 명령을 사용합니다.

이러한 명령을 실행한 후에는 응용 프로그램이 더 이상 새 응용 프로그램으로 태그가 지정되지 않으며 그룹에 속 junos:all-new-apps 하지 않습니다.

응용 프로그램 서명 패키지 개선 사항

애플리케이션 서명 패키지에 다음과 같은 향상된 기능을 도입했습니다.

• FTP 데이터 컨텍스트 전파 지원
• 애플리케이션 시스템 캐시(ASC) 적중 시 고급 정책 기반 라우팅(APBR)에 의해 오프로드된 세션에 대한 DPI(심층 패킷 검사)를 건너뜁니다. (APBR 서비스만 활성화된 경우)
• 동일한 버전의 서명 팩에 응용 프로그램 서명 팩을 강제 설치합니다. 요청 서비스, 응용 프로그램 식별, 설치, 중복 버전 확인 무시를 참조하세요.
• CLI 명령 출력에 애플리케이션 시그니처 팩 릴리스 날짜가 표시됩니다. show services application-identification version을 참조하십시오.
• CLI 명령 출력에 설치된 서명 팩에서 사용할 수 있는 더 이상 사용되지 않는 애플리케이션 서명 목록을 표시합니다. show services, application identification application, obsolete applications를 참조하십시오.

응용 프로그램 서명 패키지 설치 실패

응용 프로그램 서명 패키지를 설치하는 동안 오류가 발생하거나 프로세스가 예기치 않게 충돌하면 설치가 자동으로 중지되고 이전에 설치된 버전으로 되돌아갑니다.

결함이 있는 응용 프로그램 서명 패키지의 다운로드 상태를 확인하려고 하면 다음과 같은 오류 메시지가 표시됩니다.

• 응용 프로그램 서명 패키지 버전을 지정합니다.
• 지정된 응용 프로그램 서명 패키지 버전이 없는 경우:

응용 프로그램 서명 설치 상태를 확인할 때 다음 메시지가 표시됩니다.

• 응용 프로그램 패키지 설치가 완료되고 결함에 대해 유효성이 검사되는 경우:

• 결함으로 표시된 응용 프로그램 서명 패키지를 설치하려고 할 때 :

• 설치된 응용 프로그램 서명 패키지에 결함이 있는 것으로 감지되는 경우:

다음 명령을 사용하여 실패한 버전의 세부 정보를 볼 수 있습니다.

응용 프로그램 서명 패키지의 자동 업데이트를 예약한 경우: 설치가 진행 중이고 설치 패키지에 문제가 있는 경우 시스템은 응용 프로그램 서명 패키지를 이전 버전으로 롤백합니다. 다음 자동 업데이트 중에 시스템은 다운로드 및 설치를 위해 문제가 있는 서명 패키지를 계속 사용하지 않습니다.

자동 롤백 기능 향상

이제 자동 롤백 기능을 사용하면 시스템에서 애플리케이션 서명 패키지의 이전 작업 버전으로 되돌릴 수 있습니다. 또한 응용 프로그램 서명 패키지 설치 중에 문제가 발생할 경우 이전에 지정된 롤백 버전을 유지합니다

예를 들어 디바이스에 현재 애플리케이션 서명 패키지 버전 Y가 있고 롤백 버전을 X로 설정한 경우 설치 시도 중에 다음과 같은 상황이 발생합니다.

• 새 버전 Z를 설치하려고 합니다.
• 설치 중에 문제가 발생하거나 버전 Z가 설치되지 않으면 시스템은 자동으로 현재 버전 Y로 되돌아갑니다.
• 이전에 지정된 롤백 버전 X는 변경되지 않은 상태로 유지됩니다.

이러한 방식으로 시스템은 필요한 경우 알려진 작업 버전으로 되돌려 원활한 전환을 보장합니다.

섀시 클러스터에 애플리케이션 시그니처 패키지 설치 설정

섀시 클러스터 설정을 사용하는 경우, 시스템은 먼저 기본 노드에 애플리케이션 시그니처 패키지를 설치하고 문제가 있는지 확인합니다.

응용 프로그램 서명 패키지 설치는 기본 노드에서 즉시 시작됩니다. 설치하는 동안 보조 노드는 기본 노드가 설치 패키지의 유효성 검증을 완료할 때까지 기다립니다. 유효성 검사에 성공하면 시스템은 보조 노드에 동일한 패키지를 설치하고, 그렇지 않으면 설치를 건너뜁니다.

다음 명령을 사용하여 설치 상태를 확인할 수 있습니다.

기본 노드에서 설치가 실패하면 기본 노드에서만 롤백이 발생합니다. 마찬가지로 보조 노드에서 설치가 실패하면 보조 노드에서만 롤백이 트리거됩니다.

설치에 실패하면 시스템에서 다음 메시지를 표시합니다.

기본 노드

보조 노드

기본 노드에서 설치가 진행 중인 동안 노드가 기본 상태에서 보조 상태로 변경되면 시스템에 다음 메시지가 표시됩니다.

기본 노드

보조 노드

예기치 않은 문제로 인해 기본 시스템이 시간(약 35분) 내에 보조 노드를 업데이트할 수 없는 경우 보조 시스템의 설치 프로세스가 취소됩니다.

기본 노드가 설치 및 검증을 완료하면 시스템은 보조 노드에서 설치를 시작합니다. 장애 조치(failover)로 인해 기본 및 보조 역할이 변경되는 경우 이전 보조 노드(현재 주 노드)는 서명 패키지를 계속 설치합니다.

서명 패키지 서버의 설치 상태

응용 프로그램 서명 엔진은 설치 성공 또는 실패를 위해 상태를 서명 패키지 서버로 보냅니다. 응용 프로그램 서명 패키지를 설치하는 동안 패키지에서 오류가 발견되면 설치가 중지되고 이전 활성 버전으로 되돌아가며 상태가 서버로 전송됩니다. 여러 장치에서 결함이 있는 애플리케이션 서명 패키지를 보고하는 경우 서버는 이 데이터를 분석하고 패키지를 유효하지 않은 것으로 표시하고 향후 다운로드를 방지합니다.

서명 패키지를 유효하지 않은 것으로 표시하는 것은 주 서명 패키지에만 사용할 수 있습니다.

유효하지 않은 것으로 표시된 서명 패키지는 CLI에서만 향후 다운로드할 수 없습니다. Security Director를 통한 다운로드 및 설치 및 오프라인 다운로드에는 요청한 응용 프로그램 패키지를 다운로드할 수 없음을 알리는 오류 메시지가 표시됩니다.

메이저 및 마이너 시그니처 패키지

이제 업데이트에 사용할 수 있는 두 가지 유형의 서명 패키지를 지원합니다.

• 주요 업데이트에는 IDP 서명, IDP 감지기 및 애플리케이션 식별 protobundle이 포함됩니다.
• 부 업데이트에는 정기적인 서명 업데이트가 포함됩니다.

예를 들어 주 업데이트와 부 업데이트의 차이점을 이해해 보겠습니다.

• 프로토콜 번들이 릴리스된 서명 패키지 버전의 버전은 3585입니다. 이것은 주요 업데이트입니다. 3585 이후의 모든 마이너 시그니처 패키지에는 다음 메이저 시그니처 패키지가 업데이트될 때까지 이 업데이트된 프로토콜 번들이 포함되어 있습니다.
• 패키지의 다음 릴리스에는 IDP 감지기가 포함되며 버전 3598이 있습니다. 이것은 다시 주요 업데이트입니다. 3598 이후의 모든 부 서명 패키지에는 다음 주요 업데이트가 있을 때까지 이 업데이트된 감지기가 포함되어 있습니다.

방화벽에 주 서명 팩 버전 3598이 있는 경우 수동 다운로드 방법 또는 자동 다운로드를 사용하여 3588과 같은 부 버전을 다운로드하려고 하면 다음 오류 메시지와 함께 다운로드가 실패합니다.

Minor-Only Signature Package 다운로드

부 항목으로 표시된 응용 프로그램 서명 패키지를 다운로드할 수 있습니다. 기본 동작은 주 버전 또는 부 버전을 확인하지 않습니다.

부 서명 패키지의 자동 다운로드를 설정하려면:

명령에서 지정 minor-only 하면 서명 패키지의 부 버전이 다운로드됩니다.

부 서명 패키지를 다운로드하려면:

명령에서 지정 minor-only 하면 서명 패키지의 부 버전이 다운로드됩니다.

사용 가능한 서명 패키지 버전을 확인합니다.

이 명령은 응용 프로그램 서명 패키지의 사용 가능한 모든 버전을 표시합니다.

사용 가능한 서명 패키지 버전을 확인합니다.

이 명령은 주요 애플리케이션 서명 패키지의 최신 버전을 모두 표시합니다.

서명 패키지의 버전을 확인합니다.

이 명령은 필드에 디바이스 Application package version 에 설치된 애플리케이션 서명 패키지 버전을 표시합니다.

주니퍼 네트웍스 보안 웹 사이트에서 서명 패키지의 버전을 확인합니다.

명령은 주니퍼 네트웍스 보안 웹 사이트에서 제공되는 주 및 부 응용 프로그램 서명 패키지의 최신 버전을 표시합니다.

응용 프로그램 서명 패키지 버전 다운그레이드

서명 패키지 버전을 지정하여 응용 프로그램 서명 패키지 버전을 다운그레이드할 수 있습니다. 다음 단계를 사용하여 다운그레이드합니다.

1. 명령을 사용하여 show services application-identification recent-appid-sigpack-versions 사용 가능한 서명 패키지 버전을 확인합니다.

2. 명령을 실행하여 필요한 버전을 다운로드합니다.

AppID(Offline Application Identification) 업데이트

AppID(Offline Application Identification) 업데이트 및 관련 기능은 특히 연결성이 제한된 환경에서 네트워크 시스템의 관리 및 서비스 가능성을 크게 향상시킵니다.

오프라인 AppID 업데이트 기능을 사용하면 다음 CLI 명령을 사용하여 로컬 tar 파일에서 서명 패키지를 업데이트할 수 있습니다.

이 명령을 입력하면 시스템은 서명 패키지의 압축을 풀고 추출된 파일을 디바이스의 적절한 위치에 배치합니다.

본보기:

1. URL에서 오프라인 응용 프로그램 패키지를 복사하거나 다운로드합니다 https://support.juniper.net/support/downloads/?p=282
2. 서명 패키지를 추출하는 명령을 입력합니다.
3. 서명 패키지의 오프라인 다운로드 상태를 확인합니다.

   패키지 경로가 올바르지 않은 경우 다음과 같은 오류 메시지가 표시됩니다.

4. request services application-identification install 명령을 사용하여 디바이스에 서명 패키지를 설치합니다.

이 작업은 업데이트의 성공 여부 또는 오류 발생 여부를 나타내는 시스템 로그 메시지와 함께 종료되어 문제 해결을 위한 즉각적인 피드백을 제공합니다. syslog 메시지의 예:

• 성공적인 APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Complete 업데이트를 확인합니다.
• 은(는) APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist) 특정 오류 메시지와 함께 실패를 나타냅니다

이 기능은 원격 위치나 보안 시설과 같이 인터넷 연결이 제한적이거나 없는 환경에서 특히 유용합니다.

더 이상 사용되지 않는 애플리케이션에 대한 Syslog 메시지

이제 더 이상 사용되지 않는 응용 프로그램 및 응용 프로그램 그룹을 관리할 수 있습니다. 서명 팩 업데이트를 수행하면 더 이상 사용되지 않는 애플리케이션이 나열되므로 보안 정책에 영향을 미칠 수 있는 오래된 애플리케이션을 식별하고 관리하는 데 도움이 되는 시스템 로그 메시지가 표시됩니다.

더 이상 사용되지 않는 애플리케이션을 처리할 때 시스템 로그 메시지에 APPIDD_DEPRECATED_APPLIST: Obsolete apps: app1, app2, app3, app4... 오래된 애플리케이션이 나열되므로 적절한 조치를 취할 수 있습니다.

사용되지 않는 응용 프로그램 그룹 나열

다음 명령을 사용하여 더 이상 사용되지 않는 모든 응용 프로그램 그룹을 나열할 수 있습니다.

명령을 사용하면 더 이상 사용되지 않는 애플리케이션 그룹을 나열하여 이러한 그룹이 디바이스 구성을 방해하지 않도록 보장하고 숨겨진 사용되지 않는 그룹으로 인한 커밋 실패를 방지할 수 있습니다.

다음 시스템 로그 메시지를 사용하여 더 이상 사용되지 않는 응용 프로그램 그룹을 볼 수 있습니다.