Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

통합 보안 정책

통합 정책은 동적 애플리케이션을 기존 5-tuple 또는 6-tuple(사용자 방화벽과 함께 5-tuple) 조건의 일부로 일치 조건으로 동적 애플리케이션을 사용하여 시간이 경과에 따라 애플리케이션 변경을 탐지할 수 있도록 하는 보안 정책입니다.

통합 정책 개요

Junos OS Release 18.2R1 통합 정책이 SRX 시리즈 장치에서 지원되므로 보안 정책 내에서 동적 Layer 7 애플리케이션을 세부적으로 제어하고 적용할 수 있습니다.

통합 정책은 동적 애플리케이션을 기존 5-tuple 또는 6-tuple(사용자 방화벽과 함께 5-tuple) 조건의 일부로 일치 조건으로 동적 애플리케이션을 사용하여 시간이 경과에 따라 애플리케이션 변경을 탐지할 수 있도록 하는 보안 정책입니다. 트래픽이 보안 정책 규칙에 일치하면 정책에 정의된 하나 이상의 작업이 트래픽에 적용됩니다.

일치 조건에 동적 애플리케이션을 추가하면 데이터 트래픽은 Layer 7 애플리케이션 검사 결과에 따라 분류됩니다. AppID는 동적 또는 실시간 Layer 4 ~Layer 7 애플리케이션을 식별합니다. 특정 애플리케이션이 식별되고 일치되는 정책이 발견되면 해당 조치는 해당 정책에 따라 적용됩니다.

보안 정책에서 동적 애플리케이션을 일치 조건으로 구성하는 것은 필수가 아닙니다.

보안 정책 내에서 동적 애플리케이션을 일치 조건으로 구성하는 예는 다음과 같습니다.

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

보안 정책 내에서 동적 애플리케이션 그룹을 일치 조건으로 구성하는 예는 다음과 같습니다.

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

혜택

  • 레이어 7에서 애플리케이션 기반 보안 정책 관리를 단순화합니다.

  • 디바이스가 네트워크의 동적 트래픽 변경에 적응할 수 있도록 합니다.

  • 전통적인 보안 정책에 비해 동적 애플리케이션 트래픽을 관리할 수 있도록 제어가 더욱 강화된 EX 4200을 제공합니다.

통합 정책 구성 개요

다음 섹션에서는 통합 정책에 대한 자세한 정보를 제공합니다.

동적 애플리케이션 구성 옵션

표 1 은 동적 애플리케이션을 사용하는 통합 정책 구성 옵션을 제공합니다.

표 1: 동적 애플리케이션 구성 옵션

동적 애플리케이션 구성 옵션

설명

동적 애플리케이션 또는 애플리케이션 그룹

동적 애플리케이션 또는 동적 애플리케이션 그룹을 지정합니다.

예는 다음과 같습니다.

  • junos:FTP (동적 애플리케이션)

  • junos:web:shopping (동적 애플리케이션 그룹)

모든

애플리케이션을 와 any 일드카드로 정책을 설치하는 동적 애플리케이션 구성(기본). 애플리케이션을 지정할 수 없는 경우 기본 any 애플리케이션으로 구성합니다. 통합 정책에서 매개변수와 일치하는 데이터 트래픽은 애플리케이션 유형에 관계없이 정책과 일치합니다.

없음

AppID의 none 분류 결과를 무시하는 것으로 동적 애플리케이션을 구성하고 보안 정책 룩업에서 동적 애플리케이션을 사용하지 않습니다. 잠재적 일치 정책 목록 내에서 동적 none애플리케이션으로 구성된 정책이 있는 경우, 이 정책은 최종 정책과 일치하며 터미널입니다. 이 정책에서 Layer 7 서비스가 구성된 경우 트래픽에 대해 심층 패킷 검사 서비스가 수행됩니다.

Junos OS 릴리스를 업그레이드할 때(동적 애플리케이션이 지원되지 않는 경우), 기존의 모든 정책은 동적 애플리케이션으로 구성되는 정책으로 간주됩니다 none.

구성되지 않은 동적 애플리케이션

동적 애플리케이션이 보안 정책 내에 구성되지 않은 경우 정책은 전통적인 보안 정책으로 간주됩니다. 이 정책은 으로 구성된 동적 애플리케이션을 적용한 정책과 유사합니다 none.

2018년 Junos OS 릴리스에서 19.4R1 20.1R1 동적 애플리케이션 일치 기준으로 다음과 같은 애플리케이션을 사용하는 것은 지원하지 않습니다.

  • junos:HTTPS

  • junos:POP3S

  • junos:IMAPS

  • junos:SMTPS

junos:https:httpS, junos:POP3S, junos:IMAPS, junos:SMTPS를 일치 조건에 따라 동적 애플리케이션으로 구성하면 19.4R1 및 20.1R1 이상 릴리스가 검증 동안 실패합니다. Junos OS

위에 언급된 릴리스로request system software validate package-name 업그레이드하기 전에 이 옵션을 사용하는 것이 좋습니다.

동적 애플리케이션 junos:HTTPS, junos:IMAPS, junos:SMTPS 또는 junos:POP3S를 보안 정책에서 일치 조건으로 포함하는 모든 구성을 제거하는 것이 좋습니다.

애플리케이션 매칭 기준의 기본 포트 및 프로토콜

Junos OS Release junos-defaults 18.2R1 애플리케이션 일치 기준으로 보안 정책 구성에 도입됩니다. 이 junos-defaults 그룹에는 공통 애플리케이션에 대한 사전 정의 값을 포함하는 사전 구성된 명령문이 포함되어 있습니다. 기본 프로토콜 junos-defaults및 포트가 에서 상속받기 때문에 명시적으로 포트 및 프로토콜을 구성할 필요가 없습니다. 따라서 보안 정책 구성을 단순화할 수 있습니다.

다음 예제에서 보안 정책 L7-test-policy junos:HTTP 은 동적 애플리케이션으로 사용하며 대상 TCP 포트(80, 3128, 8000 및 8080)를 애플리케이션 일치 기준으로 활용합니다.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

애플리케이션에 기본 포트와 프로토콜이 없는 경우 애플리케이션은 종속 애플리케이션의 기본 포트 및 프로토콜을 사용합니다. 예를 들어 junos:FACEBOOK-CHAT는 HTTP2, HTTPS, SPDY의 기본 프로토콜과 포트를 사용합니다.

동적 junos-defaults 애플리케이션과 함께 옵션을 구성해야 합니다. 동적 애플리케이션을 junos-defaults 지정하지 않고 옵션을 구성하면 오류 메시지가 표시되어 구성 커밋에 실패합니다. 명령어 show security policies detail 를 사용하여 해당 옵션을 검증 junos-defaults 합니다.

동적 애플리케이션 식별에 앞서 기본 정책 작업

AppID pre-id-default-policy (Application Identification)에 의해 애플리케이션이 식별되기 전에, 그 옵션은 세션에 적용됩니다. 세션 타임아웃 값은 필수 세션 로깅 모드와 함께 구성에 따라 적용됩니다 pre-id-default-policy . 스탠 pre-id-default-policy 자 내에 구성이 없는 경우 기본 세션 타임아웃 값이 세션에 적용되고 에 대한 로그가 생성되지 않습니다 pre-id-default-policy.

아래와 같이 고객들이 자체 set security policies pre-id-default-policy then log session-close 환경에서 구성을 구현할 수 있도록 권장하고 있습니다.

이 구성은 플로우가 를 떠날 수 없는 경우 보안 로그를 SRX에 의해 생성하도록 보장합니다 pre-id-default-policy. 이러한 이벤트는 일반적으로 트래픽을 적절하게 분류할 수 없는 JDPI의 결과입니다. 비록 APPID 엔진을 도용하려는 시도가 발생할 수도 있습니다.

최신 버전의 Junos OS SRX의 공장 기본값 구성에는 구성이 session-close 포함되어 있습니다.

주의:

대규모 로그 pre-id-default-policy 를 생성할 수 있는 에 대한 세션 인티트 로깅 구성 처음에는 사전 id-기본값 정책과 일치하는 SRX에 입력된 각 세션이 이벤트를 생성합니다. 문제 해결을 위해 이 옵션만 사용하는 것이 좋습니다.

통합된 정책을 통해 글로벌 정책 활용도

영역 기반 보안 정책은 정책 룩업이 구현될 때 글로벌 정책보다 우선 순위가 지정됩니다. Junos OS Release 18.2R1 존 기반 보안 정책 내에 통합 정책이 구성된 경우 글로벌 정책 룩업이 수행되지 않습니다. Junos OS Release 18.2R1 없는 경우 글로벌 정책 룩업이 수행됩니다.

SRX 시리즈 디바이스는 Junos OS Release 20.4R1 존 컨텍스트 및 글로벌 수준 정책 모두에서 통합 정책을 동시에 지원합니다. 이전 릴리스에서는 영역 컨텍스트 정책만 지원하는 통합 정책입니다.

만약 세션이 존 수준 또는 글로벌 수준에서 모든 통합 정책과 일치하는 경우, 해당 정책은 잠재적 정책 일치 목록에 추가됩니다. 세션이 zone 수준에서 정책과 일치하지 않을 경우 다음 정책 일치는 글로벌 수준에서 발생합니다. 글로벌 수준 정책은 다른 모든 보안 정책과 동일한 기준을 습니다(예: 소스 주소, 대상 주소, 애플리케이션, 동적 애플리케이션 등).

통합 정책 작업

통합 정책 구성에서 다음 작업 중 하나를 지정합니다.

  • 허용—트래픽을 허용합니다.

  • 거부—트래픽을 삭제하고 세션을 종료합니다.

  • 거부—클라이언트에 알리고 트래픽을 삭제하며 세션을 종료합니다.

거부 조치에 대한 리디렉션 프로파일

통합 정책은 삭제 및 거부 작업을 기록합니다. 통합 정책은 연결된 클라이언트에 삭제 및 거부 조치를 알리지 않습니다. 클라이언트는 웹 페이지가 액세스할 수 없는지 인식하지 못하며 계속 웹 페이지 액세스 시도를 계속할 수 있습니다.

릴리스 Junos OS 릴리스 18.2R1 통합 정책 내에서 리디렉션 프로필을 구성할 수 있습니다. 정책이 거부 또는 거부 작업을 통해 HTTP 또는 HTTPS 트래픽을 차단하는 경우 통합 정책에서 응답을 정의하여 연결된 클라이언트에 알릴 수 있습니다.

조치에 대한 설명을 제공하거나 클라이언트를 정보 웹 페이지로 리디렉션하려면 통합 redirect-message [edit security dynamic-application profile name] 정책 구성에서 거부 또는 거부 조치를 사용하여 계층 수준에서 옵션을 사용하여 사용자 지정 메시지를 표시합니다.

리디렉션 옵션을 구성하면 클라이언트가 리디렉션되는 사용자 지정 메시지 또는 URL을 지정할 수 있습니다.

통합 정책에서 리디렉션 프로필 구성에 대한 제한

통합 정책에서 리디렉션 프로필을 구성하는 데는 제한이 있습니다. 여기에는 다음이 포함됩니다.

  • HTTP가 아닌 애플리케이션 또는 비 HTTPS 애플리케이션에서 리디렉션 URL이 있는 차단 메시지를 사용하는 리디렉션 조치를 지원하지 않습니다.

  • 통합 정책은 사용자가 구성한 리디렉션 URL의 유효성과 액세스 가능성은 확인하지 않습니다.

  • 투명한 텍스트 처리, 순서 외 HTTP 패킷 또는 세그먼트형 HTTP 요청의 경우 사용 가능한 정책 작업은 거부 또는 거부됩니다. 리다이 리디렉션 프로필을 사용할 수 없습니다.

  • 리디렉션 프로필은 통합 정책에만 적용할 수 있습니다. 기존 보안 정책에 대한 거부 조치는 차단 메시지 프로파일 또는 리디렉션 URL을 통해 리디렉션 조치를 지원하지 않습니다.

거부 조치를 위한 SSL 프록시 프로파일

릴리스 Junos OS 릴리스 18.2R1 정책 내에서 리디렉션 프로필을 구성할 수 있습니다. 정책이 거부 또는 거부 작업을 통해 HTTP 또는 HTTPS 트래픽을 차단할 경우 트래픽에 SSL 프록시 프로파일을 적용할 수 있습니다. SSL 프록시는 트래픽의 복호화와 애플리케이션 식별 기능을 통해 애플리케이션을 식별합니다. 그런 다음 구성에 따라 트래픽을 리디렉션하거나 삭제하는 조치를 취할 수 있습니다.

다음 예제를 고려합니다.

이 예에서는 'policy-1' 정책에서 채팅, Farmville 등의 일부 Facebook 애플리케이션을 거부합니다. Facebook은 암호화된 애플리케이션이기 때문에 트래픽을 먼저 복호화하려면 SSL 프록시가 필요합니다.

이 예에서 정책은 암호화된 Facebook 트래픽을 거부하고 구성된 SSL 프록시 프로필을 적용합니다. SSL 프록시는 트래픽을 복호화하고 JDPI는 애플리케이션을 식별합니다.

이제 정책은 구성에 따라 다음과 같은 조치를 적용합니다.

  • 클라이언트 액세스를 다른 URL로 리디렉션하고 원래 세션을 닫습니다.

  • 미리 정의된 텍스트 메시지를 클라이언트에 고지하고 세션을 종료

  • 세션만 닫습니다. 예제에서 정책은 세션을 종료합니다.

통합 정책에 대한 일치 기준 및 규칙

통합 정책 내재적 및 명시적 일치

Junos OS Release unified-policy-explicit-match [edit security policies] 18.2R1 계층 수준에서 명령어가 도입됩니다. 이 명령은 명시적 및 내재적 정책 일치 동작을 정의하며 기본적으로 비활성화됩니다.

  • 명시적 일치—종속 애플리케이션에 일치하는 정책이 없는 경우 명시적 일치가 활성화되면 트래픽이 삭제됩니다. 애플리케이션을 위해 명시적으로 구성된 보안 정책만 적용됩니다.

  • 암시적 일치—종속 애플리케이션에 일치하는 정책이 없는 경우 기본 애플리케이션에 대해 구성된 보안 정책이 적용됩니다.

기본적으로 통합 정책은 종속 애플리케이션에 대한 암시적 규칙을 적용합니다.

2에 나와 있는 예제에서 통합 정책 P3가 FACEBOOK-ACCESS 트래픽에 대해 구성됩니다. HTTP는 FACEBOOK-ACCESS의 종속적 애플리케이션으로, 명시적으로 구성된 보안 정책이 없습니다.

표 2: 종속 애플리케이션에 대한 명시적 및 내재적 정책 일치의 예

동적 애플리케이션

정책 구성

HTTP

없음

FACEBOOK 액세스

P3

내재적 및 명시적 일치 동작의 결과는 표 3에 표시하고 있습니다.

표 3: 정책 일치의 예(암시적 및 명시적 일치 기준)

애플리케이션 식별

정책 일치

명시적 또는 내재적 규칙 유형

결과

없음

P3

암시적(명시적은 활성화되지 않습니다)

식별된 애플리케이션은 HTTP입니다. HTTP에 대해 구성된 보안 정책은 없습니다. 명시적 일치(암시적 일치)가 활성화되지 않습니다. 따라서 FACEBOOK-ACCESS가 식별될 때까지 트래픽이 더 처리됩니다. FACEBOOK-ACCESS(정책 P3)에 대한 보안 정책이 적용됩니다.

HTTP

FACEBOOK 액세스

HTTP

없음

명시적

식별된 애플리케이션은 HTTP입니다. HTTP에 사용할 수 있는 일치 정책은 없습니다. 명시적 일치가 활성화되어 있으므로 이 경우 보안 정책이 적용되지 않습니다.

레이어 7 서비스에 대한 프로파일 중복

통합 정책을 사용하지만 AppID 결과가 아직 최종 애플리케이션을 식별하지 못하면 정책 검색에서 고정 정책이 아닌 정책 목록을 반환할 수 있습니다. 이들 정책을 잠재적 일치 정책이라고 합니다. 최종 애플리케이션이 식별되기 전에 여러 정책 일치로 인해 충돌이 발생할 수 있습니다.

이 경우 AppQoS, SSL 프록시, UTM(Unified Threat Management) 및 보안 정책과 같은 서비스에 적합한 프로필 또는 침입 탐지 및 방지(IDP).

정책 재연기

옵션이 활성화 policy rematch 되면 디바이스가 통합 정책을 통해 관련 보안 정책이 수정될 때 활성 세션을 재평가할 수 있습니다.

처음에 세션을 허용한 정책과 일치할 경우 세션이 열려 있습니다. 관련 정책의 이름을 변경, 비활성화 또는 삭제한 경우 세션이 종료됩니다. 이 옵션을 extensive 사용하여 관련 보안 정책의 이름을 변경, 비활성화 또는 삭제한 경우 활성 세션을 재평가합니다.

최종 일치 전에 통합 정책에서 정책 재연결이 구성된 경우, 재결정 동작은 세션 폐쇄로 이어질 수 있습니다. 최종 일치 후, 정책 재연결은 6-tuple 일치 기준과 최종 식별된 애플리케이션을 기반으로 또 다른 정책 룩업을 트리거합니다.

계층 policy-rematch 수준에서 policy-rematch extensive 구성 [edit security policies] 하고 옵션.

통합 정책 구성의 제한

통합 정책 구성에는 제한이 있습니다. 여기에는 다음이 포함됩니다.

  • 기존 세션은 다음과 같은 케이스에서 종료될 수 있습니다.

    • 정책에 대한 최종 일치가 변경된 경우

    • 기존 정책 내에 새 정책을 삽입하고 이 새 정책이 새 서비스로 구성되면

    • 최종 일치 정책이 세션이 작성된 후 최종 일치 이전까지 새로운 서비스를 지원할 수 있습니다.

  • 정책 기반 VPN은 통합 정책에서 지원되지 않습니다. 또한 기존 정책에만 적용할 수 있습니다.

  • ALG는 다음과 같은 조건 중 하나에 적용됩니다.

    • 기존 보안 정책이 구성됩니다.

    • 통합 정책은 동적 애플리케이션으로 구성됩니다.

    안티바이러스 스 junos:FTP 캐닝을 지원하기 위해 FTP ALG가 트리거되는 동적 UTM(Unified Threat Management). 활성화 된 FTP 바이러스 차단 검사(CLI 절차 참조)

  • GPRS로 구성된 보안 정책은 정책이 잠재적 일치 목록의 일부인 경우 작동하지 않을 수 있습니다.

  • 그룹 VPN 및 사용자 방화벽 인증을 기존 보안 정책에 적용할 수 있습니다.

  • 동적 애플리케이션을 활용하는 정책을 위해 세션 인티트 로그 내에서 최종 정책 일치 정보를 사용할 수 없습니다.

예: 리디렉션 메시지 프로필을 사용하는 통합 정책 구성

다음 예에서는 리디렉션 메시지 프로필과 통합 정책을 구성하는 방법을 설명하고 있습니다. 이 예에서는 리디렉션 URL이 있는 리디렉션 프로필을 구성합니다. 동적 애플리케이션에 있는 트래픽에 대한 정책에서 리디렉션 프로필을 차단 메시지로 사용하면, GMAIL 및 FACEBOOK-CHAT에서 사용할 수 있습니다. 동시에 동적 junos-defaults 애플리케이션의 기본 포트 및 프로토콜이 현재 정책의 대상 포트 및 프로토콜 일치 기준으로 유산될 수 있도록 애플리케이션을 구성합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 릴리스 Junos OS 실행되는 SRX 시리즈 18.2R1. 이 구성 예는 릴리스 릴리스와 함께 Junos OS 테스트 18.2R1.

시작하기 전에 보안 존을 구성합니다. 예제 : 보안 존 생성을 참조합니다.

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예제에서는 정책이 거부 또는 거부 작업을 통해 HTTP 또는 HTTPS 트래픽을 차단할 때 리다이 리디렉션 프로필을 응답으로 정의합니다. 리디렉션 프로필을 통해 조치에 대한 설명을 제공하거나 보안 정책에 거부 또는 거부 조치가 적용될 때 클라이언트 요청을 정보 웹 페이지로 리디렉션합니다.

이러한 목표를 달성하기 위해 다음과 같은 작업을 수행합니다.

  • 리다이3과 같은 리디렉션 URL을 http://abc.company.com/information/block-message 정책에서 차단 메시지 로 사용합니다.

  • 보안 정책 일치 기준과 source-address 값을 destination-address 구성합니다 any.

  • 애플리케이션을 구성 junos-defaults하여 기본 dynamic-application 포트 및 프로토콜이 현재 정책의 대상 포트 및 프로토콜 일치 기준으로 상속됩니다.

  • 정책 dynamic-application 이 애플리케이션 [junos:GMAIL, junos:FACEBOOK-CHAT] 에 차단 메시지 프로파일을 적용할 수 있도록 구성합니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

리디렉션 메시지 프로필을 사용하여 통합 정책을 구성하려면:

  1. 보안 존을 구성합니다.

  2. 리디렉션 메시지에 대한 프로파일을 생성합니다.

  3. 동적 애플리케이션을 일치 기준으로 사용하여 보안 정책을 생성합니다.

  4. 정책 작업을 정의합니다.

결과

구성 모드에서 명령어를 입력하여 show security policies 구성을 확인 show security dynamic-application 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

통합 정책 구성 검증

목적

통합 정책 구성이 올바른지 확인합니다.

작업

작동 모드에서 명령을 show security policies 입력하여 장치에 모든 보안 정책의 요약을 표시합니다.

작동 모드에서 명령을 show security policies detail 입력하여 장치에 있는 모든 보안 정책의 세부 요약을 표시합니다.

의미

출력은 디바이스의 현재 활성 상태의 모든 보안 세션에 대한 정보를 표시합니다. 다음 정보를 검증합니다.

  • 구성된 정책 이름

  • 소스 및 대상 주소

  • 구성된 애플리케이션

  • 구성된 동적 애플리케이션

  • 정책 거부 작업

통합 정책이 있는 URL 범주 구성

통합 정책에 대한 URL 범주 이해

Junos OS Release 18.4R1 웹 필터링 범주에 대한 일치 조건으로 URL 범주를 포함하게 통합 정책 기능이 향상되었습니다. URL 범주는 동적 애플리케이션이 적용되거나 적용되지 않은 통합 정책으로 구성할 수 있습니다. .

정책에 대해 URL url-category any 범주가 구성된 경우 정책은 통합 정책에 구성된 모든 범주의 트래픽과 일치합니다.

정책에 대해 URL 범주 url-category none 가 구성된 경우 URL 범주는 정책 검색에 사용되지 않습니다. 구성된 통합 정책은 url-category none 트래픽과 일치하는 정책에 가장 높은 우선 순위로 간주됩니다. 정책에 대한 URL 범주가 구성되지 않은 경우 또는 이전 릴리스에서 최신 릴리스로 디바이스를 업그레이드할 때 모든 정책의 URL 범주가 으로 간주됩니다 url-category none.

통합 정책에 따라 URL 범주의 제한

통합 정책에서 URL 범주를 사용하면 다음과 같은 제한이 있습니다.

  • HTTP 및 HTTP 트래픽과 같이 일반적으로 사용되는 포트만이 에서 지원됩니다 url-category. 따라서 정책 룩업은 HTTP 및 HTTP 트래픽을 지원하며,

예: URL 범주를 사용하여 통합 정책 구성

이 예에서는 URL 범주와 통합 정책을 구성하는 방법을 설명하고 있습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX 시리즈 디바이스가 Junos OS 릴리스 18.4R1. 이 구성 예는 릴리스 릴리스와 함께 Junos OS 테스트 18.4R1.

시작하기 전에 보안 존을 구성합니다. 예제 : 보안 존 생성을 참조합니다.

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서 URL 범주는 웹 필터링 범주에 대한 일치 조건으로 보안 정책에 추가됩니다.

이러한 목표를 달성하기 위해 다음과 같은 작업을 수행합니다.

  • 보안 정책 일치 기준과 source-address 값을 destination-address 구성합니다 any.

  • 애플리케이션을 구성 junos-defaults하여 기본 dynamic-application 포트 및 프로토콜이 현재 정책의 대상 포트 및 프로토콜 일치 기준으로 상속됩니다.

  • 정책 dynamic-application 이 애플리케이션 [junos:GMAIL, junos:FACEBOOK-CHAT] 에 차단 메시지 프로파일을 적용할 수 있도록 구성합니다.

  • url-category 필터링 Enhanced_News_and_Media 범주에 대한 일치 기준으로 구성합니다.

구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.

CLI 빠른 구성
단계별 절차
단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

리디렉션 메시지 프로필을 사용하여 통합 정책을 구성하려면:

  1. 보안 존을 구성합니다.

  2. URL 범주가 일치 조건으로 있는 보안 정책을 생성합니다.

  3. 정책 작업을 정의합니다.

결과

구성 모드에서 명령어를 입력하여 show security policies 구성을 확인 show security dynamic-application 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

통합 정책 구성 검증
목적

통합 정책 구성이 올바른지 확인합니다.

작업

작동 모드에서 명령을 show security policies 입력하여 장치에 모든 보안 정책의 요약을 표시합니다.

의미

출력은 디바이스의 현재 활성 상태의 모든 보안 세션에 대한 정보를 표시합니다. 다음 정보를 검증합니다.

  • 구성된 정책 이름

  • 소스 및 대상 주소

  • 구성된 애플리케이션

  • 구성된 동적 애플리케이션

  • 구성된 URL 범주

  • 정책 거부 작업

통합 정책에서 애플리케이션 구성

통합 정책의 애플리케이션

Junos OS Release application [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] dynamic-application 19.1R1 명령문이 동일한 계층 수준에서 구성된 경우, 계층 수준에서 명령문을 구성하는 것이 선택 사항입니다.

릴리스가 Junos OS 19.1R1 경우, application dynamic-application 명령문이 구성된 경우에도 명령문을 구성해야 합니다.

  • application 옵션이 정의하면 정의된 애플리케이션이 사용됩니다.

  • application 옵션이 정의되지 dynamic-application any않을 때 옵션으로 정의하면 애플리케이션 any 이 암시적으로 추가됩니다.

  • application 옵션이 정의되지 dynamic-application anyjunos-defaults 않은 경우(그리고 구성되지 않은) 옵션이 정의되면 애플리케이션이 암시적으로 추가됩니다.

예: 동적 애플리케이션을 사용하는 통합 정책 구성

이 예에서는 동적 애플리케이션을 사용하여 통합 정책을 구성하는 방법을 설명하고 있습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 릴리스 Junos OS 실행하는 SRX 시리즈 19.1R1. 이 구성 예는 릴리스 릴리스와 함께 Junos OS 테스트 19.1R1.

시작하기 전에 보안 존을 구성합니다. 예제 : 보안 존 생성을 참조합니다.

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예제에서 동적 애플리케이션은 일치 조건으로 보안 정책에 추가됩니다.

이러한 목표를 달성하기 위해 다음 작업을 수행합니다.

  • 보안 정책 일치 기준과 source-address 값을 destination-address 구성합니다 any.

  • 정책을 dynamic-application 통해 [junos:CNN, junos:BBC] 애플리케이션 junos:CNN 및 junos:BBC를 허용하도록 구성합니다.

구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.

CLI 빠른 구성
단계별 절차
단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

동적 애플리케이션을 사용하는 통합 정책을 구성하는 경우:

  1. 보안 존을 구성합니다.

  2. 동적 애플리케이션을 일치 기준으로 사용하여 보안 정책을 생성합니다.

  3. 정책 작업을 정의합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인 show security policies 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

통합 정책 구성 검증
목적

통합 정책 구성이 올바른지 확인합니다.

작업

작동 모드에서 명령을 show security policies 입력하여 장치에 모든 보안 정책의 요약을 표시합니다.

작동 모드에서 명령을 show security policies detail 입력하여 장치에 있는 모든 보안 정책의 세부 요약을 표시합니다.

의미

출력은 디바이스의 현재 활성 상태의 모든 보안 세션에 대한 정보를 표시합니다. 다음 정보를 검증합니다.

  • 구성된 정책 이름

  • 소스 및 대상 주소

  • 구성된 애플리케이션

    참고:

    필드 Applications 는 자동화 및 junos-defaults 그 값이 암시적으로 추가됩니다.

  • 구성된 동적 애플리케이션

  • 정책 작업

통합 정책에서 마이크로 애플리케이션 구성

릴리스 Junos OS 릴리스 19.2R1 통합 정책에서 마이크로 애플리케이션을 구성할 수 있습니다. 마이크로 애플리케이션은 애플리케이션의 하위 기능입니다. 마이크로 애플리케이션은 전체 애플리케이션을 차단하거나 허용하는 대신 하위 기능 수준에서 애플리케이션을 세부적으로 제어할 수 있도록 지원합니다. 기본적으로 마이크로 애플리케이션 탐지는 비활성화됩니다.

AppID(Application Identification) 모듈은 네트워크의 하위 기능 수준에서 애플리케이션을 탐지합니다. 보안 정책은 AppID 모듈에 의해 결정된 애플리케이션 ID 정보를 활용합니다. 특정 애플리케이션이 식별되면 장치에 구성된 정책에 따라 트래픽에 허용, 거부, 거부 또는 리디렉션과 같은 조치가 적용됩니다. 보안 정책에서 마이크로 애플리케이션을 탐지하여 사용할 수 있어야 합니다. 마이크로 애플리케이션 감지 활성화 및 활성화 안 를 참조합니다.

정책 룩업 수 제한

정책을 처리하려면 정책 룩업이 애플리케이션에 대한 최종 일치 상태를 반환해야 합니다. 마이크로 애플리케이션을 사용하는 경우, 마이크로 애플리케이션이 세션에 대해 지속적으로 변경하기 때문에 애플리케이션 분류가 최종 일치(match) 상태로 도달하지 못합니다. 마이크로 애플리케이션이 트랜잭션에서 다른 트랜잭션으로 변경하기 때문에 무제한의 정책 룩업이 시도됩니다.

계층 수준에서 unified-policy max-lookups 명령 [edit security policies] 문을 사용하여 정책 룩업의 수를 제한합니다.

마이크로 애플리케이션 구성

기본 수준 애플리케이션과 그 종속적인 마이크로 애플리케이션을 허용하기 위해 기본 수준 애플리케이션을 일치 조건으로 지정하여 통합 정책을 구성할 수 있습니다. 각 종속 애플리케이션을 정책에 대한 일치 조건으로 명시적으로 지정할 필요가 없습니다. 예를 들어, junos-MODBUS junos-MODBUSjunos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL통합 정책에서 기본 수준 애플리케이션을 일치 조건으로 지정하면 애플리케이션의 마이크로 애플리케이션(및)을 정책에 대한 일치 기준과 일치하도록 구성할 수 없습니다.

세분화 수준 제어를 위한 통합 정책을 정의하려면 기본 수준 애플리케이션의 마이크로 애플리케이션을 정책에 대한 일치 기준으로 지정해야 합니다. 정책에서 기본 수준 애플리케이션을 일치 조건으로 정의하면 안 됩니다. 보다 세분화된 정책 구성을 위해 통합 junos:MODBUS-READ-COILS 정책에서 일치 조건으로 지정합니다. 기본 수준 junos:MODBUS 애플리케이션이 동일한 통합 정책에서 일치하는 기준으로 정의되지 않도록 보장합니다.

마이크로 애플리케이션을 사용하는 정책 룩업

마이크로 애플리케이션 탐지는 기본적으로 비활성화됩니다. 마이크로 애플리케이션을 정책 룩업에 대한 일치 기준으로 사용하려면 마이크로 애플리케이션을 탐지하고 통합 정책에 대한 일치 기준으로 지정해야 합니다. 마이크로 애플리케이션을 탐지하지 않은 경우 AppID(Application Identification) 모듈은 마이크로 애플리케이션을 탐지하지 못하며 기본 수준의 애플리케이션을 최종 일치 기준으로 고려합니다. 예를 들어 2개의 junos-:MODBUS 마이크로 애플리케이션과 다음을 사용하는 기본 수준의 junos:MODBUS-READ-COILS 애플리케이션을 예로 들어 보겠습니다 junos:MODBUS-WRITE-SINGLE-COIL.

  • 마이크로 애플리케이션을 탐지하지 junos:MODBUS 않은 경우 AppID 분류에 대한 최종 일치 상태 로 간주됩니다. 마이크로 애플리케이션을 활성화하면 미리 정의된 다른 동적 애플리케이션으로 통합 정책으로 구성할 수 있습니다. 이 마이크로 애플리케이션은 정책 룩업에 사용됩니다.

  • 마이크로 애플리케이션을 탐지할 수 있는 경우 AppID junos:MODBUS 모듈은 사전 일치(pre-match) 상태로 고려합니다. AppID junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL모듈이 탐지되면 , AppID는 이 결과를 최종 일치 상태로 인식하고 이 기준을 사용하여 정책 룩업을 진행합니다.