Grupos de aplicaciones predefinidos y personalizados para la identificación de aplicaciones
Puede definir un grupo de aplicaciones tanto para aplicaciones predefinidas como para aplicaciones personalizadas. Un grupo de aplicaciones contiene aplicaciones que necesitan un tratamiento similar al definir una política de seguridad. Para obtener más información, consulte los siguientes temas:
Personalización de grupos de aplicaciones para Junos OS identificación de aplicaciones
En Junos OS, la identificación de aplicaciones le permite agrupar aplicaciones en políticas. Las aplicaciones se pueden agrupar en grupos de aplicaciones predefinidos y personalizados. Todo el grupo de aplicaciones predefinido se puede descargar como parte del paquete de seguridad DPI identificación de aplicaciones. Puede crear grupos de aplicaciones personalizados con un conjunto de aplicaciones similares para una reutilización coherente al definir políticas.
La compatibilidad del grupo de aplicaciones asocia aplicaciones relacionadas con un solo nombre para una reutilización simplificada y coherente cuando se utiliza cualquier servicio de aplicaciones.
A medida que cambia la base de datos de firmas predefinida, el contenido de un grupo de aplicaciones predefinido se puede modificar para incluir firmas nuevas
Un grupo de aplicaciones puede contener aplicaciones y grupos al mismo tiempo. Es posible asignar una aplicación a varios grupos. No hay límite para la cantidad de grupos de aplicaciones dinámicos contenidos en una regla.
La jerarquía de grupos de aplicaciones se parece a una estructura de árbol con aplicaciones asociadas como los nodos leaf. El grupo any se refiere al nodo raíz. El grupo sin firma siempre se encuentra en un nivel desde la raíz y, en un principio, contiene todas las aplicaciones. Cuando se define un grupo, las aplicaciones se asignan del grupo sin asignar al grupo nuevo. Cuando se elimina un grupo, sus aplicaciones se trasladan al grupo sin firma.
Todos los grupos de aplicaciones predefinidos tienen el prefijo "junos" en el nombre del grupo de aplicaciones para evitar conflictos de nomenclatura con grupos de aplicaciones personalizados. No puede modificar la lista de aplicaciones de un grupo de aplicaciones predefinido. Sin embargo, puede copiar un grupo de aplicaciones predefinido para usarlo como una plantilla para crear un grupo de aplicaciones personalizado.
Para personalizar un grupo de aplicaciones predefinido, primero debe deshabilitar el grupo predefinido. Tenga en cuenta que un grupo de aplicaciones predefinido deshabilitado permanece deshabilitado después de una actualización de la base de datos de aplicaciones. Luego, puede usar el comando operativo request services application-identification group
para copiar el grupo de aplicaciones predefinido deshabilitado. El grupo copiado se coloca en el archivo de configuración y el prefijo "junos" cambia a "mi". En este punto, puede modificar la lista de aplicaciones del grupo de aplicaciones "mi" y cambiar el nombre del grupo por un nombre único.
Para reasignar una aplicación de un grupo personalizado a otro, debe quitar la aplicación de su grupo de aplicaciones personalizado actual y, luego, volver a asignarla al otro.
A partir de Junos OS versión 18.2R2 y Junos OS versión 18.4R1, las aplicaciones cifradas como HTTP, SMTP, IMAP y POP3 sobre SSL se identifican como junos:HTTPS, junos:SMTPS, junos:IMAPS y junos:POP3S en Junos OS aplicaciones y conjuntos de aplicaciones predefinidos.
Por ejemplo: si configura una política de seguridad para permitir o denegar tráfico HTTPS, debe especificar criterios de coincidencia de aplicaciones como junos:HTTPS.
En las Junos OS anteriores, tanto las aplicaciones HTTP como las aplicaciones HTTP cifradas (HTTPS) se pueden configurar con los mismos criterios de coincidencia de aplicaciones que junos:HTTP.
Consulte también
Ejemplo: configurar un grupo de aplicaciones personalizado para la Junos OS de aplicaciones para una administración simplificada
En este ejemplo, se muestra cómo configurar grupos de aplicaciones personalizados Junos OS identificación de aplicaciones para una reutilización coherente al definir políticas.
Requisitos
Antes de comenzar, instale una base de datos de firmas completa desde un DPI o un paquete de seguridad de identificación de la aplicación. Consulte Descargar e instalar el paquete de firma de la aplicación Junos OS de forma manual o descargar e instalar el paquete de firma de la aplicación Junos OS como parte del paquete de DPI de seguridad.
Visión general
En este ejemplo, se definen aplicaciones para un grupo de aplicaciones, se elimina una aplicación de un grupo de aplicaciones e se incluye un grupo de aplicaciones dentro de otro grupo de aplicaciones.
En Junos OS, la identificación de aplicaciones le permite agrupar aplicaciones en políticas. Las aplicaciones se pueden agrupar en grupos de aplicaciones predefinidos y personalizados. Todo el grupo de aplicaciones predefinido se puede descargar como parte del paquete de seguridad DPI identificación de aplicaciones. Puede crear grupos de aplicaciones personalizados con un conjunto de aplicaciones similares para una reutilización coherente al definir políticas.
No puede modificar las aplicaciones definidas en un grupo de aplicaciones predefinido. Sin embargo, puede copiar un grupo de aplicaciones predefinido mediante el comando operativo para crear un grupo de aplicaciones personalizado y request services application-identification group group-name copy
modificar la lista de aplicaciones. Para obtener más información, consulte request services application-identification group
.
Configuración
- Configuración de Junos OS de aplicaciones definidas por el usuario
- Eliminar una aplicación de un grupo de aplicaciones definido por el usuario
- Creación de grupos de aplicaciones secundarios para un grupo de aplicaciones
Configuración de Junos OS de aplicaciones definidas por el usuario
CLI configuración rápida
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit]
commit
configuración.
set services application-identification application-group my_web set services application-identification application-group my_web applications junos:HTTP set services application-identification application-group my_web applications junos:FTP set services application-identification application-group my_web applications junos:AMAZON set services application-identification application-group my_web applications junos:GOPHER set services application-identification application-group my_peer set services application-identification application-group my_peer applications junos:BITTORRENT set services application-identification application-group my_peer applications junos:BITTORRENT-APPLICATION set services application-identification application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:
Establezca el nombre del grupo de aplicaciones personalizado.
[edit services application-identification] user@host# set application-group my_web
Agregue la lista de aplicaciones que desea incluir en su grupo de aplicaciones personalizado.
[edit services application-identification] user@host# set application-group my_web applications junos:HTTP user@host# set application-group my_web applications junos:FTP user@host# set application-group my_web applications junos:GOPHER user@host# set application-group my_web applications junos:AMAZON
Establezca el nombre de un segundo grupo de aplicaciones personalizado.
[edit services application-identification] user@host# set application-group my_peer
Agregue la lista de aplicaciones que desea incluir en el grupo.
[edit services application-identification] user@host# set application-group my_peer applications junos:BITTORRENT user@host# set application-group my_peer applications junos:BITTORRENT-APPLICATION user@host# set application-group my_peer applications junos:BITTORRENT-WEB-CLIENT
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show services application-identification group
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host#show services application-identification application-group my_web
applications { junos:HTTP; junos:FTP; junos:GOPHER; junos:AMAZON } user@host#show services application-identification application-group my_peer
applications { junos:BITTORRENT; junos:BITTORRENT-APPLICATION; junos:BITTORRENT-WEB-CLIENT; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Eliminar una aplicación de un grupo de aplicaciones definido por el usuario
CLI configuración rápida
Para configurar rápidamente esta sección del ejemplo, copie el siguiente comando, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit]
commit
configuración.
[edit] delete services application-identification application-group my_web applications junos:AMAZON
Procedimiento paso a paso
Para eliminar una aplicación de un grupo de aplicaciones personalizado:
Eliminar una aplicación de un grupo de aplicaciones personalizado.
[edit services application-identification] user@host# delete application-group my_web applications junos:AMAZON
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show services application-identification application group detail
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show services application-identification group detail
application group my_web {
junos:HTTP;
junos:FTP;
junos:GOPHER;
}
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Creación de grupos de aplicaciones secundarios para un grupo de aplicaciones
CLI configuración rápida
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit]
commit
configuración.
set services application-identification application-group p2p set services application-identification application-group p2p application-groups my_web set services application-identification application-group p2p application-groups my_peer
Procedimiento paso a paso
Para configurar grupos de aplicaciones secundarios para un grupo de aplicaciones personalizado:
Establezca el nombre del grupo de aplicaciones personalizado en el que va a configurar los grupos de aplicaciones secundarios.
[edit services application-identification] user@host# set application-group p2p
Agregue los grupos de aplicaciones secundarias.
[edit services application-identification] user@host# set application-group p2p application-groups my_web uer@host# set application-group p2p application-groups my_peer
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show services application-identification application-group application-group-name
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show services application-identification application-group p2p
applications-groups {
my_web;
my_peer;
}
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Habilitar o deshabilitar grupos de aplicaciones en Junos OS identificación de aplicaciones
Todos los grupos de aplicaciones están habilitados de forma predeterminada. Los grupos de aplicaciones predefinidos se habilitan en la instalación.
Para grupos de aplicaciones predefinidos, puede deshabilitar y volver a habilitar un grupo mediante el
request services application-identification group
comando. No puede eliminar una firma o un grupo de firmas predefinidos.Para deshabilitar un grupo de aplicaciones predefinido:
user@host> request services application-identification group disable predefined-application-group-name
Nota:Asegúrese de confirmar los cambios de configuración o revertir la configuración cuando intente habilitar una aplicación deshabilitada o un grupo de aplicaciones. Los cambios no confirmados podrían dar como resultado errores de configuración.
Para volver aable un grupo de aplicaciones predefinido deshabilitado:
user@host> request services application-identification group enable predefined-application-group-name