EN ESTA PÁGINA
Descripción de la instalación Junos OS del paquete de aplicaciones
Instalación y verificación de licencias para un paquete de firma de aplicación
Descargar e instalar el paquete de Junos OS de la aplicación de forma manual
Descargar Junos OS paquete de firma de aplicación desde un servidor proxy
Ejemplo: programación de actualizaciones del paquete de firmas de aplicaciones
Verificar el paquete de Junos OS de aplicación extraído de la identificación de aplicaciones
Cómo desinstalar el paquete Junos OS aplicación de identificación de aplicaciones
Firmas de aplicaciones predefinidas para la identificación de aplicaciones
El paquete de firma de aplicación predefinido es un módulo que se carga dinámicamente que proporciona funcionalidad de clasificación de aplicaciones y atributos de protocolo asociados. Se aloja en un servidor externo y se puede descargar como paquete e instalarse en el dispositivo. Para obtener más información, consulte los siguientes temas:
Descripción de la instalación Junos OS paquete de aplicación de software
Juniper Networks actualiza regularmente la base de datos predefinida de paquetes de firmas de aplicaciones y la pone a disposición de los suscriptores en el Juniper Networks web. Este paquete incluye definiciones de firmas de objetos de aplicación conocidos que se pueden usar para identificar aplicaciones de seguimiento, políticas de firewall, priorización de la calidad del servicio y detección y prevención de intrusiones (DPI). La base de datos contiene objetos de aplicación como FTP, DNS, Facebook, Kazaa y muchos programas de mensajes instantáneas.
Debe descargar e instalar el paquete de firma de la aplicación antes de configurar los servicios de la aplicación. El paquete de firma de la aplicación se incluye en DPI instalación directamente y no es necesario descargarlo por separado.
Si ha activado DPI y planea usar la identificación de la aplicación, puede continuar con la ejecución de la descarga DPI base de datos de firmas. Para descargar la base DPI de datos de firmas, ejecute el siguiente comando:
request security idp security-package download. La descarga del paquete de la aplicación se puede realizar de forma manual o automática. Consulte Descargar e instalar el paquete de Junos OS de firma de la aplicación como parte del paquete DPI de seguridad.Nota:Si tiene un dispositivo compatible DPI y planea usar la identificación de aplicaciones, recomendamos que descargue solo la base de DPI de datos de firmas. De este modo, se evitarán tener dos versiones de la base de datos de aplicaciones, las cuales podrían quedar des sincronizadas.
Si no tiene DPI habilitado y planea usar la identificación de la aplicación, puede ejecutar los siguientes comandos:
request services application-identification downloadyrequest services application-identification install. Estos comandos descargarán la base de datos de firmas de la aplicación e la instalarán en el dispositivo.Puede realizar la descarga de forma manual o automática. Cuando descargue el paquete extraído de forma manual, puede cambiar la DIRECCIÓN URL de descarga.
Después de descargar e instalar el paquete de firma de la aplicación, utilice CLI comandos para descargar e instalar actualizaciones de bases de datos, y ver información resumida e detallada de la aplicación.
Consulte Descargar e instalar el paquete de Junos OS de la aplicación de forma manual o ejemplo: programación de actualizacionesdel paquete de firmas de aplicaciones.
Nota:La actualización Junos OS paquete de firma de la aplicación es un servicio de suscripción con licencia por separado. Debe instalar la clave de licencia de actualización del paquete de firma de la aplicación en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas proporcionadas por Juniper Networks. Si caduca su clave de licencia, puede seguir utilizando el contenido del paquete de firmas de la aplicación almacenada localmente, pero no puede actualizar los datos.
Nota:A partir de Junos OS versión 15.1X49-D50 y Junos OS versión 17.3, cuando se actualiza o degrada un paquete de firma de aplicación, se muestra un mensaje de error si hay alguna discordancia de id. de aplicación (número de ID único de una firma de aplicación) entre paquetes de proto y estas aplicaciones se configuran en las reglas AppFW y AppQoS.
Ejemplo:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
Como solución, desactive las reglas AppFW y AppQoS antes de actualizar o degradar un paquete de firma de aplicación. Puede volver aable las reglas AppFW y AppQoS una vez que se complete el procedimiento de actualización o degradación.
Nota:En todos los dispositivos de seguridad, las páginas web de J para AppSecure Services son preliminares. Recomendamos usar el CLI para la configuración de AppSecure funciones.
Esta función requiere una licencia. Para obtener más información acerca de Junos OS paquete de firma de aplicación, consulte la Guía de Juniper de licencias para obtener información general acerca de la administración de licencias. Consulte las hojas de datos del producto en las puertas de enlace de servicios serie SRX para obtener más información, o póngase en contacto con su Juniper de cuenta o Juniper asociado.
Actualización a la identificación de aplicaciones de última generación
A partir de Junos OS versión 12.1X47-D10, se admite la identificación de aplicaciones de última generación. Debe instalar una Junos OS versión 12.1X47-D10 para migrar de una identificación de aplicación existente o heredada a una identificación de aplicación de última generación.
Los dispositivos de seguridad instalados Junos OS compilaciones con identificación de aplicaciones heredadas incluyen paquetes de seguridad de identificación de aplicaciones heredados. Cuando actualice estos dispositivos con Junos OS versión 12.1X47-D10, el paquete de seguridad de identificación de la aplicación de última generación se instala junto con el paquete de protocolo predeterminado. El dispositivo se actualiza de forma automática a la identificación de la aplicación de última generación.
El paquete de seguridad de identificación de aplicaciones de última generación introduce actualizaciones incrementales al paquete de identificación de aplicaciones heredadas. No es necesario que quite o desinstale ninguna de las aplicaciones existentes.
Las aplicaciones compatibles con versiones anteriores (Junos OS versión 12.1X46 o anterior) pueden tener alias o nombres alternativos nuevos en la nueva versión. Por lo tanto, las configuraciones existentes que utilizan esta aplicación funcionan Junos OS versión 12.1X47; sin embargo, los registros relacionados y otra información usarán el nuevo nombre. Puede usar el
show services application-identification application detail new-application-namecomando para obtener los detalles de las aplicaciones.Cuando actualice Junos OS, puede incluir las
validateopciones o con elno-validaterequest system software addcomando. Dado que las funciones existentes, que no forman parte de la identificación de aplicaciones de última generación, están obsoletas, no se observan problemas de compatibilidad.La identificación de aplicaciones de última generación elimina la generación de nuevas aplicaciones anidadas y trata las aplicaciones anidadas existentes como aplicaciones normales. Además, la identificación de aplicaciones de última generación no admite aplicaciones personalizadas ni grupos de aplicaciones personalizados. Las configuraciones existentes que implican aplicaciones anidadas, aplicaciones personalizadas o grupos de aplicaciones personalizadas se omiten con mensajes de advertencia.
Consulte también
Instalación y verificación de licencias para un paquete de firma de aplicación
La actualización Junos OS paquete de firma de la aplicación es un servicio de suscripción con licencia por separado. Debe instalar la clave de licencia de actualización del paquete de firma de la aplicación en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas proporcionadas por Juniper Networks. Si caduca su clave de licencia, puede seguir utilizando el contenido del paquete de firmas de la aplicación almacenada localmente.
Por lo general, las licencias se ordenan cuando se compra el dispositivo y esta información está vinculada al número de serie del chasis. En estas instrucciones, se da por sentado que ya tiene la licencia. Si no ordenó la licencia durante la compra del dispositivo, póngase en contacto con su equipo de cuenta o Juniper centro de atención al cliente para obtener asistencia. Para obtener más información, consulte el artículo de la Base de conocimiento KB9731 en https://kb.juniper.net/InfoCenter/index?page=home.
A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX1500, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE). No hay ninguna clave de licencia independiente para AppSecure disponible. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppPista.
A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX300, SRX320, SRX340 y SRX345, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE). No hay ninguna clave de licencia independiente para AppSecure disponible. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppPista.
A partir de 15.1X49-D65 y Junos OS versión 17.3R1, en dispositivos SRX4100 y SRX4200, AppSecure forma parte del paquete de licencia de Junos Software Enhanced (JSE). No hay ninguna clave de licencia independiente para AppSecure disponible. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppPista.
El paquete de Junos Software Base (JSB) no incluye firmas de aplicaciones. Consulte las hojas de datos del producto en las puertas de enlace de servicios serie SRX para obtener más información, o póngase en contacto con su equipo Juniper de cuenta o Juniper asociado.
Puede instalar la licencia en el dispositivo de la serie SRX con el método automático o manual de la siguiente manera:
Instale su licencia de forma automática en el dispositivo.
Para instalar o actualizar su licencia de forma automática, el dispositivo debe estar conectado a Internet.
user@host> request system license update
Trying to update license keys from https://ae1.juniper.net, use 'show system license' to check status.
Instale las licencias manualmente en el dispositivo.
user@host> request system license add terminal
[Type ^D at a new line to end input, enter blank line between each license key]
Pegue la clave de licencia y presione Intro para continuar.
Compruebe que la licencia está instalada en su dispositivo.
Utilice el
show system license commandcomando para ver el uso de la licencia, como se muestra en el ejemplo siguiente:License usage: Licenses Licenses Licenses Expiry Feature name used installed needed logical-system 4 1 3 permanent License identifier: JUNOSXXXXXX License version: 2 Valid for device: AA4XXXX005 Features: appid-sig - APPID Signature date-based, 2014-02-17 08:00:00 GMT-8 - 2015-02-11 08:00:00 GMT-8El ejemplo de salida se trunca para mostrar solo los detalles de uso de la licencia.
Consulte también
Descargar e instalar el paquete de Junos OS de la aplicación de forma manual
En este ejemplo, se muestra cómo descargar el paquete de firma de la aplicación, crear una política e identificarla como la política activa.
Requisitos
Antes de comenzar:
Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.
Nota:El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.
Asegúrese de haber instalado la licencia de función de identificación de la aplicación.
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo de la serie SRX
Junos OS versión 12.1X47-D10
Visión general
Juniper Networks actualiza regularmente la base de datos predefinida de paquetes de firmas de aplicaciones y la pone a disposición en el Juniper Networks web. Este paquete incluye objetos de aplicación que se pueden usar en detección y prevención de intrusiones (DPI), la política de firewall de la aplicación y App Track para hacer coincidir el tráfico.
Configuración
CLI configuración rápida
CLI configuración rápida no está disponible para este ejemplo, ya que se requiere una intervención manual durante la configuración.
Descargar e instalar la identificación de la aplicación
Procedimiento paso a paso
Descargue el paquete de la aplicación.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
Descargar recupera el paquete de la aplicación del sitio Juniper Networks seguridad dehttps://signatures.juniper.net/cgi-bin/index.cgi .
También puede descargar una versión específica del paquete de la aplicación o descargar el paquete de la aplicación desde la ubicación específica mediante las siguientes opciones:
Para descargar una versión específica del paquete de la aplicación:
user@host>request services application-identification download version version-number
Para cambiar la DIRECCIÓN URL de descarga del paquete de la aplicación desde el modo de configuración:
[edit] user@host# set services application-identification download url URL or File Path
Nota:Si cambia la DIRECCIÓN URL de descarga y desea mantener ese cambio, asegúrese de confirmar la configuración.
Compruebe el estado de descarga.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
Nota:También puede utilizar el registro del sistema para ver el resultado de la descarga. A partir de Junos OS versión 20.4R1, los mensajes de registro del sistema se actualizan para mostrar la descarga del paquete de firma de la aplicación y los resultados de instalación.
Instale el paquete de la aplicación.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
El paquete de la aplicación se instala en la base de datos de firmas de la aplicación en el dispositivo.
Compruebe el estado de instalación del paquete de la aplicación.
El resultado del comando muestra información acerca de las versiones descargadas e instaladas del paquete de aplicación y del paquete de protocolo.
Para ver el estado de la instalación:
user@host>request services application-identification install status
Install application package 2345 succeed
Para ver el estado del paquete de protocolo:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
Nota:Es posible que se quitó una firma de aplicación de la versión más reciente de una base de datos de firmas de aplicaciones. Si esta firma se usa en una política de firewall de aplicación existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos de forma correcta, quite todas las referencias a la firma eliminada de sus políticas y grupos existentes y vuelva a ejecutar el comando de instalación.
Verificación
Confirme que la configuración funciona correctamente.
Verificar el estado de identificación de la aplicación
Propósito
Compruebe que la configuración de identificación de la aplicación funciona correctamente.
Acción
Desde el modo operativo, escriba el show services application-identification status comando.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://services.netscreen.com/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Significado
El Status: Enabled campo muestra que la identificación de la aplicación está habilitada en el dispositivo.
Descargar e instalar el paquete Junos OS de firma de la aplicación como parte del paquete DPI de seguridad
Puede descargar e instalar firmas de aplicaciones mediante paquetes de seguridad de detección y prevención DPI intrusiones.
En este ejemplo, se muestra cómo mejorar la seguridad mediante la descarga e instalación de DPI y el paquete de firmas de la aplicación. En este caso, tanto DPI de firma como el paquete de firmas de la aplicación se descargan con un solo comando.
Requisitos
Antes de comenzar:
Asegúrese de que su dispositivo de la serie SRX tenga conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.
Nota:El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.
Asegúrese de haber instalado la licencia de función de identificación de la aplicación.
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un dispositivo de la serie SRX
Junos OS versión 12.1X47-D10
Visión general
En este ejemplo, puede descargar e instalar la base de datos de firmas desde el Juniper Networks web.
Configuración
Descargar e instalar la base de datos de firmas
CLI configuración rápida
CLI configuración rápida no está disponible para este ejemplo, ya que se requiere una intervención manual durante la configuración.
Procedimiento paso a paso
Para descargar e instalar firmas de aplicaciones:
Descargue la base de datos de firmas.
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
Nota:Descargar la base de datos podría tardar algún tiempo, dependiendo del tamaño de la base de datos y la velocidad de su conexión a Internet.
Compruebe el estado de descarga del paquete de seguridad.
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
Instale la base de datos de ataques.
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
Nota:Instalar la base de datos de ataque podría tardar algún tiempo dependiendo del tamaño de la base de datos de seguridad.
Compruebe el estado de instalación de la base de datos de ataque. El resultado del comando muestra información acerca de las versiones descargadas e instaladas de la base de datos de ataque.
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Confirme su DPI versión del paquete de seguridad.
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
Confirme la versión del paquete de identificación de la aplicación.
[edit]user@host# run show services application-identification versionApplication package version: 1884
Verificación
Confirme que el paquete de firma de la aplicación se está actualizando correctamente.
Verificar paquete de firma de aplicación
Propósito
Verifique la versión de identificación de la aplicación de servicios.
Acción
Desde el modo operativo, escriba el show services application-identification version comando.
user@host> show services application-identification version
Application package version: 1884
Significado
El resultado de ejemplo muestra que la versión de identificación de la aplicación de servicios es 1884.
Descargar un Junos OS de firma de aplicación desde un servidor proxy
En este ejemplo, se muestra cómo crear un perfil de proxy y usarlo para descargar el paquete de firma de la aplicación desde un servidor proxy.
Configuración
Procedimiento paso a paso
Cree un perfil de proxy y apliquenlo para descargar el paquete de la aplicación a través del servidor proxy.
Cree un perfil de proxy para el protocolo HTTP.
user@host#set services proxy profile Profile-1 protocol httpEspecifique la dirección IP del servidor proxy.
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1Especifique el número de puerto usado por el servidor proxy.
user@host#set services proxy profile Profile-1 protocol http port 3128Descargue el paquete de la aplicación desde el host de proxy.
user@host#set services application-identification download proxy-profile Profile-1
Procedimiento paso a paso
Cuando no sea necesario, puede deshabilitar el servidor proxy para descargar el paquete de firma de la aplicación.
Desactive el servidor proxy para la descarga de firmas de aplicaciones.
user@host#delete services application-identification download proxy-profile p1
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Licencia válida de función de identificación de aplicaciones instalada en un dispositivo serie SRX.
Dispositivo serie SRX con Junos OS versión 18.3R1 o posterior. Este ejemplo de configuración se prueba para Junos OS versión 18.3R1.
Visión general
Debe descargar e instalar el paquete de firma de la aplicación que se aloja en un servidor externo del dispositivo de la serie SRX. A partir Junos OS versión 18.3R1, puede descargar el paquete de firma de la aplicación mediante un servidor proxy.
Para habilitar la descarga del paquete de firma desde el servidor proxy:
Configure un perfil con detalles de host y puerto del servidor proxy mediante el
set services proxy profilecomando.Use el
set services application-identification download proxy-profile profile-namecomando para conectarse al servidor proxy y descargar el paquete de firma de la aplicación.
Cuando descarga el paquete de firma, la solicitud se enruta a través del host de proxy al servidor real que aloja el paquete de firma. El host de proxy retransmite la respuesta del host real. La descarga recupera el paquete de la aplicación desde el Juniper Networks de seguridad del https://signatures.juniper.net/cgi-bin/index.cgi.
La compatibilidad con la configuración del perfil de proxy solo está disponible para conexiones HTTP.
En este ejemplo, se crea un perfil de proxy y se hace referencia al perfil cuando se descarga el paquete de firma de la aplicación desde el host externo. La tabla 1 proporciona los detalles de los parámetros utilizados en este ejemplo.
Parámetro |
Nombre |
|---|---|
Nombre del perfil |
Perfil-1 |
Dirección IP del servidor proxy |
5.0.0.1 |
Número de puerto del servidor proxy |
3128 |
Verificación
- Verificar la descarga de firmas de aplicaciones a través del servidor proxy
- Verificar el estado de descarga de firmas de aplicaciones
Verificar la descarga de firmas de aplicaciones a través del servidor proxy
Propósito
Muestra los detalles de la descarga del paquete de firma de la aplicación a través de un servidor proxy.
Acción
Desde el modo operativo, escriba el show services application-identification status comando.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
Significado
En el resultado del comando, puede encontrar los detalles del perfil de proxy en Proxy Profile los Proxy Address campos.
Verificar el estado de descarga de firmas de aplicaciones
Propósito
Compruebe el estado de descarga del paquete de la aplicación.
Acción
Desde el modo operativo, escriba el request services application-identification download status comando.
user@host> request services application-identification download status
Application package 3058 is downloaded successfully
Significado
El comando muestra el estado de descarga del paquete de firma de la aplicación.
Ejemplo: programación de actualizaciones del paquete de firmas de aplicaciones
En este ejemplo, se muestra cómo configurar actualizaciones automáticas del paquete de firmas de aplicaciones predefinido.
Requisitos
Antes de comenzar:
Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.
Nota:El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.
Asegúrese de haber instalado la licencia de función de identificación de la aplicación.
Visión general
En este ejemplo, desea descargar la versión actual del paquete de firma de la aplicación periódicamente. La descarga debe comenzar a las 11:59 p. m. del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete de forma automática cada 2 días desde el sitio de intranet de su empresa.
Configuración
Procedimiento
Configuración rápida de GUI
Para configurar la descarga automática y la actualización periódica con la interfaz de J-Web:
Procedimiento paso a paso
Escriba
Configure>Security>AppSecure Settingspara mostrar la página Firmas de aplicaciones.Haga clic
Global Settingsen .Haga clic
Download Scheduleren la pestaña y modifique los siguientes campos:URL: https://signatures.juniper.net/cgi-bin/index.cgi
Activar actualización de programación: seleccione la casilla de verificación.
Intervalo: 48
Haga clic para borrar la hora de inicio existente, ingrese la nueva hora de inicio en formato
Reset SettingYYYY-MM-DD.hh:mm y haga clicOKen .Hora de inicio: 2019-06-30.10:00:00
Haga
Commit Options>Commitclic para confirmar los cambios.Haga clic para supervisar el progreso de una descarga o actualización activa, o para comprobar el resultado
Check Statusde la última actualización.
Procedimiento paso a paso
Para usar el CLI para actualizar automáticamente el paquete de Junos OS de la aplicación:
Especifique la DIRECCIÓN URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como la dirección URL para descargar actualizaciones de bases de datos de firmas:
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
Especifique el tiempo y el intervalo para la descarga. La siguiente instrucción establece el intervalo como 48 horas y la hora de inicio como 10 a. m. del 10 de diciembre:
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que el paquete de firma de la aplicación se está actualizando correctamente, escriba el show services application-identification version comando. Revise el número de versión y los detalles de la última actualización.
Programación de actualizaciones del paquete de firmas de aplicaciones como parte del paquete DPI de seguridad
Las instrucciones de configuración de este ejemplo describen cómo configurar actualizaciones automáticas del paquete de firmas de identificación de aplicaciones (parte del paquete de seguridad de DPI) en una fecha y hora especificadas.
Requisitos
Antes de comenzar:
Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.
Nota:El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.
Asegúrese de haber instalado la licencia de función de identificación de la aplicación.
Visión general
En este ejemplo, desea descargar la versión actual del paquete de firma de la aplicación periódicamente. La descarga debe comenzar a las 11:59 p. m. del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete de forma automática cada 2 días desde el sitio de intranet de su empresa.
Configuración
Procedimiento
Configuración rápida de GUI
Para configurar la descarga automática y la actualización periódica con la interfaz de J-Web:
Procedimiento paso a paso
Escriba
Configure>Security>IDP>Signature Updatespara mostrar la página Configuración DPI firma de seguridad.Haga
Download Settingsclic y modifique la DIRECCIÓN URL: https://signatures.juniper.net/cgi-bin/index.cgiHaga clic
Auto Download Settingsen la pestaña y modifique los siguientes campos:Intervalo: 48
Hora de inicio: 2013-12-10.23:59:55
Activar actualización de programación: seleccione la casilla de verificación.
Haga
Reset Settingclic para borrar los campos existentes y escriba los valores nuevos. Haga clicOKen .Haga
Commit Options>Commitclic para confirmar los cambios.Haga clic para supervisar el progreso de una descarga o actualización activa, o para comprobar el resultado
Check Statusde la última actualización.
Procedimiento paso a paso
Para usar el CLI para actualizar automáticamente el paquete de Junos OS de la aplicación:
Especifique la DIRECCIÓN URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como la dirección URL para descargar actualizaciones de bases de datos de firmas:
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Especifique el tiempo y el intervalo para la descarga. La siguiente instrucción establece el intervalo como 48 horas y la hora de inicio como a las 11:55 p. m. del 10 de diciembre de 2013:
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
Habilite una descarga y actualización automáticas del paquete de seguridad.
[edit] user@host# set security idp security-package automatic enable
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que el paquete de firma de la aplicación se está actualizando correctamente.
Verificar paquete de firma de aplicación
Propósito
Verificar la versión de identificación de la aplicación de servicios
Acción
Desde el modo operativo, escriba el show services application-identification version comando.
user@host> show services application-identification version
Application package version: 1884
Significado
El resultado de ejemplo muestra que, la versión de identificación de la aplicación de servicios es 1884.
Ejemplo: descargar e instalar el paquete de identificación de la aplicación en el modo de clúster de chasis
En este ejemplo, se muestra cómo descargar e instalar la base de datos del paquete de firma de la aplicación en un dispositivo que funciona en modo de clúster de chasis.
Descargar e instalar el paquete de identificación de la aplicación
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del CLI usuario.
Para descargar e instalar un paquete de aplicación:
Descargue el paquete de la aplicación en el nodo principal.
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
Compruebe el estado de descarga del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification download statusCuando se descarga de forma correcta, se muestra el siguiente mensaje
Application package 2345 is downloaded successfully
El paquete de aplicación se instala en la base de datos de firmas de la aplicación en el nodo principal, y los archivos de identificación de la aplicación se sincronizan en los nodos principal y secundario.
Actualice el paquete de la aplicación mediante
installel comando.{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Compruebe el estado de actualización del paquete de la aplicación. El resultado del comando muestra información acerca de las versiones descargadas e instaladas del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
Nota:Es posible que se quite una firma de aplicación de la nueva versión de una base de datos de firmas de aplicaciones. Si esta firma se usa en una política de firewall de aplicación existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos de forma correcta, quite todas las referencias a la firma eliminada de sus políticas y grupos existentes y vuelva a ejecutar el comando de instalación.
Nota:Al descargar el paquete de firma de la aplicación en el nodo principal, a veces, debido a una conmutación por error inesperada, es posible que el nodo principal no pueda descargar por completo el paquete de firma de la aplicación. Como solución, debe eliminar /var/db/appid/sec-download/.apppack_state y reiniciar el dispositivo.
Procedimiento paso a paso
Para desinstalar un paquete de aplicación:
Desinstale el paquete de la
uninstallaplicación mediante el comando.{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Compruebe el estado de desinstalación del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
Compruebe el estado de desinstalación del paquete de protocolos:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
Requisitos
Antes de comenzar:
Establezca el ID de nodo de clúster de chasis y el ID de clúster. Consulte Ejemplo: establecer el ID de nodo y el ID de clúster para dispositivos de seguridad en un clúster de chasis.
Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.
Nota:El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.
Asegúrese de haber instalado la licencia de función de identificación de aplicaciones.
Visión general
Si utiliza la identificación de la aplicación, puede descargar la base de datos del paquete de firmas de aplicaciones predefinido. Juniper Networks actualiza regularmente la base de datos y la hace disponible en el Juniper Networks web. Este paquete incluye objetos de aplicación que se pueden usar para hacer coincidir el tráfico de DPI, las políticas de firewall de aplicaciones y el seguimiento de aplicaciones. Para obtener más información, consulte Descripción de la instalación Junos OS paquete de aplicación.
Cuando se descarga el paquete de seguridad de identificación de la aplicación en un dispositivo que funciona en modo de clúster de chasis, el paquete de seguridad se descarga al nodo principal y, luego, se sincroniza al nodo secundario.
Verificar el paquete de Junos OS de aplicación extraído de la identificación de aplicaciones
Propósito
Después de descargar e instalar correctamente el paquete de la aplicación, utilice los siguientes comandos para ver el contenido predefinido del paquete de firma de la aplicación.
Acción
Ver la versión actual del paquete de la aplicación:
show services application-identification version
Application package version: 1608
Ver el estado actual del paquete de la aplicación:
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://services.netscreen.com/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Consulte también
Cómo desinstalar el paquete Junos OS aplicación de identificación de aplicaciones
Puede desinstalar el paquete de aplicación predefinido. La operación de desinstalar se producirá un error si hay alguna política de seguridad activa a la que se haga referencia en las firmas de aplicaciones predefinidas en la Junos OS configuración.
Para desinstalar el paquete de la aplicación:
El paquete de aplicación y el paquete de protocolo se desinstalarán en el dispositivo. Para volver a instalar la identificación de la aplicación, debe descargar el paquete de la aplicación y volver a instalarlo.
Consulte también
Revierte el paquete de firmas de aplicaciones
A partir de Junos OS versión 20.3R1, puede revertir la versión actual del paquete de firmas de la aplicación a la versión anterior mediante uno de los métodos siguientes:
Revierte automático
Revierte manual
Revierte automático
En caso de que se falle la instalación del paquete de firma de la aplicación, el sistema revertirá automáticamente a la versión anterior del paquete de firma de la aplicación que está instalado actualmente en su dispositivo de seguridad.
Cuando descarga e instala el paquete de firma de la aplicación en un dispositivo que funciona en modo de clúster de chasis, si la instalación falla en un nodo, el sistema revierte a la versión anterior de la firma de la aplicación. El dispositivo muestra una alarma leve en el mismo nodo en el que se produce un error en la instalación y la revierte correctamente.
Ejemplo:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
Compruebe el estado de la devolución del paquete de firma de la aplicación cuando se ha realizado un error en la instalación y la devolución se completa correctamente.
user@host> request services application-identification rollback status
Application package rollback to version 3297 successRevierte manual
Puede revertir manualmente el paquete de firma de la aplicación a la versión instalada anterior con los siguientes pasos:
Revertir el paquete de firma de la aplicación a la versión anterior.
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusCompruebe el estado de la devolución.
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
Tenga en cuenta lo siguiente para la revolución manual del paquete de firma de la aplicación:
Una vez que revierte manualmente la versión del paquete de firma de la aplicación de la versión Y a la versión X, se omite la actualización automática programada del paquete de firma de la aplicación hasta que esté disponible una nueva versión Z, que es superior a la versión Y.
Puede descargar e instalar firmas de aplicaciones mediante paquetes de seguridad de detección y prevención DPI intrusiones. En este caso, si se produce un error en la instalación de AppID durante la instalación de DPI, AppID revierte a la versión anterior y DPI la instalación continúa con la versión solicitada. En tales casos, DPI y AppID pueden tener versiones diferentes.
La instalación del paquete de firma de aplicación no procede si hay algún daño, eliminación o modificación de los archivos de paquete de firmas descargados. En estos casos, se muestra el siguiente mensaje:
user@host>request services application-identification install error: Checksum validation failed for downloaded files.
Agrupación de firmas de aplicaciones recién agregadas
A partir de Junos OS versión 21.1R1, hemos mejorado el paquete de firmas de aplicaciones mediante la agrupación de todas las firmas de aplicaciones recién agregadas en el grupo junos:all-new-apps. Cuando descarga el paquete de firma de la aplicación en su dispositivo de seguridad, se descarga y está disponible todo el grupo de aplicaciones predefinido para que se configure en la política de seguridad, como se muestra en el ejemplo siguiente:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
También hemos introducido una lista de etiquetas de aplicación en el paquete de firmas de la aplicación. Puede agrupar aplicaciones similares según aquellas etiquetas predefinidas que sean e según atributos de aplicación. De este modo, puede reutilizar coherentemente los grupos de aplicaciones cuando defina políticas de seguridad.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
Ejemplo
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
En el ejemplo anterior, puede configurar un grupo de aplicaciones basado en etiquetas con etiquetas de acceso remoto y web, y otro grupo de etiquetas con social_networking. Todas las aplicaciones que tengan etiquetas como acceso y acceso web o remoto social_networking se agregarán al grupo de aplicaciones.
La agrupación de aplicaciones similares basadas en etiquetas lo ayuda a reutilizar coherentemente los grupos de aplicaciones al definir políticas de seguridad.
- Migración de aplicaciones nuevas a aplicaciones normales:
- Mejoras del paquete de firmas de aplicaciones
Migración de aplicaciones nuevas a aplicaciones normales:
El grupo junos:all-new-apps contiene un conjunto de todas las aplicaciones nuevas del paquete de firmas de aplicaciones instalado en su dispositivo de seguridad, en comparación con el paquete de firmas instalado anteriormente. Si decide instalar una versión más reciente del paquete de firma de la aplicación, dicha versión contendrá un nuevo conjunto de aplicaciones en el grupo junos:all-new-apps.
Puede optar por migrar las nuevas aplicaciones a aplicaciones normales en el paquete de firma de la aplicación existente. Esta migración lo ayudará a mantener coherentemente las reglas de la política de seguridad que se crean específicas de las nuevas aplicaciones siempre que actualice a versiones más recientes de firmas de aplicaciones en el futuro.
Puede usar los siguientes comandos nuevos para mover las aplicaciones etiquetadas como aplicaciones nuevas a aplicaciones normales:
-
Para migrar solo aplicaciones nuevas especificadas como aplicaciones normales, utilice el siguiente comando:
request services application-identification new-to-production applications-list [application-1 application-2]
-
Para migrar todas las aplicaciones nuevas como aplicaciones normales, utilice el siguiente comando:
request services application-identification new-to-production all
Después de ejecutar estos comandos, la aplicación ya no se etiquetará como nueva y no formará parte del junos:all-new-apps grupo.
Mejoras del paquete de firmas de aplicaciones
A partir Junos OS versión 21.1R1, presentamos las siguientes mejoras en el paquete de firma de la aplicación:
- Compatibilidad con la propagación del contexto de datos FTP
- Se omite la inspección profunda de paquetes (DPI) para las sesiones que descarga el enrutamiento avanzado basado en políticas (APBR) en la caché del sistema de aplicaciones (ASC) acierto. (Cuando solo se habilita el servicio APBR.)
- Instalación contundente del paquete de firmas de la aplicación en la misma versión del paquete de firmas. Consulte Solicitud de identificación de aplicaciones de servicios instalación ignorar comprobación de versión duplicada
- Muestra la fecha de versión del paquete de firmas de la aplicación en la CLI salida del comando. Consulte mostrar versión de identificación de aplicaciones de servicios
- Muestra la lista de firmas de aplicaciones desusadas disponibles en el paquete de firmas instalado en la CLI de comando. Consulte mostrar aplicaciones obsoletas para la identificación de aplicaciones de servicios