사용자 지정 정책 응용 프로그램
사용자 지정 정책 응용 프로그램은 미리 정의된 정책 응용 프로그램의 대체 기능입니다. 정책에서 미리 정의된 정책 응용 프로그램을 사용하지 않으려는 경우 사용자 지정 응용 프로그램을 만들 수 있습니다. Junos OS를 사용하면 정책에 맞는 사용자 지정 애플리케이션을 구성할 수 있습니다.
사용자 지정 정책 응용 프로그램 이해
정책에서 미리 정의된 애플리케이션을 사용하지 않으려는 경우 사용자 지정 애플리케이션을 쉽게 만들 수 있습니다.
각 사용자 지정 응용 프로그램에 다음 특성을 할당할 수 있습니다.
이름
전송 프로토콜
TCP 또는 UDP를 사용하는 응용 프로그램의 원본 및 대상 포트 번호
ICMP를 사용하는 응용 프로그램의 유형 및 코드 값
시간 초과 값
사용자 지정 응용 프로그램 매핑Custom Application Mappings
애플리케이션 옵션은 정책에서 참조하는 레이어 4 애플리케이션에 매핑되는 레이어 7 애플리케이션을 지정합니다. 사전 정의된 애플리케이션에 이미 레이어 7 애플리케이션에 대한 매핑이 있습니다. 그러나 사용자 지정 애플리케이션의 경우, 특히 정책에서 사용자 지정 애플리케이션에 ALG(Application Layer Gateway) 또는 심층 검사를 적용하려는 경우 애플리케이션을 정책에 명시적으로 연결해야 합니다.
Junos OS는 DNS, FTP, H.323, HTTP, RSH, SIP, Telnet, TFTP 등 다양한 애플리케이션에 ALG를 지원합니다.
사용자 지정 애플리케이션에 ALG를 적용하려면 다음 두 단계를 거쳐야 합니다.
이름, 시간 제한 값, 전송 프로토콜, 원본 및 대상 포트를 사용하여 사용자 지정 응용 프로그램을 정의합니다.
정책을 구성할 때 적용하려는 ALG에 대한 해당 애플리케이션과 애플리케이션 유형을 참조하십시오.
예: 사용자 지정 정책 애플리케이션 추가 및 수정
이 예제에서는 사용자 지정 정책 응용 프로그램을 추가 및 수정하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 주소와 보안 영역을 만듭니다. 예: 보안 영역 생성을 참조하십시오.
개요
이 예제에서는 다음 정보를 사용하여 사용자 지정 응용 프로그램을 만듭니다.
응용 프로그램의 이름:
cust-telnet
.소스 포트 번호 범위:
1
에서65535
.대상 포트 번호: 23000.
응용 프로그램에서 사용하는 프로토콜: TCP.
사용자 지정 응용 프로그램이 cust-telnet
만들어지면 다음 정보가 수정됩니다.
응용 프로그램에서 사용하는 프로토콜이 TCP로 수정됩니다.
소스 포트 번호 범위:
1
에서51100
.대상 포트 번호: 11000.
구성
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이 작업을 수행하는 방법에 대한 지침은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 지정 정책 응용 프로그램 추가 및 수정:
TCP를 구성하고 소스 포트 및 대상 포트를 지정합니다.
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
응용 프로그램이 비활성 상태인 시간을 지정합니다.
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
사용자 지정 정책 응용 프로그램을
cust-telnet
수정합니다.TCP에 대해 구성된 원본 및 대상 포트를 삭제합니다.
UDP를 구성하고 소스 포트 및 대상 포트를 지정합니다.
UDP가 비활성화되는 시간을 지정합니다.
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
수정된 사용자 지정 정책 응용 프로그램 확인
목적
사용자 지정 정책 응용 프로그램이 성공적으로 수정되었는지 확인합니다.
작업
운영 모드에서 명령을 입력하여 show applications application cust-telnet
사용자 지정 정책 애플리케이션의 cust-telnet
세부 정보를 표시합니다.
user@host>
show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;
시간 제한 값은 초 단위입니다. 설정하지 않으면 사용자 지정 응용 프로그램의 시간 제한 값은 1800초입니다. 응용 프로그램 시간이 초과되지 않도록 하려면 를 입력합니다 never
.
의미
출력은 응용 프로그램에 cust-telnet 대한 정보를 표시합니다. 다음 정보를 확인합니다.
구성된 정책 이름입니다.
원본 및 대상 포트.
응용 프로그램이 비활성 상태인 시간(초)입니다.
예: 사용자 지정 정책 애플리케이션 용어 옵션 구성
이 예는 응용 프로그램 프로토콜에 대한 응용 프로그램 속성 및 용어 옵션을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽
A PC
시작하기 전에:
필요한 응용 프로그램을 구성합니다. 예: 사용자 지정 정책 응용 프로그램 추가 및 수정 을 참조하십시오 .
개요
이 예제에서는 애플리케이션 이름, app-name 및 custom-options라는 용어를 생성하여 사용자 지정 정책 애플리케이션 용어 옵션을 정의합니다.
DNS(Domain Name Service)를 ALG(Application Layer Gateway) 유형으로 구성하고 UDP를 네트워킹 프로토콜 유형으로 구성합니다. 원본 포트를 24000으로 설정하고 대상 포트를 23000으로 설정합니다. 그런 다음 인터넷 제어 메시지 프로토콜 (ICMP) 패킷 유형 값을 5로 설정하고 ICMP 코드 값을 0으로 설정합니다. 원격 프로시저 호출 (RPC) 프로그램 번호 값을 50으로 설정하고 범용 고유 식별자 (UUID) 값을 1be617c0-31a5-11cf-a7d8-00805f48a135로 설정합니다. 마지막으로 inactivity-timeout 값을 60으로 설정합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
단계별 절차
사용자 지정 정책 응용 프로그램 용어 옵션을 구성하려면:To configure custom policy application term options:
용어 이름을 구성합니다.
[edit applications] user@host# set application app-name term custom-options
ALG 유형을 구성합니다.
[edit applications] user@host# set application app-name term custom-options alg dns
네트워킹 프로토콜 유형을 구성합니다.
[edit applications] user@host# set application app-name term custom-options protocol udp
소스 포트 번호를 구성합니다.
[edit applications] user@host#set application app-name term custom-options source-port 24000
TCP 또는 UDP 대상 포트 번호를 구성합니다.
[edit applications] user@host# set application app-name term custom-options destination-port 23000
비활성 제한시간 값을 지정합니다.
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
결과
구성 모드에서 명령을 입력하여 show applications
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show applications application app-name { term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60; }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.