EN ESTA PÁGINA
Descripción de la instalación del paquete de aplicación de Junos OS
Instalación y comprobación de licencias para un paquete de firmas de aplicaciones
Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS
Descargar paquete de firmas de aplicaciones de Junos OS desde un servidor proxy
Ejemplo: programación de las actualizaciones del paquete de firmas de la aplicación
Comprobación del paquete de aplicación extraído de identificación de aplicaciones de Junos OS
Desinstalación del paquete de la aplicación de identificación de aplicaciones de Junos OS
Firmas de aplicación predefinidas para la identificación de aplicaciones
El paquete de firmas de aplicación predefinido es un módulo cargable dinámicamente que proporciona funcionalidad de clasificación de aplicaciones y atributos de protocolo asociados. Está alojado en un servidor externo y se puede descargar como un paquete e instalar en el dispositivo. Para obtener más información, consulte los temas siguientes:
Descripción de la instalación del paquete de aplicación de Junos OS
Juniper Networks actualiza periódicamente la base de datos predefinida del paquete de firmas de aplicaciones y la pone a disposición de los suscriptores en el sitio web de Juniper Networks. Este paquete incluye definiciones de firma de objetos de aplicación conocidos que se pueden usar para identificar aplicaciones para el seguimiento, políticas de firewall, priorización de calidad de servicio y detección y prevención de intrusiones (IDP). La base de datos contiene objetos de aplicación como FTP, DNS, Facebook, Kazaa y muchos programas de mensajería instantánea.
Debe descargar e instalar el paquete de firmas de la aplicación antes de configurar los servicios de la aplicación. El paquete de firma de la aplicación se incluye directamente en la instalación del IDP y no es necesario descargarlo por separado.
Si tiene IDP habilitado y planea usar la identificación de la aplicación, puede continuar ejecutando la descarga de la base de datos de firmas de IDP. Para descargar la base de datos de firmas de IDP, ejecute el siguiente comando:
request security idp security-package download. La descarga del paquete de la aplicación se puede realizar de forma manual o automática. Consulte Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP.Nota:Si tiene un dispositivo habilitado para IDP y planea usar la identificación de la aplicación, le recomendamos que descargue solo la base de datos de firmas de IDP. Esto evitará tener dos versiones de la base de datos de la aplicación, que podrían no estar sincronizadas.
Si no tiene el IDP habilitado y piensa utilizar la identificación de aplicaciones, puede ejecutar los siguientes comandos:
request services application-identification downloadyrequest services application-identification install. Estos comandos descargarán la base de datos de firmas de la aplicación y la instalarán en el dispositivo.Puede realizar la descarga de forma manual o automática. Cuando descargue el paquete extraído manualmente, puede cambiar la URL de descarga.
Después de descargar e instalar el paquete de firmas de la aplicación, use los comandos de la CLI para descargar e instalar actualizaciones de bases de datos y ver información resumida y detallada de la aplicación.
Consulte Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS o Ejemplo: Programación de actualizaciones del paquete de firmas de aplicaciones.
Nota:La actualización del paquete de firmas de aplicaciones de Junos OS es un servicio de suscripción con licencia independiente. Debe instalar la clave de licencia de actualización del paquete de firmas de la aplicación en su dispositivo para descargar e instalar las actualizaciones de la base de firmas proporcionadas por Juniper Networks. Si su clave de licencia caduca, puede seguir utilizando el contenido del paquete de firmas de aplicación almacenado localmente, pero no puede actualizar los datos.
Nota:A partir de Junos OS versión 15.1X49-D50 y Junos OS versión 17.3, al actualizar o degradar un paquete de firma de aplicación, se muestra un mensaje de error si hay alguna discrepancia de ID de aplicación (número de ID único de una firma de aplicación) entre los paquetes proto y estas aplicaciones están configuradas en reglas AppFW y AppQoS.
Ejemplo:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
Como solución alternativa, deshabilite las reglas AppFW y AppQoS antes de actualizar o degradar un paquete de firmas de aplicación. Puede volver a habilitar las reglas de AppFW y AppQoS una vez que se haya completado el procedimiento de actualización o degradación.
Nota:En todos los dispositivos de seguridad, las páginas J-Web para AppSecure Services son preliminares. Recomendamos usar la CLI para configurar las funciones de AppSecure.
Esta función requiere una licencia. Para obtener más información sobre el paquete de firmas de aplicaciones de Junos OS, consulte la Guía de licencias de Juniper para obtener información general sobre la administración de licencias. Consulte las hojas de datos del producto en Puertas de enlace de servicios de la serie SRX para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.
Actualización a la identificación de aplicaciones de próxima generación
A partir de Junos OS versión 12.1X47-D10, se admite la identificación de aplicaciones de última generación. Debe instalar Junos OS versión 12.1X47-D10 para migrar de la identificación de aplicaciones existentes o heredadas a la identificación de aplicaciones de próxima generación.
Los dispositivos de seguridad instalados con las compilaciones de Junos OS con identificación de aplicaciones heredadas incluyen paquetes de seguridad de identificación de aplicaciones heredadas. Al actualizar estos dispositivos con Junos OS versión 12.1X47-D10, se instala el paquete de seguridad de identificación de aplicaciones de próxima generación junto con el paquete de protocolos predeterminado. El dispositivo se actualiza automáticamente a la identificación de aplicaciones de próxima generación.
El paquete de seguridad de identificación de aplicaciones de próxima generación introduce actualizaciones incrementales al paquete de identificación de aplicaciones heredado. No es necesario quitar o desinstalar ninguna aplicación existente.
Es posible que las aplicaciones compatibles con versiones anteriores (Junos OS versión 12.1X46 o anteriores) tengan nuevos alias o nombres alternativos en la nueva versión. Por lo tanto, las configuraciones existentes que utilizan dicha aplicación funcionan en Junos OS versión 12.1X47; Sin embargo, los registros relacionados y otra información usarán el nuevo nombre. Puede utilizar el
show services application-identification application detail new-application-namecomando para obtener los detalles de las aplicaciones.Cuando actualice Junos OS, puede incluir las
validateopciones ono-validatecon elrequest system software addcomando. Dado que las características existentes, que no forman parte de la identificación de aplicaciones de próxima generación, están en desuso, no se observan problemas de incompatibilidad.La identificación de aplicaciones de próxima generación elimina la generación de nuevas aplicaciones anidadas y trata las aplicaciones anidadas existentes como aplicaciones normales. Además, la identificación de aplicaciones de próxima generación no admite aplicaciones personalizadas ni grupos de aplicaciones personalizadas. Las configuraciones existentes que implican aplicaciones anidadas, aplicaciones personalizadas o grupos de aplicaciones personalizadas se ignoran con mensajes de advertencia.
Ver también
Instalación y comprobación de licencias para un paquete de firmas de aplicaciones
La actualización del paquete de firmas de aplicaciones de Junos OS es un servicio de suscripción con licencia independiente. Debe instalar la clave de licencia de actualización del paquete de firmas de la aplicación en su dispositivo para descargar e instalar las actualizaciones de la base de firmas proporcionadas por Juniper Networks. Si su clave de licencia caduca, puede seguir utilizando el contenido del paquete de firmas de aplicación almacenado localmente.
Las licencias generalmente se solicitan cuando se compra el dispositivo, y esta información está vinculada al número de serie del chasis. En estas instrucciones se supone que ya tiene la licencia. Si no solicitó la licencia durante la compra del dispositivo, comuníquese con su equipo de cuenta o con el servicio de atención al cliente de Juniper para obtener ayuda. Para obtener más información, consulte el artículo KB9731 de Knowledge Base en https://kb.juniper.net/InfoCenter/index?page=home.
A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX1500, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE). No hay disponible una clave de licencia independiente para AppSecure. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de la base de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppTrack.
A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX300, SRX320, SRX340 y SRX345, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE). No hay disponible una clave de licencia independiente para AppSecure. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de la base de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppTrack.
A partir de 15.1X49-D65 y Junos OS versión 17.3R1, en dispositivos SRX4100 y SRX4200, AppSecure forma parte del paquete de licencia Junos Software Enhanced (JSE). No hay disponible una clave de licencia independiente para AppSecure. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de la base de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppTrack.
El paquete Junos Software Base (JSB) no incluye firmas de aplicación. Consulte las hojas de datos del producto en Puertas de enlace de servicios de la serie SRX para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.
Puede instalar la licencia en el firewall de la serie SRX utilizando el método automático o manual de la siguiente manera:
Instale su licencia automáticamente en el dispositivo.
Para instalar o actualizar su licencia automáticamente, su dispositivo debe estar conectado a Internet.
user@host> request system license update
Trying to update license keys from https://ae1.juniper.net, use 'show system license' to check status.
Instale las licencias manualmente en el dispositivo.
user@host> request system license add terminal
[Type ^D at a new line to end input, enter blank line between each license key]
Pegue la clave de licencia y pulse Intro para continuar.
Verifique que la licencia esté instalada en su dispositivo.
Utilice el comando para ver el uso de licencias, como se muestra en el
show system license commandejemplo siguiente:License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signature date-based, 2014-02-17 08:00:00 GMT-8 - 2015-02-11 08:00:00 GMT-8El ejemplo de salida se trunca para mostrar solo los detalles de uso de la licencia.
Ver también
Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS
En este ejemplo se muestra cómo descargar el paquete de firmas de aplicación, crear una directiva e identificarla como la directiva activa.
Requisitos
Antes de empezar:
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un dispositivo de la serie SRX
Junos OS versión 12.1X47-D10
Visión general
Juniper Networks actualiza periódicamente la base de datos predefinida del paquete de firmas de aplicaciones y la pone a disposición en el sitio web de Juniper Networks. Este paquete incluye objetos de aplicación que se pueden usar en la detección y prevención de intrusiones (IDP), la directiva de firewall de aplicaciones y AppTrack para que coincida con el tráfico.
Configuración
Configuración rápida de CLI
La configuración rápida de CLI no está disponible para este ejemplo porque se requiere intervención manual durante la configuración.
Descarga e instalación de identificación de aplicaciones
Procedimiento paso a paso
Descargue el paquete de aplicación.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
La descarga recupera el paquete de la aplicación del sitio web de seguridad de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
También puede descargar una versión específica del paquete de la aplicación o descargar el paquete de la aplicación desde la ubicación específica mediante las siguientes opciones:
Para descargar una versión específica del paquete de la aplicación:
user@host>request services application-identification download version version-number
Para cambiar la URL de descarga del paquete de la aplicación desde el modo de configuración:
[edit] user@host# set services application-identification download url URL or File Path
Nota:Si cambia la URL de descarga y desea conservar ese cambio, asegúrese de confirmar la configuración.
Compruebe el estado de la descarga.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
Nota:También puede utilizar el registro del sistema para ver el resultado de la descarga. A partir de Junos OS versión 20.4R1, los mensajes de registro del sistema se actualizan para mostrar los resultados de la descarga e instalación del paquete de firmas de la aplicación.
Instale el paquete de la aplicación.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
El paquete de la aplicación se instala en la base de datos de firmas de la aplicación en el dispositivo.
Compruebe el estado de instalación del paquete de la aplicación.
El resultado del comando muestra información sobre las versiones descargadas e instaladas del paquete de la aplicación y del paquete de protocolos.
Para ver el estado de la instalación:
user@host>request services application-identification install status
Install application package 2345 succeed
Para ver el estado del paquete de protocolos:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
Nota:Es posible que se haya eliminado una firma de aplicación de la versión más reciente de una base de datos de firmas de aplicación. Si esta firma se utiliza en una directiva de firewall de aplicaciones existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos correctamente, quite todas las referencias a la firma eliminada de las directivas y grupos existentes y vuelva a ejecutar el comando de instalación.
Verificación
Confirme que la configuración funciona correctamente.
Verificación del estado de identificación de la aplicación
Propósito
Compruebe que la configuración de identificación de la aplicación funciona correctamente.
Acción
Desde el modo operativo, ingrese el show services application-identification status comando.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Significado
El Status: Enabled campo muestra que la identificación de aplicaciones está habilitada en el dispositivo.
Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP
Puede descargar e instalar firmas de aplicaciones a través de paquetes de seguridad de detección y prevención de intrusiones (IDP).
En este ejemplo se muestra cómo mejorar la seguridad descargando e instalando el paquete de firmas IDP y firmas de aplicaciones. En este caso, tanto el paquete de firmas de IDP como el paquete de firmas de aplicaciones se descargan con un solo comando.
Requisitos
Antes de empezar:
Asegúrese de que el firewall de la serie SRX tenga una conexión a Internet para descargar actualizaciones de paquetes de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 12.1X47-D10
Visión general
En este ejemplo, descargue e instale la base de datos de firmas del sitio web de Juniper Networks.
Configuración
Descarga e instalación de la base de datos de firmas
Configuración rápida de CLI
La configuración rápida de CLI no está disponible para este ejemplo porque se requiere intervención manual durante la configuración.
Procedimiento paso a paso
Para descargar e instalar firmas de aplicaciones:
Descargue la base de datos de firmas.
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
Nota:La descarga de la base de datos puede tardar algún tiempo dependiendo del tamaño de la base de datos y la velocidad de su conexión a Internet.
Compruebe el estado de descarga del paquete de seguridad.
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
Instale la base de datos de ataques.
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
Nota:La instalación de la base de datos de ataques puede tardar algún tiempo, dependiendo del tamaño de la base de datos de seguridad.
Compruebe el estado de instalación de la base de datos de ataques. El resultado del comando muestra información sobre las versiones descargadas e instaladas de la base de datos de ataques.
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Confirme la versión del paquete de seguridad de IDP.
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
Confirme la versión del paquete de identificación de la aplicación.
[edit]user@host# run show services application-identification versionApplication package version: 1884
Verificación
Confirme que el paquete de firmas de la aplicación se actualiza correctamente.
Comprobación del paquete de firmas de aplicaciones
Propósito
Compruebe la versión de identificación de la aplicación de servicios.
Acción
Desde el modo operativo, ingrese el show services application-identification version comando.
user@host> show services application-identification version
Application package version: 1884
Significado
El resultado de ejemplo muestra que la versión de identificación de la aplicación de servicios es 1884.
Descargar paquete de firmas de aplicaciones de Junos OS desde un servidor proxy
En este ejemplo se muestra cómo crear un perfil de proxy y utilizarlo para descargar el paquete de firmas de aplicación desde un servidor proxy.
Configuración
Procedimiento paso a paso
Cree un perfil de proxy y aplíquelo para descargar el paquete de la aplicación a través del servidor proxy.
Cree un perfil de proxy para el protocolo HTTP.
user@host#set services proxy profile Profile-1 protocol httpEspecifique la dirección IP del servidor proxy.
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1Especifique el número de puerto utilizado por el servidor proxy.
user@host#set services proxy profile Profile-1 protocol http port 3128Descargue el paquete de la aplicación desde el host proxy.
user@host#set services application-identification download proxy-profile Profile-1
Procedimiento paso a paso
Puede deshabilitar el servidor proxy para descargar el paquete de firmas de la aplicación cuando no sea necesario.
Deshabilite el servidor proxy para la descarga de firmas de aplicaciones.
user@host#delete services application-identification download proxy-profile p1
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Licencia válida de la función de identificación de aplicaciones instalada en un firewall de la serie SRX.
Firewall serie SRX con Junos OS versión 18.3R1 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 18.3R1.
Visión general
Debe descargar e instalar el paquete de firma de aplicación alojado en un servidor externo en el firewall de la serie SRX. A partir de Junos OS versión 18.3R1, puede descargar el paquete de firmas de la aplicación mediante un servidor proxy.
Para habilitar la descarga del paquete de firmas desde el servidor proxy:
Configure un perfil con detalles de host y puerto del servidor proxy mediante el
set services proxy profilecomando.Utilice el comando para conectarse al servidor proxy y descargar el
set services application-identification download proxy-profile profile-namepaquete de firmas de la aplicación.
Cuando descarga el paquete de firmas, la solicitud se enruta a través del host proxy al servidor real que aloja el paquete de firma. El host proxy transmite la respuesta del host real. La descarga recupera el paquete de la aplicación del sitio web de seguridad de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
La compatibilidad con la configuración del perfil de proxy solo está disponible para conexiones HTTP.
En este ejemplo, se crea un perfil de proxy y se hace referencia al perfil al descargar el paquete de firma de aplicación desde el host externo. En la Tabla 1 se proporcionan los detalles de los parámetros utilizados en este ejemplo.
Parámetro |
Nombre |
|---|---|
Nombre del perfil |
Perfil-1 |
Dirección IP del servidor proxy |
5.0.0.1 |
Número de puerto del servidor proxy |
3128 |
Verificación
- Comprobación de la descarga de firmas de aplicaciones a través del servidor proxy
- Verificación del estado de descarga de firmas de aplicaciones
Comprobación de la descarga de firmas de aplicaciones a través del servidor proxy
Propósito
Mostrar los detalles de la descarga del paquete de firmas de la aplicación a través de un servidor proxy.
Acción
Desde el modo operativo, ingrese el show services application-identification status comando.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
Significado
En la salida del comando, puede encontrar los detalles del perfil de proxy en Proxy Profile y Proxy Address campos.
Verificación del estado de descarga de firmas de aplicaciones
Propósito
Compruebe el estado de descarga del paquete de la aplicación.
Acción
Desde el modo operativo, ingrese el request services application-identification download status comando.
user@host> request services application-identification download status
Application package 3058 is downloaded successfully
Significado
El comando muestra el estado de descarga del paquete de firmas de la aplicación.
Ejemplo: programación de las actualizaciones del paquete de firmas de la aplicación
En este ejemplo se muestra cómo configurar actualizaciones automáticas del paquete de firma de aplicación predefinido.
Requisitos
Antes de empezar:
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
Visión general
En este ejemplo, desea descargar periódicamente la versión actual del paquete de firmas de la aplicación. La descarga debería comenzar a las 23:59 del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete automáticamente cada 2 días desde el sitio de intranet de su empresa.
Configuración
Procedimiento
Configuración rápida de la GUI
Para configurar la descarga automática y la actualización periódica con la interfaz J-Web:
Procedimiento paso a paso
Ingrese
Configure>Security>AppSecure Settingspara mostrar la página Firma de aplicaciones.Haga clic en
Global Settings.Haga clic en la
Download Schedulerficha y modifique los campos siguientes:URL: https://signatures.juniper.net/cgi-bin/index.cgi
Habilitar actualización programada: active la casilla de verificación.
Intervalo: 48
Haga clic para borrar la hora de inicio existente, introduzca la nueva hora de inicio en formato AAAA-MM-DD.hh:mm y haga clic
Reset SettingenOK.Hora de inicio: 2019-06-30.10:00:00
Haga clic
Commit Options>Commitpara confirmar los cambios.Haga clic para
Check Statussupervisar el progreso de una descarga o actualización activa, o para comprobar el resultado de la última actualización.
Procedimiento paso a paso
Para usar la CLI para actualizar automáticamente el paquete de firmas de la aplicación Junos OS:
Especifique la dirección URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como dirección URL para descargar actualizaciones de bases de datos de firmas:
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
Especifique la hora y el intervalo para la descarga. La siguiente instrucción establece el intervalo en 48 horas y la hora de inicio en 10 am del 10 de diciembre:
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que el paquete de firmas de la aplicación se actualiza correctamente, escriba el show services application-identification version comando. Revise el número de versión y los detalles de la última actualización.
Programación de las actualizaciones del paquete de firmas de aplicaciones como parte del paquete de seguridad de IDP
Las instrucciones de configuración de este ejemplo describen cómo configurar actualizaciones automáticas del paquete de firmas de identificación de aplicaciones (parte del paquete de seguridad de IDP) en una fecha y hora especificadas.
Requisitos
Antes de empezar:
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
Visión general
En este ejemplo, desea descargar periódicamente la versión actual del paquete de firmas de la aplicación. La descarga debería comenzar a las 23:59 del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete automáticamente cada 2 días desde el sitio de intranet de su empresa.
Configuración
Procedimiento
Configuración rápida de la GUI
Para configurar la descarga automática y la actualización periódica con la interfaz J-Web:
Procedimiento paso a paso
Ingrese
Configure>Security>IDP>Signature Updatespara mostrar la página Configuración de firma del IDP de seguridad.Haga clic
Download Settingsy modifique la URL: https://signatures.juniper.net/cgi-bin/index.cgiHaga clic en la
Auto Download Settingsficha y modifique los campos siguientes:Intervalo: 48
Hora de inicio: 2013-12-10.23:59:55
Habilitar actualización programada: active la casilla de verificación.
Haga clic
Reset Settingpara borrar los campos existentes, introduzca los nuevos valores. Haga clic enOK.Haga clic
Commit Options>Commitpara confirmar los cambios.Haga clic para
Check Statussupervisar el progreso de una descarga o actualización activa, o para comprobar el resultado de la última actualización.
Procedimiento paso a paso
Para usar la CLI para actualizar automáticamente el paquete de firmas de la aplicación Junos OS:
Especifique la dirección URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como dirección URL para descargar actualizaciones de bases de datos de firmas:
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Especifique la hora y el intervalo para la descarga. La siguiente instrucción establece el intervalo como 48 horas y la hora de inicio como 11:55 pm del 10 de diciembre de 2013:
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
Habilite una descarga y actualización automáticas del paquete de seguridad.
[edit] user@host# set security idp security-package automatic enable
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que el paquete de firmas de la aplicación se actualiza correctamente.
Comprobación del paquete de firmas de aplicaciones
Propósito
Comprobar la versión de identificación de la aplicación de servicios
Acción
Desde el modo operativo, ingrese el show services application-identification version comando.
user@host> show services application-identification version
Application package version: 1884
Significado
El resultado de ejemplo muestra que la versión de identificación de la aplicación de servicios es 1884.
Ejemplo: descarga e instalación del paquete de identificación de aplicaciones en modo de clúster de chasis
En este ejemplo se muestra cómo descargar e instalar la base de datos del paquete de firmas de aplicaciones en un dispositivo que funciona en modo de clúster de chasis.
Descargar e instalar el paquete de identificación de aplicaciones
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para descargar e instalar un paquete de aplicación:
Descargue el paquete de la aplicación en el nodo principal.
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
Compruebe el estado de descarga del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification download statusEn una descarga correcta, se muestra el siguiente mensaje
Application package 2345 is downloaded successfully
El paquete de la aplicación se instala en la base de datos de firmas de la aplicación en el nodo principal y los archivos de identificación de la aplicación se sincronizan en los nodos principal y secundario.
Actualice el paquete de la aplicación usando
installcomando.{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Compruebe el estado de actualización del paquete de la aplicación. El resultado del comando muestra información sobre las versiones descargadas e instaladas del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
Nota:Es posible que se elimine una firma de aplicación de la nueva versión de una base de datos de firmas de aplicación. Si esta firma se utiliza en una directiva de firewall de aplicaciones existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos correctamente, quite todas las referencias a la firma eliminada de las directivas y grupos existentes y vuelva a ejecutar el comando de instalación.
Nota:Al descargar el paquete de firmas de aplicación en el nodo principal, a veces, debido a una conmutación por error inesperada, es posible que el nodo principal no pueda descargar el paquete de firmas de aplicación por completo. Como solución alternativa, debe eliminar /var/db/appid/sec-download/.apppack_state y reiniciar el dispositivo.
Procedimiento paso a paso
Para desinstalar un paquete de aplicación:
Desinstale el paquete de la aplicación usando
uninstallel comando.{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Compruebe el estado de desinstalación del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
Compruebe el estado de desinstalación del paquete de protocolos:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
Requisitos
Antes de empezar:
Establezca el ID de nodo y el ID de clúster del clúster del chasis. Consulte Ejemplo: Configuración del ID de nodo y el ID de clúster para dispositivos de seguridad en un clúster de chasis .
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la función de identificación de aplicaciones.
Visión general
Si utiliza la identificación de aplicaciones, puede descargar la base de datos predefinida del paquete de firmas de aplicaciones. Juniper Networks actualiza periódicamente la base de datos y la pone a disposición en el sitio web de Juniper Networks. Este paquete incluye objetos de aplicación que se pueden usar para hacer coincidir el tráfico en IDP, políticas de firewall de aplicaciones y seguimiento de aplicaciones. Para obtener más información, consulte Descripción de la instalación del paquete de aplicaciones de Junos OS.
Cuando descarga el paquete de seguridad de identificación de aplicaciones en un dispositivo que funciona en modo de clúster de chasis, el paquete de seguridad se descarga en el nodo principal y, a continuación, se sincroniza con el nodo secundario.
Comprobación del paquete de aplicación extraído de identificación de aplicaciones de Junos OS
Propósito
Después de descargar e instalar correctamente el paquete de la aplicación, utilice los siguientes comandos para ver el contenido predefinido del paquete de firmas de la aplicación.
Acción
Vea la versión actual del paquete de la aplicación:
show services application-identification version
Application package version: 1608
Vea el estado actual del paquete de la aplicación:
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Ver también
Desinstalación del paquete de la aplicación de identificación de aplicaciones de Junos OS
Puede desinstalar el paquete de aplicación predefinido. La operación de desinstalación fallará si hay alguna política de seguridad activa a la que se hace referencia en las firmas de aplicación predefinidas en la configuración de Junos OS
Para desinstalar el paquete de la aplicación:
El paquete de la aplicación y el paquete de protocolos se desinstalan en el dispositivo. Para reinstalar la identificación de la aplicación, debe descargar el paquete de la aplicación y volver a instalarlo.
Ver también
Reversión del paquete de firmas de aplicaciones
A partir de Junos OS versión 20.3R1, puede revertir la versión actual de Application Signature Pack a la versión anterior mediante uno de los métodos siguientes:
Reversión automática
Reversión manual
Reversión automática
En caso de que se produzca un error en la instalación del paquete de firmas de la aplicación, el sistema revierte automáticamente a la versión anterior del paquete de firmas de la aplicación que está instalado actualmente en el dispositivo de seguridad.
Al descargar e instalar el paquete de firma de aplicación en un dispositivo que funciona en modo de clúster de chasis, si se produce un error en la instalación en un nodo, el sistema vuelve a la versión anterior de la firma de la aplicación. El dispositivo muestra una alarma menor en el mismo nodo donde se produce un error en la instalación y la reversión se realiza correctamente.
Ejemplo:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
Compruebe el estado de reversión del paquete de firmas de la aplicación cuando la instalación falló y la reversión se completa correctamente.
user@host> request services application-identification rollback status
Application package rollback to version 3297 successReversión manual
Puede revertir manualmente el paquete de firmas de la aplicación a la versión instalada anterior mediante los pasos siguientes:
Revierta el paquete de firmas de la aplicación a la versión anterior.
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusCompruebe el estado de la reversión.
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
Tenga en cuenta lo siguiente para la reversión manual del paquete de firmas de aplicación:
Una vez que revierta manualmente la versión del paquete de firmas de aplicaciones de la versión Y a la versión X, se omite la actualización automática programada del paquete de firmas de aplicaciones hasta que esté disponible una nueva versión Z, que es superior a la versión Y.
Puede descargar e instalar firmas de aplicaciones a través de paquetes de seguridad de detección y prevención de intrusiones (IDP). En este caso, si se produce un error en la instalación de AppID durante la instalación de IDP, AppID vuelve a la versión anterior y la instalación de IDP continúa con la versión solicitada. En tales casos, IDP y AppID pueden tener versiones diferentes.
La instalación del paquete de firma de la aplicación no se lleva a cabo si hay algún daño, eliminación o modificación de los archivos del paquete de firmas descargados. En tales casos, se muestra el siguiente mensaje:
user@host>request services application-identification install error: Checksum validation failed for downloaded files.-
Cuando el dispositivo de seguridad no incluye ninguna versión anterior del paquete de firma de aplicación e intenta revertir el paquete de firma de aplicación, el dispositivo muestra el siguiente mensaje de error:
user@host>request services application-identification install No application package available to rollback.
Agrupación de firmas de aplicación recién agregadas
A partir de la versión 21.1R1 de Junos OS, hemos mejorado el paquete de firmas de aplicaciones al agrupar todas las firmas de aplicaciones recién agregadas en junos:all-new-apps group. Cuando descarga el paquete de firmas de aplicación en el dispositivo de seguridad, todo el grupo de aplicaciones predefinido se descarga y está disponible para que lo configure en la directiva de seguridad, como se muestra en el ejemplo siguiente:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
También hemos introducido una lista de etiquetas de aplicación en el paquete de firmas de aplicación. Puede agrupar aplicaciones similares en función de las etiquetas predefinidas que se basan en atributos de aplicación. De este modo, puede reutilizar de forma coherente los grupos de aplicaciones al definir directivas de seguridad.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
Ejemplo
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
En el ejemplo anterior, se configura un grupo de aplicaciones basado en etiquetas con las etiquetas acceso remoto y web y otro grupo de etiquetas con social_networking. Todas las aplicaciones que tienen etiquetas como web o de acceso remoto y social_networking se agregarán al grupo de aplicaciones.
La agrupación de aplicaciones similares en función de etiquetas le ayuda a reutilizar de forma coherente los grupos de aplicaciones al definir políticas de seguridad.
- Migración de nuevas aplicaciones a aplicaciones normales:
- Mejoras en el paquete de firmas de aplicaciones
Migración de nuevas aplicaciones a aplicaciones normales:
El grupo junos:all-new-apps contiene un conjunto de todas las aplicaciones nuevas en el paquete de firmas de aplicaciones instaladas en su dispositivo de seguridad en comparación con el paquete de firmas instalado anteriormente. Si decide instalar una versión más reciente del paquete de firmas de aplicaciones, esa versión contendrá un nuevo conjunto de aplicaciones en el grupo junos:all-new-apps.
Puede optar por migrar las nuevas aplicaciones a aplicaciones normales en su paquete de firmas de aplicación existente. Esta migración le ayudará a mantener coherentemente las reglas de la política de seguridad que se crean específicas para las nuevas aplicaciones cada vez que actualice a versiones de firma de aplicaciones más recientes en el futuro.
Puede utilizar los siguientes comandos nuevos para mover las aplicaciones etiquetadas como nuevas a aplicaciones normales:
-
Para migrar solo las aplicaciones nuevas especificadas como aplicación normal, use el siguiente comando:
request services application-identification new-to-production applications-list [application-1 application-2]
-
Para migrar todas las aplicaciones nuevas como aplicaciones normales, utilice el siguiente comando:
request services application-identification new-to-production all
Después de ejecutar estos comandos, la aplicación ya no se etiquetará como nueva y no formará parte del junos:all-new-apps grupo.
Mejoras en el paquete de firmas de aplicaciones
A partir de la versión 21.1R1 de Junos OS, introdujimos las siguientes mejoras en el paquete de firmas de aplicaciones:
- Compatibilidad con la propagación de contexto de datos FTP
- Omitir la inspección profunda de paquetes (DPI) para las sesiones descargadas por enrutamiento avanzado basado en políticas (APBR) en la memoria caché del sistema de aplicaciones (ASC). (Cuando solo está habilitado el servicio APBR).
- Instalación forzada del paquete de firmas de la aplicación sobre la misma versión del paquete de firmas. Consulte solicitar servicios identificación de aplicaciones instalar ignorar comprobación de versión duplicada
- Visualización de la fecha de lanzamiento del paquete de firmas de la aplicación en la salida del comando de la CLI. Consulte mostrar la versión de identificación de aplicaciones de servicios
- Visualización de la lista de firmas de aplicaciones obsoletas disponibles en el paquete de firmas instalado en la salida del comando de la CLI. Consulte mostrar servicios de identificación de aplicaciones aplicaciones obsoletas
Cuando actualice a Junos OS versión 21.1 y posteriores desde Junos OS versión 20.4 y versiones anteriores, se recomienda actualizar la base de datos de firmas de identificación de aplicaciones mediante los request services application-identifications download comandos y request services application-identification install .