EN ESTA PÁGINA
Descripción de las políticas unificadas en dispositivos de seguridad
Descripción de cómo las políticas unificadas usan la información de AppID
Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones
Soporte de identificación de aplicaciones para microaplicaciones
Habilitación y desactivación de la detección de microaplicaciones
Identificación de aplicaciones Compatibilidad con políticas unificadas
Descripción de las políticas unificadas en dispositivos de seguridad
Con la creciente popularidad de las aplicaciones web, y debido al cambio de las aplicaciones tradicionales basadas en clientes completos a la web, cada vez más tráfico se transmite a través de HTTP. Las aplicaciones como la mensajería instantánea, el intercambio de archivos punto a punto, el correo web, las redes sociales y la colaboración de voz y video IP evaden los mecanismos de seguridad al cambiar los puertos y protocolos de comunicación. La administración de cambios en el comportamiento de la aplicación requiere una modificación constante de las reglas de seguridad, y el mantenimiento de las reglas de la política de seguridad plantea un desafío importante. Para controlar estos cambios en el comportamiento de las aplicaciones, necesita directivas de seguridad para administrar aplicaciones dinámicas.
Como respuesta a este desafío, a partir de Junos OS versión 18.2R1, los firewalls de la serie SRX y el firewall virtual vSRX de Juniper Networks admiten políticas unificadas, lo que permite un control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad. Las directivas unificadas son políticas de seguridad que permiten usar aplicaciones dinámicas como parte de las condiciones existentes de coincidencia de 5 o 6 tuplas (5 tuplas con firewall de usuario) para detectar cambios en las aplicaciones a lo largo del tiempo.
Una política unificada aprovecha la información de identidad de la aplicación determinada en el módulo de identificación de aplicaciones (AppID). Después de identificar una aplicación determinada, se aplica una acción como permitir, denegar, rechazar o redirigir al tráfico de acuerdo con la política configurada en el dispositivo.
Cualquier tráfico denegado o rechazado por la política de seguridad basada en criterios de capa 3 o capa 4 se elimina inmediatamente. El tráfico permitido por la política de seguridad se evalúa en la capa 7 en función de la información de AppID.
AppID se habilita cuando se configura una política de seguridad con aplicaciones dinámicas o cuando se habilita cualquier servicio, como el enrutamiento basado en políticas de aplicaciones (APBR), el seguimiento de aplicaciones (Apptrack), la calidad de servicio de la aplicación (AppQoS), el firewall de aplicaciones (AppFW), el IDP o Juniper ATP Cloud en la política de seguridad.
Beneficios
Simplifica la gestión de políticas de seguridad basadas en aplicaciones en la capa 7.
Permite que su dispositivo se adapte a los cambios dinámicos de tráfico en la red.
Proporciona mayor control y extensibilidad para administrar el tráfico dinámico de aplicaciones que una política de seguridad tradicional.
Descripción de cómo las políticas unificadas usan la información de AppID
La clasificación precisa del tráfico es esencial para la seguridad de la red en las arquitecturas de nube y centro de datos. Identificar y clasificar diferentes tipos de tráfico de aplicaciones (tramitado en HTTP) también es un desafío, ya que las aplicaciones web incluyen documentos, datos, imágenes y archivos de audio y vídeo.
AppID detecta las aplicaciones en su red independientemente del puerto, protocolo y cifrado (TLS/SSL o SSH) u otras tácticas evasivas. Utiliza técnicas de inspección profunda de paquetes (DPI), una base de datos de firmas y direcciones y puertos conocidos para identificar aplicaciones. AppID proporciona información como la clasificación dinámica de aplicaciones, el protocolo predeterminado y el puerto de una aplicación. Para cualquier aplicación incluida en la lista de dependientes de otra aplicación, AppID proporciona la información de la aplicación dependiente.
Una política unificada aprovecha la información de AppID para que coincida con la aplicación y realice las acciones especificadas en la política. En una configuración de directiva unificada, puede utilizar una aplicación dinámica predefinida (del paquete de firma de identificación de la aplicación) o una aplicación personalizada definida por el usuario como condición de coincidencia.
- Descripción de la identificación de aplicaciones dinámicas dependientes
- Estados de clasificación dinámica de aplicaciones
- Configuración del límite de transacciones para la identificación de aplicaciones
- Soporte de alta disponibilidad para la identificación de aplicaciones para políticas unificadas
Descripción de la identificación de aplicaciones dinámicas dependientes
Una lista de aplicaciones dependientes incluye aplicaciones sobre las que se puede identificar una aplicación dinámica. Por ejemplo, la lista de aplicaciones dependientes para Facebook comprende HTTP2 y SSL.
El protocolo y el puerto predeterminados de una aplicación dinámica incluyen el protocolo y el puerto definidos para esa aplicación. Si el protocolo y el puerto para esa aplicación no están definidos, se considera la lista de protocolos y puertos predeterminados de sus aplicaciones dependientes.
Por ejemplo, la aplicación Facebook-Access depende de aplicaciones como HTTP, SSL y HTTP2. Por lo tanto, el protocolo predeterminado y los puertos de estas aplicaciones dependientes se consideran para la aplicación Facebook-Access.
La lista de aplicaciones dependientes y la asignación de protocolos y puertos de una aplicación pueden cambiar durante el tiempo de ejecución cada vez que se instala un nuevo paquete de firmas de aplicación o cambia una configuración de aplicación personalizada. AppID proporciona estos detalles a la política de seguridad.
Estados de clasificación dinámica de aplicaciones
Durante el proceso de identificación de la aplicación, DPI procesa cada paquete y lo clasifica en uno de los siguientes estados hasta que finalmente se identifica la aplicación:
Pre-coincidencia: antes de que el DPI identifique una aplicación.
Transacción final: en el caso de las aplicaciones dinámicas, se ha completado una transacción, pero la identificación de la aplicación no es definitiva. Las aplicaciones que superan la capa 7 pueden cambiar constantemente con cada transacción porque tienen aplicaciones dependientes. Por ejemplo, las aplicaciones de Facebook tienen aplicaciones dependientes como HTTP, SSL, etc.
Coincidencia final: una aplicación coincidente en la capa 7 se considera la coincidencia final según el número máximo de transacciones configurado. Es decir, la coincidencia se considera final solo después de que se complete el número máximo de transacciones.
Antes de identificar la aplicación final, la política no se puede coincidir con precisión. Se pone a disposición una lista de políticas potenciales y se permite el tráfico mediante la política potencial de la lista. Una vez identificada la aplicación, se aplica la directiva final a la sesión. Las acciones de la política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico como se especifica en las reglas de la política.
DPI puede cambiar la aplicación coincidente durante el partido final; Pero la política respectiva sigue siendo la misma. Esta es la razón por la que puede observar que diferentes aplicaciones mencionadas en un syslog crean y cierran sesiones de la misma política.
La clasificación de aplicaciones no finaliza para aplicaciones basadas en transacciones, como Facebook. Para finalizar la clasificación de dichas aplicaciones, puede optar por considerar los resultados de varias transacciones como la clasificación final.
Configuración del límite de transacciones para la identificación de aplicaciones
Puede configurar el número máximo de transacciones antes de concluir los resultados finales para identificar una aplicación mediante la set services application-identification maximum-transactions transactions-number instrucción. Cuando se configura el número máximo de transacciones, PPP no se termina hasta que se complete el número configurado de transacciones.
Ejemplo:
user@host#
set services application-identification maximum-transactions 5
Puede configurar un número de transacción del 0 al 25. De forma predeterminada, se consideran cinco transacciones.
Si establece el recuento de transacciones como 0, la transacción no termina el DPI. Es posible que la coincidencia final de la aplicación no esté disponible; y no se aplica la política de seguridad final.
La Tabla 1 muestra los diferentes estados de clasificación de identificación de la aplicación cuando la transacción máxima se establece en cinco. Tenga en cuenta que los valores de la tabla son, por ejemplo, y no son valores reales. La transacción exacta puede variar según el patrón de tráfico.
Escenario |
Aplicación identificada |
Estado de identificación de la aplicación |
Transacciones |
---|---|---|---|
Primer paquete de la sesión |
Ninguno |
Pre-partido |
0 |
Aplicación intermedia |
SSL (en inglés) |
Pre-partido |
1 |
Aplicación intermedia identificada en la carga descifrada |
HTTP |
Pre-partido |
2 |
Aplicación intermedia identificada |
ACCESO A FACEBOOK |
Pre-partido |
3 |
Aplicación intermedia identificada |
CHAT DE FACEBOOK |
Transacción final (transacción =1) |
4 |
Aplicación final identificada |
CORREO DE FACEBOOK |
Partido final (transacción = 2) |
4 |
En las políticas unificadas, no se admite la configuración de aplicaciones dinámicas que se puedan identificar en función de la información de capa 3 o capa 4 (excepto las aplicaciones basadas en ICMP). En su lugar, puede utilizar el grupo junos-defaults que contiene valores predefinidos para aplicaciones basadas en capas 3 y 4.
Soporte de alta disponibilidad para la identificación de aplicaciones para políticas unificadas
Cuando se identifica una aplicación, su información de clasificación se guarda en la caché del sistema de aplicaciones (ASC).
Cuando el dispositivo de seguridad (por ejemplo, firewall de la serie SRX) funciona en modo de clúster de chasis, la información guardada en el ASC se sincroniza entre el nodo principal y el nodo secundario.
En el caso de la clasificación dinámica de aplicaciones, la información de clasificación de aplicaciones por sesión del DPI se sincroniza con el nodo secundario cuando la clasificación de aplicaciones es definitiva.
Durante una conmutación por error, la información de clasificación de aplicaciones en el nodo secundario se encuentra en uno de los siguientes estados:
Aplicación no identificada
Aplicación final identificada
Después de una conmutación por error, la información de clasificación de aplicaciones que está disponible en el nuevo nodo principal se considera como la coincidencia final. La misma información se sincroniza con el nuevo nodo secundario, ya que la clasificación no avanza después de una conmutación por error. El ejemplo de la Tabla 2 La Tabla 2 muestra el estado de clasificación de aplicaciones en una configuración de clúster de chasis.
Estado de identificación de la aplicación |
Nodo de clúster de chasis |
Antes de la conmutación por error |
Después de la conmutación por error |
Detalles |
---|---|---|---|---|
Se identifica la solicitud final. Aplicación identificada: SSL:Facebook |
Nodo principal |
Aplicación identificada: SSL:Facebook |
Aplicación identificada: SSL:Facebook |
No hay cambios después de la conmutación por error porque la clasificación completa de la aplicación se sincroniza con el nodo secundario. |
Nodo secundario |
Aplicación identificada: SSL:Facebook |
Aplicación identificada: SSL:Facebook |
||
No se identifica la solicitud final. (Se identifica la aplicación parcial.) Aplicación identificada: SSL |
Nodo principal |
Aplicación identificada: SSL |
Aplicación identificada: APP-INVALID |
La identificación de la aplicación no avanza después de una conmutación por error. |
Nodo secundario |
Aplicación identificada: no disponible |
Aplicación identificada: APP-INVALID |
||
No se identifica la solicitud final. (Se identifica la aplicación parcial) |
Nodo principal |
Aplicación identificada: no disponible |
Aplicación identificada: APP-INVALID |
En este caso, se produjo una conmutación por error después de la primera inspección de paquetes y no se identifica ninguna aplicación. La identificación de la aplicación no avanza después de una conmutación por error. |
Nodo secundario |
Aplicación identificada: no disponible |
Aplicación identificada: APP-INVALID |
Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones
A partir de Junos OS versión 18.2R1, el comportamiento predeterminado del ASC cambia de la siguiente manera:
- Antes de Junos OS versión 18.2R1, ASC estaba habilitado de forma predeterminada para todos los servicios, incluidos los servicios de seguridad.
-
A partir de la versión 18.2R1 de Junos OS, ASC está habilitado de forma predeterminada; Tenga en cuenta la diferencia en la búsqueda de servicios de seguridad:
-
La búsqueda de ASC para servicios de seguridad no está habilitada de forma predeterminada. Es decir, los servicios de seguridad, incluidas las políticas de seguridad, el firewall de aplicaciones (AppFW), el seguimiento de aplicaciones (AppTrack), la calidad de servicio de las aplicaciones (AppQoS), la nube ATP de Juniper, el IDP y la seguridad de contenido, no usan el ASC de forma predeterminada.
-
La búsqueda de ASC para servicios varios está habilitada de forma predeterminada. Es decir, los servicios varios, incluido el enrutamiento avanzado basado en políticas (APBR), usan el ASC para la identificación de aplicaciones de forma predeterminada.
-
El cambio en el comportamiento predeterminado del ASC afecta a la funcionalidad heredada de AppFW. Con el ASC deshabilitado de forma predeterminada para los servicios de seguridad a partir de Junos OS versión 18.2, AppFW no utilizará las entradas presentes en el ASC.
Puede revertir al comportamiento de ASC como en las versiones de Junos OS anteriores a la versión 18.2 mediante el set services application-identification application-system-cache security-services
comando.
El dispositivo de seguridad puede volverse susceptible a las técnicas de evasión de aplicaciones si el ASC está habilitado para servicios de seguridad. Le recomendamos que habilite el ASC solo cuando el rendimiento del dispositivo en su configuración predeterminada (deshabilitada para servicios de seguridad) no sea suficiente para su caso de uso específico.
Utilice los siguientes comandos para habilitar o deshabilitar el ASC:
Habilite el ASC para servicios de seguridad:
user@host#
set services application-identification application-system-cache security-servicesDeshabilite el ASC para servicios varios:
user@host#
set services application-identification application-system-cache no-miscellaneous-servicesDeshabilite el ASC habilitado para los servicios de seguridad:
user@host#
delete services application-identification application-system-cache security-servicesHabilite el ASC deshabilitado para servicios varios:
user@host#
delete services application-identification application-system-cache no-miscellaneous-services
Puede utilizar el show services application-identification application-system-cache
comando para comprobar el estado del ASC.
La siguiente salida de ejemplo proporciona el estado del ASC:
user@host>
show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
En versiones anteriores a Junos OS versión 18.2R1, el almacenamiento en caché de aplicaciones estaba habilitado de forma predeterminada. Puede deshabilitarlo manualmente mediante el set services application-identification no-application-system-cache
comando.
user@host# set services application-identification no-application-system-cache
Ver también
Compatibilidad con aplicaciones de tunelización
A partir de Junos OS versión 20.4R1, hemos mejorado la búsqueda unificada de políticas en dispositivos de seguridad para administrar aplicaciones de tunelización. Ahora puede bloquear una aplicación de tunelización específica mediante la directiva unificada.
Cuando desee bloquear determinadas aplicaciones de tunelización, como QUIC o SOCK, puede configurar estas aplicaciones de tunelización para unificar la directiva con la acción denegar o rechazar.
Soporte de identificación de aplicaciones para microaplicaciones
A partir de la versión 19.2R1 de Junos OS, puede administrar las aplicaciones en un nivel de subfunción con la función de identificación de aplicaciones. En este documento, nos referimos a las subfunciones de aplicación como microaplicaciones.
Las microaplicaciones forman parte del paquete de firmas de aplicaciones. Debe habilitar la detección de microaplicaciones en la identificación de aplicaciones y, a continuación, usarlas como criterios coincidentes en la política de seguridad.
AppID detecta las aplicaciones en el nivel de subfunción de su red y la política de seguridad aprovecha la información de identidad de la aplicación determinada en el módulo de identificación de aplicaciones (AppID). Después de identificar una aplicación determinada, se aplica una acción como permitir, denegar, rechazar o redirigir al tráfico de acuerdo con la política configurada en el dispositivo.
El concepto de microaplicaciones es similar al de las aplicaciones basadas en transacciones, donde la aplicación anidada sobre una aplicación base cambia continuamente para la misma sesión.
Ejemplo:
Considere una aplicación dinámica MODBUS. READ y WRITE son subfunciones u operaciones de la aplicación MODBUS. Para estas subfunciones, debemos definir microaplicaciones como MODBUS-READ y MODBUS-WRITE. La ruta de clasificación de la aplicación puede cambiar constantemente entre MODBUS:MODBUS-READ y MODBUS:MODBUS-WRITE. En este caso, MODBUS es la aplicación base y MODBUS-READ y MODBUS-WRITE son aplicaciones anidadas, es decir, microaplicaciones.
Puede configurar las microaplicaciones en la misma jerarquía que la aplicación dinámica predefinida en una política de seguridad y realizar la acción en función de las reglas de la directiva.
Al configurar estas microaplicaciones en las políticas de seguridad, puede permitir o denegar subfunciones MODBUS en lugar de bloquear o permitir toda la aplicación MODBUS.
- Clasificación de microaplicaciones
- Lista de aplicaciones dependientes y protocolos y puertos predeterminados
- Aplicación de políticas para microaplicaciones
- Instalación de microaplicaciones
- Administración del tráfico de aplicaciones DNS a través de HTTP y DNS a través de TLS
Clasificación de microaplicaciones
La clasificación de aplicaciones para microaplicaciones no llega a la coincidencia final porque, la microaplicación sigue cambiando para la sesión. Una solicitud coincidente se considera como la coincidencia final solo después de que se haya completado el número máximo de transacciones.
AppID tiene el límite máximo de transacciones como 25, sin embargo, cada módulo de servicio tiene su propio límite basado en sus propios requisitos. Si se alcanza el límite específico del servicio antes del límite máximo de transacciones (25), el módulo de servicio marca su política como final. Sin embargo, AppID continúa con la clasificación de aplicaciones y descarga la sesión al alcanzar el límite de 25.
Puede usar el set services application-identification max-transactions
comando para configurar el límite de transacciones.
Lista de aplicaciones dependientes y protocolos y puertos predeterminados
Una lista de aplicaciones dependientes incluye aplicaciones sobre las que se puede identificar una aplicación dinámica. El protocolo y el puerto predeterminados de una aplicación dinámica incluyen el protocolo y el puerto definidos para esa aplicación.
La lista de aplicaciones dependientes y los protocolos y puertos predeterminados son usados por la política unificada para aplicar la política de seguridad. La lista de aplicaciones dependientes y los protocolos y puertos predeterminados de la aplicación micro son los mismos que los de la aplicación base.
Ejemplo: La lista de aplicaciones dependientes y los puertos predeterminados de la microaplicación MODBUS-READ son los mismos que la lista de aplicaciones dependientes y los puertos predeterminados de MODBUS.
Aplicación de políticas para microaplicaciones
Las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. Si ha configurado una política de seguridad con una microaplicación como criterios de coincidencia, el módulo de políticas requiere información de identificación de microaplicaciones de AppID.
La clasificación de aplicaciones con microaplicaciones no llega a la coincidencia final porque, la microaplicación sigue cambiando para la sesión. Sin embargo, se requiere una coincidencia final para la aplicación para la búsqueda de directivas y el procesamiento de la directiva. Puede utilizar el comando [edit security policies unified-policy-max-lookups
] para limitar el número de búsquedas de directivas.
Una vez identificada la aplicación, se aplica la directiva final a la sesión. Las acciones de la política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico como se especifica en las reglas de la política.
Instalación de microaplicaciones
Las microaplicaciones forman parte del paquete de firmas de aplicaciones. Cuando descarga el paquete de firmas de aplicaciones y lo instala, las microaplicaciones también se instalan y están disponibles para su configuración en las políticas de seguridad. Puede ver los detalles de las microaplicaciones utilizando el show services application-identification status
comando.
Si ha configurado microaplicaciones en una política de seguridad a partir de Junos OS versión 19.2, no es posible cambiar a la versión anterior de Junos OS. Para cambiar a la versión anterior de las versiones de Junos OS, debe quitar las microaplicaciones configuradas en las políticas de seguridad.
Administración del tráfico de aplicaciones DNS a través de HTTP y DNS a través de TLS
En Junos OS versión 20.4R1, presentamos una nueva microaplicación, DNS-ENCRYPTED, para mejorar el paquete de firmas de aplicaciones. Al configurar esta microaplicación en una política de seguridad, puede tener un control granular para el tráfico de aplicaciones DNS a través de HTTP y DNS sobre TLS.
La aplicación DNS-ENCRYPTED está habilitada de forma predeterminada. Puede deshabilitarlo usando el request services application-identification application disable DNS-ENCRYPTED
comando.
Puede ver los detalles de las microaplicaciones utilizando el show services application-identification application
comando.
Habilitación y desactivación de la detección de microaplicaciones
Puede activar o desactivar la detección de microaplicaciones. De forma predeterminada, la detección de microaplicaciones está deshabilitada. Debe habilitar las microaplicaciones para usarlas en su política de seguridad.
Puede activar o desactivar las microaplicaciones mediante los siguientes comandos:
Habilite la detección de microaplicaciones (desde el modo de configuración).
user@host# set services application-identification micro-apps
Desactive una microaplicación específica (desde el modo operativo).
user@host> request services application-identification application disable application-name
Ejemplo:
user@host>request services application-identification application disable junos:MODBUS
Ejemplo: configuración de microaplicaciones
En este ejemplo se muestra cómo configurar microaplicaciones en una política de seguridad para aplicar la directiva en el nivel de subfunción.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Firewall serie SRX con Junos OS versión 19.2R1 o posterior. Este ejemplo de configuración se ha probado en Junos OS versión 19.2R1.
Licencia válida de la función de identificación de aplicaciones instalada en un firewall de la serie SRX.
Antes de comenzar, instale una base de datos de firmas completa desde un IDP o un paquete de seguridad de identificación de aplicaciones. Consulte Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS o Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP.
Visión general
En este ejemplo, se crea una política de seguridad con las microaplicaciones MODBUS-READ-COILS y MODBUS-WRITE-SINGLE-COIL, MODBUS-READ-COILS, MODBUS-WRITE-MULTIPLE-COILS. Se permite el tráfico de aplicaciones que coincida con estas microaplicaciones.
Configuración
- Configuración de la política de seguridad con microaplicaciones
- Configuración de la calidad de servicio de las aplicaciones con microaplicaciones
Configuración de la política de seguridad con microaplicaciones
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set services application-identification micro-apps set security policies from-zone untrust to-zone trust policy P1 match source-address any set security policies from-zone untrust to-zone trust policy P1 match destination-address any set security policies from-zone untrust to-zone trust policy P1 match application any set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS set security policies from-zone untrust to-zone trust policy P1 then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.
Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:
Habilite la detección de microaplicaciones.
[edit] user@host# set services application-identification micro-apps
Defina una política de seguridad con otros criterios de coincidencia de políticas.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match application any
Definir la aplicación y la microaplicación como criterios coincidentes.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS
Defina la acción de la política.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security policies from-zone untrust to-zone trust from-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL junos:MODBUS-WRITE-MULTIPLE-COILS ]; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de la calidad de servicio de las aplicaciones con microaplicaciones
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración.
Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:
Defina los parámetros de configuración de AppQoS con la microaplicación junos:MODBUS-READ-COILS.
[edit] user@host# set class-of-service application-traffic-control rate-limiters RL1 bandwidth-limit 1000 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:MODBUS-READ-COILS user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then dscp-code-point 111110 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then loss-priority high user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server RL1 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then log
Cree una política de seguridad.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any
Defina la acción de la política.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 then permit application-services application-traffic-control rule-set RS1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el how class-of-service
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show class-of-service application-traffic-control { rate-limiters RL1 { bandwidth-limit 1000; } rule-sets RS1 { rule 1 { match { application junos:MODBUS-READ-COILS; } then { dscp-code-point 111110; loss-priority high; rate-limit { client-to-server RL1; } log; } } } }
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security policies from-zone untrust to-zone trust from-zone untrust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:MODBUS-READ-COILS]; } then { permit { application-services { application-traffic-control { rule-set RS1; } } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificación del estado de las microaplicaciones
Propósito
Verifique que las microaplicaciones estén habilitadas.
Acción
Use el comando para obtener la versión de microaplicaciones y use show services application-identification application micro-applications
el show services application-identification status
comando para obtener los detalles de las microaplicaciones.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Disabled Max Number of entries in cache 0 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3172 Status Active PB Version 1.380.0-64.005 (build date May 13 2019) Engine version 5.3.0-56 (build date May 13 2019) Micro-App Version 1.0.0-0 Sessions 0
Salida de muestra
mostrar servicios identificación de aplicaciones microaplicaciones de aplicación
user@host> show services application-identification application micro-applications Micro Applications junos:BACNET-GET-EVENT-INFORMATION junos:BACNET-SUBSCRIBE-COV-PROPERTY junos:BACNET-LIFE-SAFETY-OPERATION junos:BACNET-READ-RANGE junos:BACNET-REQUEST-KEY junos:BACNET-AUTHENTICATE junos:BACNET-VT-DATA junos:BACNET-VT-CLOSE junos:BACNET-VT-OPEN junos:BACNET-REINITIALIZE-DEVICE junos:BACNET-CONFIRMED-TEXT-MESSAGE junos:BACNET-CONFIRMED-PRIVATE-XFER junos:BACNET-DEVICE-COMM-CONTROL junos:BACNET-WRITE-PROP-MULTIPLE junos:BACNET-WRITE-PROPERTY junos:BACNET-READ-PROP-MULTIPLE junos:BACNET-READ-PROP-CONDITIONAL junos:BACNET-READ-PROPERTY junos:BACNET-DELETE-OBJECT junos:BACNET-CREATE-OBJECT junos:BACNET-REMOVE-LIST-ELEMENT junos:BACNET-ADD-LIST-ELEMENT junos:BACNET-ATOMIC-WRITE-FILE junos:BACNET-ATOMIC-READ-FILE junos:BACNET-SUBSCRIBE-COV junos:SIEMENS-S7-SETUP-COMM junos:SIEMENS-S7-UPLOAD-START ......
Consulte Mostrar microaplicaciones de aplicaciones de identificación de aplicaciones de servicios para obtener más detalles.
Verificación de estadísticas de microaplicaciones
Propósito
Verifique que se aplique la microaplicación.
Acción
Utilice los siguientes comandos para obtener los detalles de las microaplicaciones.
Salida de muestra
nombre-comando
user@host> show services application-identification statistics applications Last Reset: 2018-12-16 01:45:47 PST Application Sessions Bytes Encrypted MODBUS-READ-COILS 1 1026 No MODBUS-WRITE-SINGLE-COIL 1 1254 No
user@host> show services application-identification statistics applications details (Junos OS Release 20.3) Logical System: root-logical-system Last Reset: 2020-05-08 08:55:31 PDT Application Enc DPI final-match Pre-match Limits final-match NTP No 1 0 0 SYSLOG No 5 0 0
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
set services application-identification no-application-system-cache
comando.