Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firmas de aplicaciones predefinidas para la identificación de aplicaciones

El paquete de firma de aplicación predefinido es un módulo que se carga dinámicamente que proporciona funcionalidad de clasificación de aplicaciones y atributos de protocolo asociados. Se aloja en un servidor externo y se puede descargar como paquete e instalarse en el dispositivo. Para obtener más información, consulte los siguientes temas:

Descripción de la instalación Junos OS paquete de aplicación de software

Juniper Networks actualiza regularmente la base de datos predefinida de paquetes de firmas de aplicaciones y la pone a disposición de los suscriptores en el Juniper Networks web. Este paquete incluye definiciones de firmas de objetos de aplicación conocidos que se pueden usar para identificar aplicaciones de seguimiento, políticas de firewall, priorización de la calidad del servicio y detección y prevención de intrusiones (DPI). La base de datos contiene objetos de aplicación como FTP, DNS, Facebook, Kazaa y muchos programas de mensajes instantáneas.

Debe descargar e instalar el paquete de firma de la aplicación antes de configurar los servicios de la aplicación. El paquete de firma de la aplicación se incluye en DPI instalación directamente y no es necesario descargarlo por separado.

  • Si ha activado DPI y planea usar la identificación de la aplicación, puede continuar con la ejecución de la descarga DPI base de datos de firmas. Para descargar la base DPI de datos de firmas, ejecute el siguiente comando: request security idp security-package download . La descarga del paquete de la aplicación se puede realizar de forma manual o automática. Consulte Descargar e instalar el paquete de Junos OS de firma de la aplicación como parte del paquete DPI de seguridad.

    Nota:

    Si tiene un dispositivo compatible DPI y planea usar la identificación de aplicaciones, recomendamos que descargue solo la base de DPI de datos de firmas. De este modo, se evitarán tener dos versiones de la base de datos de aplicaciones, las cuales podrían quedar des sincronizadas.

  • Si no tiene DPI habilitado y planea usar la identificación de la aplicación, puede ejecutar los siguientes comandos: request services application-identification download y request services application-identification install . Estos comandos descargarán la base de datos de firmas de la aplicación e la instalarán en el dispositivo.

    Puede realizar la descarga de forma manual o automática. Cuando descargue el paquete extraído de forma manual, puede cambiar la DIRECCIÓN URL de descarga.

    Después de descargar e instalar el paquete de firma de la aplicación, utilice CLI comandos para descargar e instalar actualizaciones de bases de datos, y ver información resumida e detallada de la aplicación.

    Consulte Descargar e instalar el paquete de Junos OS de la aplicación de forma manual o ejemplo: programación de actualizacionesdel paquete de firmas de aplicaciones.

    Nota:

    La actualización Junos OS paquete de firma de la aplicación es un servicio de suscripción con licencia por separado. Debe instalar la clave de licencia de actualización del paquete de firma de la aplicación en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas proporcionadas por Juniper Networks. Si caduca su clave de licencia, puede seguir utilizando el contenido del paquete de firmas de la aplicación almacenada localmente, pero no puede actualizar los datos.

    Nota:

    A partir de Junos OS versión 15.1X49-D50 y Junos OS versión 17.3, cuando se actualiza o degrada un paquete de firma de aplicación, se muestra un mensaje de error si hay alguna discordancia de id. de aplicación (número de ID único de una firma de aplicación) entre paquetes de proto y estas aplicaciones se configuran en las reglas AppFW y AppQoS.

    Ejemplo:

    Como solución, desactive las reglas AppFW y AppQoS antes de actualizar o degradar un paquete de firma de aplicación. Puede volver aable las reglas AppFW y AppQoS una vez que se complete el procedimiento de actualización o degradación.

    Nota:

    En todos los dispositivos de seguridad, las páginas web de J para AppSecure Services son preliminares. Recomendamos usar el CLI para la configuración de AppSecure funciones.

Nota:

Esta función requiere una licencia. Para obtener más información acerca de Junos OS paquete de firma de aplicación, consulte la Guía de Juniper de licencias para obtener información general acerca de la administración de licencias. Consulte las hojas de datos del producto en las puertas de enlace de servicios serie SRX para obtener más información, o póngase en contacto con su Juniper de cuenta o Juniper asociado.

Actualización a la identificación de aplicaciones de última generación

A partir de Junos OS versión 12.1X47-D10, se admite la identificación de aplicaciones de última generación. Debe instalar una Junos OS versión 12.1X47-D10 para migrar de una identificación de aplicación existente o heredada a una identificación de aplicación de última generación.

Los dispositivos de seguridad instalados Junos OS compilaciones con identificación de aplicaciones heredadas incluyen paquetes de seguridad de identificación de aplicaciones heredados. Cuando actualice estos dispositivos con Junos OS versión 12.1X47-D10, el paquete de seguridad de identificación de la aplicación de última generación se instala junto con el paquete de protocolo predeterminado. El dispositivo se actualiza de forma automática a la identificación de la aplicación de última generación.

Nota:
  • El paquete de seguridad de identificación de aplicaciones de última generación introduce actualizaciones incrementales al paquete de identificación de aplicaciones heredadas. No es necesario que quite o desinstale ninguna de las aplicaciones existentes.

  • Las aplicaciones compatibles con versiones anteriores (Junos OS versión 12.1X46 o anterior) pueden tener alias o nombres alternativos nuevos en la nueva versión. Por lo tanto, las configuraciones existentes que utilizan esta aplicación funcionan Junos OS versión 12.1X47; sin embargo, los registros relacionados y otra información usarán el nuevo nombre. Puede usar el show services application-identification application detail new-application-name comando para obtener los detalles de las aplicaciones.

  • Cuando actualice Junos OS, puede incluir las validate opciones o con el no-validate request system software add comando. Dado que las funciones existentes, que no forman parte de la identificación de aplicaciones de última generación, están obsoletas, no se observan problemas de compatibilidad.

  • La identificación de aplicaciones de última generación elimina la generación de nuevas aplicaciones anidadas y trata las aplicaciones anidadas existentes como aplicaciones normales. Además, la identificación de aplicaciones de última generación no admite aplicaciones personalizadas ni grupos de aplicaciones personalizados. Las configuraciones existentes que implican aplicaciones anidadas, aplicaciones personalizadas o grupos de aplicaciones personalizadas se omiten con mensajes de advertencia.

Instalación y verificación de licencias para un paquete de firma de aplicación

La actualización Junos OS paquete de firma de la aplicación es un servicio de suscripción con licencia por separado. Debe instalar la clave de licencia de actualización del paquete de firma de la aplicación en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas proporcionadas por Juniper Networks. Si caduca su clave de licencia, puede seguir utilizando el contenido del paquete de firmas de la aplicación almacenada localmente.

Por lo general, las licencias se ordenan cuando se compra el dispositivo y esta información está vinculada al número de serie del chasis. En estas instrucciones, se da por sentado que ya tiene la licencia. Si no ordenó la licencia durante la compra del dispositivo, póngase en contacto con su equipo de cuenta o Juniper centro de atención al cliente para obtener asistencia. Para obtener más información, consulte el artículo de la Base de conocimiento KB9731 en https://kb.juniper.net/InfoCenter/index?page=home.

A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX1500, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE). No hay ninguna clave de licencia independiente para AppSecure disponible. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppPista.

A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX300, SRX320, SRX340 y SRX345, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE). No hay ninguna clave de licencia independiente para AppSecure disponible. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppPista.

A partir de 15.1X49-D65 y Junos OS versión 17.3R1, en dispositivos SRX4100 y SRX4200, AppSecure forma parte del paquete de licencia de Junos Software Enhanced (JSE). No hay ninguna clave de licencia independiente para AppSecure disponible. Debe usar la licencia de software JSE en su dispositivo para descargar e instalar las actualizaciones de base de datos de firmas de AppID, o para usar otras funciones de AppSecure como AppFW, AppQoS y AppPista.

El paquete de Junos Software Base (JSB) no incluye firmas de aplicaciones. Consulte las hojas de datos del producto en las puertas de enlace de servicios serie SRX para obtener más información, o póngase en contacto con su equipo Juniper de cuenta o Juniper asociado.

Puede instalar la licencia en el dispositivo de la serie SRX con el método automático o manual de la siguiente manera:

  • Instale su licencia de forma automática en el dispositivo.

    Para instalar o actualizar su licencia de forma automática, el dispositivo debe estar conectado a Internet.

  • Instale las licencias manualmente en el dispositivo.

    Pegue la clave de licencia y presione Intro para continuar.

  • Compruebe que la licencia está instalada en su dispositivo.

    Utilice el show system license command comando para ver el uso de la licencia, como se muestra en el ejemplo siguiente:

    El ejemplo de salida se trunca para mostrar solo los detalles de uso de la licencia.

Descargar e instalar el paquete de Junos OS de la aplicación de forma manual

En este ejemplo, se muestra cómo descargar el paquete de firma de la aplicación, crear una política e identificarla como la política activa.

Requisitos

Antes de comenzar:

  • Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.

    Nota:

    El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.

  • Asegúrese de haber instalado la licencia de función de identificación de la aplicación.

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo de la serie SRX

  • Junos OS versión 12.1X47-D10

Visión general

Juniper Networks actualiza regularmente la base de datos predefinida de paquetes de firmas de aplicaciones y la pone a disposición en el Juniper Networks web. Este paquete incluye objetos de aplicación que se pueden usar en detección y prevención de intrusiones (DPI), la política de firewall de la aplicación y App Track para hacer coincidir el tráfico.

Configuración

CLI configuración rápida

CLI configuración rápida no está disponible para este ejemplo, ya que se requiere una intervención manual durante la configuración.

Descargar e instalar la identificación de la aplicación

Procedimiento paso a paso
  1. Descargue el paquete de la aplicación.

    Descargar recupera el paquete de la aplicación del sitio Juniper Networks seguridad dehttps://signatures.juniper.net/cgi-bin/index.cgi .

    También puede descargar una versión específica del paquete de la aplicación o descargar el paquete de la aplicación desde la ubicación específica mediante las siguientes opciones:

    • Para descargar una versión específica del paquete de la aplicación:

    • Para cambiar la DIRECCIÓN URL de descarga del paquete de la aplicación desde el modo de configuración:

      Nota:

      Si cambia la DIRECCIÓN URL de descarga y desea mantener ese cambio, asegúrese de confirmar la configuración.

  2. Compruebe el estado de descarga.

    Nota:

    También puede utilizar el registro del sistema para ver el resultado de la descarga. A partir de Junos OS versión 20.4R1, los mensajes de registro del sistema se actualizan para mostrar la descarga del paquete de firma de la aplicación y los resultados de instalación.

  3. Instale el paquete de la aplicación.

    El paquete de la aplicación se instala en la base de datos de firmas de la aplicación en el dispositivo.

  4. Compruebe el estado de instalación del paquete de la aplicación.

    El resultado del comando muestra información acerca de las versiones descargadas e instaladas del paquete de aplicación y del paquete de protocolo.

    • Para ver el estado de la instalación:

    • Para ver el estado del paquete de protocolo:

      Nota:

      Es posible que se quitó una firma de aplicación de la versión más reciente de una base de datos de firmas de aplicaciones. Si esta firma se usa en una política de firewall de aplicación existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos de forma correcta, quite todas las referencias a la firma eliminada de sus políticas y grupos existentes y vuelva a ejecutar el comando de instalación.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de identificación de la aplicación

Propósito

Compruebe que la configuración de identificación de la aplicación funciona correctamente.

Acción

Desde el modo operativo, escriba el show services application-identification status comando.

Significado

El Status: Enabled campo muestra que la identificación de la aplicación está habilitada en el dispositivo.

Descargar e instalar el paquete Junos OS de firma de la aplicación como parte del paquete DPI de seguridad

Puede descargar e instalar firmas de aplicaciones mediante paquetes de seguridad de detección y prevención DPI intrusiones.

En este ejemplo, se muestra cómo mejorar la seguridad mediante la descarga e instalación de DPI y el paquete de firmas de la aplicación. En este caso, tanto DPI de firma como el paquete de firmas de la aplicación se descargan con un solo comando.

Requisitos

Antes de comenzar:

  • Asegúrese de que su dispositivo de la serie SRX tenga conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.

    Nota:

    El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.

  • Asegúrese de haber instalado la licencia de función de identificación de la aplicación.

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo de la serie SRX

  • Junos OS versión 12.1X47-D10

Visión general

En este ejemplo, puede descargar e instalar la base de datos de firmas desde el Juniper Networks web.

Configuración

Descargar e instalar la base de datos de firmas

CLI configuración rápida

CLI configuración rápida no está disponible para este ejemplo, ya que se requiere una intervención manual durante la configuración.

Procedimiento paso a paso

Para descargar e instalar firmas de aplicaciones:

  1. Descargue la base de datos de firmas.

    Nota:

    Descargar la base de datos podría tardar algún tiempo, dependiendo del tamaño de la base de datos y la velocidad de su conexión a Internet.

  2. Compruebe el estado de descarga del paquete de seguridad.

  3. Instale la base de datos de ataques.

    Nota:

    Instalar la base de datos de ataque podría tardar algún tiempo dependiendo del tamaño de la base de datos de seguridad.

  4. Compruebe el estado de instalación de la base de datos de ataque. El resultado del comando muestra información acerca de las versiones descargadas e instaladas de la base de datos de ataque.

  5. Confirme su DPI versión del paquete de seguridad.

  6. Confirme la versión del paquete de identificación de la aplicación.

Verificación

Confirme que el paquete de firma de la aplicación se está actualizando correctamente.

Verificar paquete de firma de aplicación

Propósito

Verifique la versión de identificación de la aplicación de servicios.

Acción

Desde el modo operativo, escriba el show services application-identification version comando.

Significado

El resultado de ejemplo muestra que la versión de identificación de la aplicación de servicios es 1884.

Descargar un Junos OS de firma de aplicación desde un servidor proxy

En este ejemplo, se muestra cómo crear un perfil de proxy y usarlo para descargar el paquete de firma de la aplicación desde un servidor proxy.

Configuración

Procedimiento paso a paso

Cree un perfil de proxy y apliquenlo para descargar el paquete de la aplicación a través del servidor proxy.

  1. Cree un perfil de proxy para el protocolo HTTP.

  2. Especifique la dirección IP del servidor proxy.

  3. Especifique el número de puerto usado por el servidor proxy.

  4. Descargue el paquete de la aplicación desde el host de proxy.

Procedimiento paso a paso

Cuando no sea necesario, puede deshabilitar el servidor proxy para descargar el paquete de firma de la aplicación.

  • Desactive el servidor proxy para la descarga de firmas de aplicaciones.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Licencia válida de función de identificación de aplicaciones instalada en un dispositivo serie SRX.

  • Dispositivo serie SRX con Junos OS versión 18.3R1 o posterior. Este ejemplo de configuración se prueba para Junos OS versión 18.3R1.

Visión general

Debe descargar e instalar el paquete de firma de la aplicación que se aloja en un servidor externo del dispositivo de la serie SRX. A partir Junos OS versión 18.3R1, puede descargar el paquete de firma de la aplicación mediante un servidor proxy.

Para habilitar la descarga del paquete de firma desde el servidor proxy:

  1. Configure un perfil con detalles de host y puerto del servidor proxy mediante el set services proxy profile comando.

  2. Use el set services application-identification download proxy-profile profile-name comando para conectarse al servidor proxy y descargar el paquete de firma de la aplicación.

Cuando descarga el paquete de firma, la solicitud se enruta a través del host de proxy al servidor real que aloja el paquete de firma. El host de proxy retransmite la respuesta del host real. La descarga recupera el paquete de la aplicación desde el Juniper Networks de seguridad del https://signatures.juniper.net/cgi-bin/index.cgi.

Nota:

La compatibilidad con la configuración del perfil de proxy solo está disponible para conexiones HTTP.

En este ejemplo, se crea un perfil de proxy y se hace referencia al perfil cuando se descarga el paquete de firma de la aplicación desde el host externo. La tabla 1 proporciona los detalles de los parámetros utilizados en este ejemplo.

Tabla 1: Parámetros de configuración del perfil de proxy

Parámetro

Nombre

Nombre del perfil

Perfil-1

Dirección IP del servidor proxy

5.0.0.1

Número de puerto del servidor proxy

3128

Verificación

Verificar la descarga de firmas de aplicaciones a través del servidor proxy

Propósito

Muestra los detalles de la descarga del paquete de firma de la aplicación a través de un servidor proxy.

Acción

Desde el modo operativo, escriba el show services application-identification status comando.

Significado

En el resultado del comando, puede encontrar los detalles del perfil de proxy en Proxy Profile los Proxy Address campos.

Verificar el estado de descarga de firmas de aplicaciones

Propósito

Compruebe el estado de descarga del paquete de la aplicación.

Acción

Desde el modo operativo, escriba el request services application-identification download status comando.

Application package 3058 is downloaded successfully

Significado

El comando muestra el estado de descarga del paquete de firma de la aplicación.

Ejemplo: programación de actualizaciones del paquete de firmas de aplicaciones

En este ejemplo, se muestra cómo configurar actualizaciones automáticas del paquete de firmas de aplicaciones predefinido.

Requisitos

Antes de comenzar:

  • Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.

    Nota:

    El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.

  • Asegúrese de haber instalado la licencia de función de identificación de la aplicación.

Visión general

En este ejemplo, desea descargar la versión actual del paquete de firma de la aplicación periódicamente. La descarga debe comenzar a las 11:59 p. m. del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete de forma automática cada 2 días desde el sitio de intranet de su empresa.

Configuración

Procedimiento

Configuración rápida de GUI

Para configurar la descarga automática y la actualización periódica con la interfaz de J-Web:

Procedimiento paso a paso

  1. Escriba Configure>Security>AppSecure Settings para mostrar la página Firmas de aplicaciones.

  2. Haga clic Global Settings en .

  3. Haga clic Download Scheduler en la pestaña y modifique los siguientes campos:

    • URL: https://signatures.juniper.net/cgi-bin/index.cgi

    • Activar actualización de programación: seleccione la casilla de verificación.

    • Intervalo: 48

  4. Haga clic para borrar la hora de inicio existente, ingrese la nueva hora de inicio en formato Reset Setting YYYY-MM-DD.hh:mm y haga clic OK en .

    • Hora de inicio: 2019-06-30.10:00:00

  5. Haga Commit Options>Commit clic para confirmar los cambios.

  6. Haga clic para supervisar el progreso de una descarga o actualización activa, o para comprobar el resultado Check Status de la última actualización.

Procedimiento paso a paso

Para usar el CLI para actualizar automáticamente el paquete de Junos OS de la aplicación:

  1. Especifique la DIRECCIÓN URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como la dirección URL para descargar actualizaciones de bases de datos de firmas:

  2. Especifique el tiempo y el intervalo para la descarga. La siguiente instrucción establece el intervalo como 48 horas y la hora de inicio como 10 a. m. del 10 de diciembre:

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que el paquete de firma de la aplicación se está actualizando correctamente, escriba el show services application-identification version comando. Revise el número de versión y los detalles de la última actualización.

Programación de actualizaciones del paquete de firmas de aplicaciones como parte del paquete DPI de seguridad

Las instrucciones de configuración de este ejemplo describen cómo configurar actualizaciones automáticas del paquete de firmas de identificación de aplicaciones (parte del paquete de seguridad de DPI) en una fecha y hora especificadas.

Requisitos

Antes de comenzar:

  • Asegúrese de que su dispositivo de seguridad tenga una conexión a Internet para descargar las actualizaciones de los paquetes de seguridad.

    Nota:

    El DNS se debe configurar porque debe resolver el nombre del servidor de actualización.

  • Asegúrese de haber instalado la licencia de función de identificación de la aplicación.

Visión general

En este ejemplo, desea descargar la versión actual del paquete de firma de la aplicación periódicamente. La descarga debe comenzar a las 11:59 p. m. del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete de forma automática cada 2 días desde el sitio de intranet de su empresa.

Configuración

Procedimiento

Configuración rápida de GUI

Para configurar la descarga automática y la actualización periódica con la interfaz de J-Web:

Procedimiento paso a paso

  1. Escriba Configure>Security>IDP>Signature Updates para mostrar la página Configuración DPI firma de seguridad.

  2. Haga Download Settings clic y modifique la DIRECCIÓN URL: https://signatures.juniper.net/cgi-bin/index.cgi

  3. Haga clic Auto Download Settings en la pestaña y modifique los siguientes campos:

    • Intervalo: 48

    • Hora de inicio: 2013-12-10.23:59:55

    • Activar actualización de programación: seleccione la casilla de verificación.

  4. Haga Reset Setting clic para borrar los campos existentes y escriba los valores nuevos. Haga clic OK en .

  5. Haga Commit Options>Commit clic para confirmar los cambios.

  6. Haga clic para supervisar el progreso de una descarga o actualización activa, o para comprobar el resultado Check Status de la última actualización.

Procedimiento paso a paso

Para usar el CLI para actualizar automáticamente el paquete de Junos OS de la aplicación:

  1. Especifique la DIRECCIÓN URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como la dirección URL para descargar actualizaciones de bases de datos de firmas:

  2. Especifique el tiempo y el intervalo para la descarga. La siguiente instrucción establece el intervalo como 48 horas y la hora de inicio como a las 11:55 p. m. del 10 de diciembre de 2013:

  3. Habilite una descarga y actualización automáticas del paquete de seguridad.

  4. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Confirme que el paquete de firma de la aplicación se está actualizando correctamente.

Verificar paquete de firma de aplicación

Propósito

Verificar la versión de identificación de la aplicación de servicios

Acción

Desde el modo operativo, escriba el show services application-identification version comando.

Significado

El resultado de ejemplo muestra que, la versión de identificación de la aplicación de servicios es 1884.

Ejemplo: descargar e instalar el paquete de identificación de la aplicación en el modo de clúster de chasis

En este ejemplo, se muestra cómo descargar e instalar la base de datos del paquete de firma de la aplicación en un dispositivo que funciona en modo de clúster de chasis.

Descargar e instalar el paquete de identificación de la aplicación

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del CLI usuario.

Para descargar e instalar un paquete de aplicación:

  1. Descargue el paquete de la aplicación en el nodo principal.

    {primary:node0}[edit]

    user@host> request services application-identification download

  2. Compruebe el estado de descarga del paquete de la aplicación.

    {primary:node0}[edit]

    user@host> request services application-identification download status

    Cuando se descarga de forma correcta, se muestra el siguiente mensaje

    El paquete de aplicación se instala en la base de datos de firmas de la aplicación en el nodo principal, y los archivos de identificación de la aplicación se sincronizan en los nodos principal y secundario.

  3. Actualice el paquete de la aplicación mediante install el comando.

    {primary:node0}[edit]

    user@host> request services application-identification install

  4. Compruebe el estado de actualización del paquete de la aplicación. El resultado del comando muestra información acerca de las versiones descargadas e instaladas del paquete de la aplicación.

    {primary:node0}[edit]

    user@host> request services application-identification install status

    Nota:

    Es posible que se quite una firma de aplicación de la nueva versión de una base de datos de firmas de aplicaciones. Si esta firma se usa en una política de firewall de aplicación existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos de forma correcta, quite todas las referencias a la firma eliminada de sus políticas y grupos existentes y vuelva a ejecutar el comando de instalación.

    Nota:

    Al descargar el paquete de firma de la aplicación en el nodo principal, a veces, debido a una conmutación por error inesperada, es posible que el nodo principal no pueda descargar por completo el paquete de firma de la aplicación. Como solución, debe eliminar /var/db/appid/sec-download/.apppack_state y reiniciar el dispositivo.

Procedimiento paso a paso

Para desinstalar un paquete de aplicación:

  1. Desinstale el paquete de la uninstall aplicación mediante el comando.

    {primary:node0}[edit]

    user@host> request services application-identification uninstall

  2. Compruebe el estado de desinstalación del paquete de la aplicación.

    {primary:node0}[edit]

    user@host> request services application-identification uninstall status

  3. Compruebe el estado de desinstalación del paquete de protocolos:

Requisitos

Antes de comenzar:

Visión general

Si utiliza la identificación de la aplicación, puede descargar la base de datos del paquete de firmas de aplicaciones predefinido. Juniper Networks actualiza regularmente la base de datos y la hace disponible en el Juniper Networks web. Este paquete incluye objetos de aplicación que se pueden usar para hacer coincidir el tráfico de DPI, las políticas de firewall de aplicaciones y el seguimiento de aplicaciones. Para obtener más información, consulte Descripción de la instalación Junos OS paquete de aplicación.

Cuando se descarga el paquete de seguridad de identificación de la aplicación en un dispositivo que funciona en modo de clúster de chasis, el paquete de seguridad se descarga al nodo principal y, luego, se sincroniza al nodo secundario.

Verificar el paquete de Junos OS de aplicación extraído de la identificación de aplicaciones

Propósito

Después de descargar e instalar correctamente el paquete de la aplicación, utilice los siguientes comandos para ver el contenido predefinido del paquete de firma de la aplicación.

Acción

  • Ver la versión actual del paquete de la aplicación:

  • Ver el estado actual del paquete de la aplicación:

Cómo desinstalar el paquete Junos OS aplicación de identificación de aplicaciones

Puede desinstalar el paquete de aplicación predefinido. La operación de desinstalar se producirá un error si hay alguna política de seguridad activa a la que se haga referencia en las firmas de aplicaciones predefinidas en la Junos OS configuración.

Para desinstalar el paquete de la aplicación:

  1. Desinstale el paquete de la aplicación:
  2. Compruebe el estado de la operación de desinstalación del paquete de la aplicación. El resultado del comando muestra información sobre el estado de desinstalación del paquete de la aplicación y del paquete de protocolo.
    • Compruebe el estado de desinstalación:

    • Compruebe el estado de desinstalación del paquete de protocolos:

El paquete de aplicación y el paquete de protocolo se desinstalarán en el dispositivo. Para volver a instalar la identificación de la aplicación, debe descargar el paquete de la aplicación y volver a instalarlo.

Revierte el paquete de firmas de aplicaciones

A partir de Junos OS versión 20.3R1, puede revertir la versión actual del paquete de firmas de la aplicación a la versión anterior mediante uno de los métodos siguientes:

  • Revierte automático

  • Revierte manual

Revierte automático

En caso de que se falle la instalación del paquete de firma de la aplicación, el sistema revertirá automáticamente a la versión anterior del paquete de firma de la aplicación que está instalado actualmente en su dispositivo de seguridad.

Cuando descarga e instala el paquete de firma de la aplicación en un dispositivo que funciona en modo de clúster de chasis, si la instalación falla en un nodo, el sistema revierte a la versión anterior de la firma de la aplicación. El dispositivo muestra una alarma leve en el mismo nodo en el que se produce un error en la instalación y la revierte correctamente.

Ejemplo:

Compruebe el estado de la devolución del paquete de firma de la aplicación cuando se ha realizado un error en la instalación y la devolución se completa correctamente.

Revierte manual

Puede revertir manualmente el paquete de firma de la aplicación a la versión instalada anterior con los siguientes pasos:

  1. Revertir el paquete de firma de la aplicación a la versión anterior.

  2. Compruebe el estado de la devolución.

Tenga en cuenta lo siguiente para la revolución manual del paquete de firma de la aplicación:

  • Una vez que revierte manualmente la versión del paquete de firma de la aplicación de la versión Y a la versión X, se omite la actualización automática programada del paquete de firma de la aplicación hasta que esté disponible una nueva versión Z, que es superior a la versión Y.

  • Puede descargar e instalar firmas de aplicaciones mediante paquetes de seguridad de detección y prevención DPI intrusiones. En este caso, si se produce un error en la instalación de AppID durante la instalación de DPI, AppID revierte a la versión anterior y DPI la instalación continúa con la versión solicitada. En tales casos, DPI y AppID pueden tener versiones diferentes.

  • La instalación del paquete de firma de aplicación no procede si hay algún daño, eliminación o modificación de los archivos de paquete de firmas descargados. En estos casos, se muestra el siguiente mensaje:

    user@host> request services application-identification install
    error: Checksum validation failed for downloaded files.

Agrupación de firmas de aplicaciones recién agregadas

A partir de Junos OS versión 21.1R1, hemos mejorado el paquete de firmas de aplicaciones mediante la agrupación de todas las firmas de aplicaciones recién agregadas en el grupo junos:all-new-apps. Cuando descarga el paquete de firma de la aplicación en su dispositivo de seguridad, se descarga y está disponible todo el grupo de aplicaciones predefinido para que se configure en la política de seguridad, como se muestra en el ejemplo siguiente:

También hemos introducido una lista de etiquetas de aplicación en el paquete de firmas de la aplicación. Puede agrupar aplicaciones similares según aquellas etiquetas predefinidas que sean e según atributos de aplicación. De este modo, puede reutilizar coherentemente los grupos de aplicaciones cuando defina políticas de seguridad.

Ejemplo

En el ejemplo anterior, puede configurar un grupo de aplicaciones basado en etiquetas con etiquetas de acceso remoto y web, y otro grupo de etiquetas con social_networking. Todas las aplicaciones que tengan etiquetas como acceso y acceso web o remoto social_networking se agregarán al grupo de aplicaciones.

La agrupación de aplicaciones similares basadas en etiquetas lo ayuda a reutilizar coherentemente los grupos de aplicaciones al definir políticas de seguridad.

Migración de aplicaciones nuevas a aplicaciones normales:

El grupo junos:all-new-apps contiene un conjunto de todas las aplicaciones nuevas del paquete de firmas de aplicaciones instalado en su dispositivo de seguridad, en comparación con el paquete de firmas instalado anteriormente. Si decide instalar una versión más reciente del paquete de firma de la aplicación, dicha versión contendrá un nuevo conjunto de aplicaciones en el grupo junos:all-new-apps.

Puede optar por migrar las nuevas aplicaciones a aplicaciones normales en el paquete de firma de la aplicación existente. Esta migración lo ayudará a mantener coherentemente las reglas de la política de seguridad que se crean específicas de las nuevas aplicaciones siempre que actualice a versiones más recientes de firmas de aplicaciones en el futuro.

Puede usar los siguientes comandos nuevos para mover las aplicaciones etiquetadas como aplicaciones nuevas a aplicaciones normales:

  • Para migrar solo aplicaciones nuevas especificadas como aplicaciones normales, utilice el siguiente comando:

  • Para migrar todas las aplicaciones nuevas como aplicaciones normales, utilice el siguiente comando:

Después de ejecutar estos comandos, la aplicación ya no se etiquetará como nueva y no formará parte del junos:all-new-apps grupo.

Mejoras del paquete de firmas de aplicaciones

A partir Junos OS versión 21.1R1, presentamos las siguientes mejoras en el paquete de firma de la aplicación:

Tabla del historial de versiones
Lanzamiento
Descripción
20.4R1
A partir de Junos OS versión 20.4R1, los mensajes de registro del sistema se actualizan para mostrar la descarga del paquete de firma de la aplicación y los resultados de instalación.
20.3R1
A partir Junos OS versión 20.3R1, puede revertir la versión actual del paquete de firmas de la aplicación a la versión anterior
15.1X49-D65
A partir de 15.1X49-D65 y Junos OS versión 17.3R1, en dispositivos SRX4100 y SRX4200, AppSecure forma parte del paquete de licencia de Junos Software Enhanced (JSE).
15.1X49-D40
A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX300, SRX320, SRX340 y SRX345, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE).
15.1X49-D30
A partir de Junos OS 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos SRX1500, AppSecure forma parte del paquete de licencia de software Junos Software Enhanced (JSE).
12.1X47-D10
A partir de Junos OS versión 12.1X47-D10, se admite la identificación de aplicaciones de última generación.