EN ESTA PÁGINA
Descripción de la instalación del paquete de aplicación de Junos OS
Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS
Descargar paquete de firmas de aplicaciones de Junos OS desde un servidor proxy
Ejemplo: programación de las actualizaciones del paquete de firmas de la aplicación
Comprobación del paquete de aplicación extraído de identificación de aplicaciones de Junos OS
Desinstalación del paquete de la aplicación de identificación de aplicaciones de Junos OS
Firmas de aplicaciones Mejoras en la instalación de paquetes
Paquete de firmas de aplicaciones versiones principales y secundarias
Instalar paquete de firmas de aplicación
Un paquete de firma de aplicación predefinido es un módulo cargable dinámicamente que proporciona funcionalidad de clasificación de aplicaciones y atributos de protocolo asociados. Está alojado en un servidor externo y se puede descargar como un paquete e instalar en el dispositivo. Para obtener más información, consulte los temas siguientes:
Descripción de la instalación del paquete de aplicación de Junos OS
Juniper Networks actualiza periódicamente la base de datos predefinida del paquete de firmas de aplicaciones y la pone a disposición de los suscriptores en el sitio web de Juniper Networks. Este paquete incluye definiciones de firma de objetos de aplicación conocidos que se pueden usar para identificar aplicaciones para el seguimiento, políticas de firewall, priorización de calidad de servicio y detección y prevención de intrusiones (IDP). La base de datos contiene objetos de aplicación como FTP, DNS, Facebook, Kazaa y muchos programas de mensajería instantánea.
Debe descargar e instalar el paquete de firmas de la aplicación antes de configurar los servicios de la aplicación. Utilice una de las siguientes opciones:
Si tiene IDP habilitado y planea usar la identificación de la aplicación, puede continuar ejecutando la descarga de la base de datos de firmas de IDP. Consulte Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP.
Si tiene un dispositivo habilitado para IDP y planea usar la identificación de la aplicación, le recomendamos que descargue solo la base de datos de firmas de IDP. Esto evitará tener dos versiones de la base de datos de la aplicación, que podrían no estar sincronizadas.
Si no tiene IDP habilitado y planea usar la identificación de aplicaciones, descargue e instale la base de datos de firmas de aplicaciones. Consulte Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS o Ejemplo: Programación de actualizaciones del paquete de firmas de aplicaciones.
Nota:Al actualizar o degradar un paquete de firmas de aplicación, se muestra un mensaje de error si hay alguna discrepancia de identificadores de aplicación (número de identificación único de una firma de aplicación) entre los paquetes proto y estas aplicaciones están configuradas en reglas AppFW y AppQoS.
Ejemplo:
Please resolve following references and try it again [edit class-of-service application-traffic-control rule-sets RS8 rule 1 match application junos:CCPROXY]
Como solución alternativa, deshabilite las reglas AppFW y AppQoS antes de actualizar o degradar un paquete de firmas de aplicación. Puede volver a habilitar las reglas de AppFW y AppQoS una vez que se haya completado el procedimiento de actualización o degradación.
Nota:En todos los dispositivos de seguridad, las páginas J-Web para AppSecure Services son preliminares. Recomendamos usar la CLI para configurar las funciones de AppSecure.
Actualización a la identificación de aplicaciones de próxima generación
Los dispositivos de seguridad instalados con las compilaciones de Junos OS con identificación de aplicaciones heredadas incluyen paquetes de seguridad de identificación de aplicaciones heredadas. Al actualizar estos dispositivos con versiones más recientes, se instala el paquete de seguridad de identificación de aplicaciones de próxima generación junto con el paquete de protocolos predeterminado. El dispositivo se actualiza automáticamente a la identificación de aplicaciones de próxima generación.
Tenga en cuenta lo siguiente sobre el paquete de seguridad de identificación de aplicaciones de próxima generación:
-
El paquete de seguridad de identificación de aplicaciones de próxima generación introduce actualizaciones incrementales al paquete de identificación de aplicaciones heredado. No es necesario quitar o desinstalar ninguna aplicación existente.
-
Las aplicaciones de versiones anteriores de Junos OS pueden tener nuevos alias en versiones posteriores. Las configuraciones existentes seguirán funcionando, pero los registros y la información relacionada reflejarán los nombres actualizados. Utilice el
show services application-identification application detail new-application-namecomando para obtener los detalles de las aplicaciones. -
Cuando actualice Junos OS, puede incluir las
validateopciones ono-validatecon elrequest system software addcomando. Dado que las características existentes, que no forman parte de la identificación de aplicaciones de próxima generación, están en desuso, no se observan problemas de incompatibilidad. -
La identificación de aplicaciones de próxima generación elimina la generación de nuevas aplicaciones anidadas y trata las aplicaciones anidadas existentes como aplicaciones normales. Además, la identificación de aplicaciones de próxima generación no admite aplicaciones personalizadas ni grupos de aplicaciones personalizadas. Las configuraciones existentes que implican aplicaciones anidadas, aplicaciones personalizadas o grupos de aplicaciones personalizadas se ignoran con mensajes de advertencia.
Ver también
Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS
En este ejemplo se muestra cómo descargar el paquete de firmas de aplicación, crear una directiva e identificarla como la directiva activa.
Requisitos
Antes de empezar:
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que tiene las licencias necesarias. Ver Compatibilidad con licencias específicas de la plataformaGuía de licencias de Juniper. Consulte las hojas de datos del producto en Puertas de enlace de servicios de la serie SRX para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un dispositivo de la serie SRX
Junos OS versión 12.1X47-D10
Visión general
Juniper Networks actualiza periódicamente la base de datos predefinida del paquete de firmas de aplicaciones y la pone a disposición en el sitio web de Juniper Networks. Este paquete incluye objetos de aplicación que se pueden usar en la detección y prevención de intrusiones (IDP), la directiva de firewall de aplicaciones y AppTrack para que coincida con el tráfico.
Cuando actualice a Junos OS versión 21.1 y posteriores desde Junos OS versión 20.4 y versiones anteriores, le recomendamos que actualice también la base de datos de firmas de identificación de aplicaciones.
Configuración
Configuración rápida de CLI
La configuración rápida de CLI no está disponible para este ejemplo porque se requiere intervención manual durante la configuración.
Descarga e instalación de identificación de aplicaciones
Procedimiento paso a paso
Descargue el paquete de aplicación.
user@host> request services application-identification download
Please use command "request services application-identification download status" to check status
La descarga recupera el paquete de la aplicación del sitio web de seguridad de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
También puede descargar una versión específica del paquete de la aplicación o descargar el paquete de la aplicación desde la ubicación específica mediante las siguientes opciones:
Para descargar una versión específica del paquete de la aplicación:
user@host>request services application-identification download version version-number
Para cambiar la URL de descarga del paquete de la aplicación desde el modo de configuración:
[edit] user@host# set services application-identification download url URL or File Path
Compruebe el estado de la descarga.
user@host>request services application-identification download status
Application package 2345 is downloaded successfully
También puede utilizar el registro del sistema para ver el resultado de la descarga.
Instale el paquete de la aplicación.
user@host>request services application-identification install
Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
El paquete de la aplicación se instala en la base de datos de firmas de la aplicación en el dispositivo.
Compruebe el estado de instalación del paquete de la aplicación.
El resultado del comando muestra información sobre las versiones descargadas e instaladas del paquete de la aplicación y del paquete de protocolos.
Para ver el estado de la instalación:
user@host>request services application-identification install status
Install application package 2345 succeed
Para ver el estado del paquete de protocolos:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is loaded and activated.
Es posible que se haya eliminado una firma de aplicación de la versión más reciente de una base de datos de firmas de aplicación. Si esta firma se utiliza en una directiva de firewall de aplicaciones existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos correctamente, quite todas las referencias a la firma eliminada de las directivas y grupos existentes y vuelva a ejecutar el comando de instalación.
Verificación
Confirme que la configuración funciona correctamente.
Verificación del estado de identificación de la aplicación
Propósito
Compruebe que la configuración de identificación de la aplicación funciona correctamente.
Acción
Desde el modo operativo, ingrese el show services application-identification status comando.
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Significado
El Status: Enabled campo muestra que la identificación de aplicaciones está habilitada en el dispositivo.
Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP
Puede descargar e instalar firmas de aplicaciones a través de paquetes de seguridad de detección y prevención de intrusiones (IDP).
En este ejemplo se muestra cómo mejorar la seguridad descargando e instalando el paquete de firmas IDP y firmas de aplicaciones. En este caso, tanto el paquete de firmas de IDP como el paquete de firmas de aplicaciones se descargan con un solo comando.
Requisitos
Antes de empezar:
Asegúrese de que el firewall de la serie SRX tenga una conexión a Internet para descargar actualizaciones de paquetes de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 12.1X47-D10
Visión general
En este ejemplo, descargue e instale la base de datos de firmas del sitio web de Juniper Networks.
Configuración
Descarga e instalación de la base de datos de firmas
Configuración rápida de CLI
La configuración rápida de CLI no está disponible para este ejemplo porque se requiere intervención manual durante la configuración.
Procedimiento paso a paso
Para descargar e instalar firmas de aplicaciones:
Descargue la base de datos de firmas.
[edit]user@host# run request security idp security-package downloadWill be processed in async mode. Check the status using the status checking CLI
Nota:La descarga de la base de datos puede tardar algún tiempo dependiendo del tamaño de la base de datos y la velocidad de su conexión a Internet.
Compruebe el estado de descarga del paquete de seguridad.
[edit]user@host# run request security idp security-package download statusDone;Successfully downloaded from(https://signatures.juniper.net/cgi-bin/index.cgi). Version info:2230(Mon Feb 4 19:40:13 2013 GMT-8, Detector=12.6.160121210)
Instale la base de datos de ataques.
[edit]user@host# run request security idp security-package installWill be processed in async mode. Check the status using the status checking CLI
Nota:La instalación de la base de datos de ataques puede tardar algún tiempo, dependiendo del tamaño de la base de datos de seguridad.
Compruebe el estado de instalación de la base de datos de ataques. El resultado del comando muestra información sobre las versiones descargadas e instaladas de la base de datos de ataques.
[edit]user@host# run request security idp security-package install statusDone;Attack DB update : successful - [UpdateNumber=2230,ExportDate=Mon Feb 4 19:40:13 2013 GMT-8,Detector=12.6.160121210] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : successful
Confirme la versión del paquete de seguridad de IDP.
[edit]user@host# run show security idp security-package-versionAttack database version:2230(Mon Feb 4 19:40:13 2013 GMT-8) Detector version :12.6.160121210 Policy template version :2230
Confirme la versión del paquete de identificación de la aplicación.
[edit]user@host# run show services application-identification versionApplication package version: 1884
Verificación
Confirme que el paquete de firmas de la aplicación se actualiza correctamente.
Comprobación del paquete de firmas de aplicaciones
Propósito
Compruebe la versión de identificación de la aplicación de servicios.
Acción
Desde el modo operativo, ingrese el show services application-identification version comando.
user@host> show services application-identification version
Application package version: 1884
Significado
El resultado de ejemplo muestra que la versión de identificación de la aplicación de servicios es 1884.
Descargar paquete de firmas de aplicaciones de Junos OS desde un servidor proxy
En este ejemplo se muestra cómo crear un perfil de proxy y utilizarlo para descargar el paquete de firmas de aplicación desde un servidor proxy.
Configuración
Procedimiento paso a paso
Cree un perfil de proxy y aplíquelo para descargar el paquete de la aplicación a través del servidor proxy.
Cree un perfil de proxy para el protocolo HTTP.
user@host#set services proxy profile Profile-1 protocol httpEspecifique la dirección IP del servidor proxy.
user@host#set services proxy profile Profile-1 protocol http host 5.0.0.1Especifique el número de puerto utilizado por el servidor proxy.
user@host#set services proxy profile Profile-1 protocol http port 3128Descargue el paquete de la aplicación desde el host proxy.
user@host#set services application-identification download proxy-profile Profile-1
Procedimiento paso a paso
Puede deshabilitar el servidor proxy para descargar el paquete de firmas de la aplicación cuando no sea necesario.
Deshabilite el servidor proxy para la descarga de firmas de aplicaciones.
user@host#delete services application-identification download proxy-profile p1
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Licencia válida de la función de identificación de aplicaciones instalada en un firewall de la serie SRX.
Firewall serie SRX con Junos OS versión 18.3R1 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 18.3R1.
Visión general
Debe descargar e instalar el paquete de firma de aplicación alojado en un servidor externo en el firewall de la serie SRX. A partir de Junos OS versión 18.3R1, puede descargar el paquete de firmas de la aplicación mediante un servidor proxy.
Para habilitar la descarga del paquete de firmas desde el servidor proxy:
Configure un perfil con detalles de host y puerto del servidor proxy mediante el
set services proxy profilecomando.Utilice el
set services application-identification download proxy-profile profile-namecomando para conectarse al servidor proxy y descargar el paquete de firmas de la aplicación.
Cuando descarga el paquete de firmas, la solicitud se enruta a través del host proxy al servidor real que aloja el paquete de firma. El host proxy transmite la respuesta del host real. La descarga recupera el paquete de la aplicación del sitio web de seguridad de Juniper Networks https://signatures.juniper.net/cgi-bin/index.cgi.
La compatibilidad con la configuración del perfil de proxy solo está disponible para conexiones HTTP.
En este ejemplo, se crea un perfil de proxy y se hace referencia al perfil al descargar el paquete de firma de aplicación desde el host externo. En la Tabla 1 se proporcionan los detalles de los parámetros utilizados en este ejemplo.
Parámetro |
Nombre |
|---|---|
Nombre del perfil |
Perfil-1 |
Dirección IP del servidor proxy |
5.0.0.1 |
Número de puerto del servidor proxy |
3128 |
Verificación
- Comprobación de la descarga de firmas de aplicaciones a través del servidor proxy
- Verificación del estado de descarga de firmas de aplicaciones
Comprobación de la descarga de firmas de aplicaciones a través del servidor proxy
Propósito
Mostrar los detalles de la descarga del paquete de firmas de la aplicación a través de un servidor proxy.
Acción
Desde el modo operativo, ingrese el show services application-identification status comando.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Enabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Profile-1 Proxy Address http://5.0.0.1:3128 Slot 1: Application package version 3058 Status Active PB Version 1.340.0-57.005 (build date Apr 19 2018) Engine version 4.20.0-91 (build date Feb 27 2018) Sessions 0
Significado
En la salida del comando, puede encontrar los detalles del perfil de proxy en Proxy Profile y Proxy Address campos.
Verificación del estado de descarga de firmas de aplicaciones
Propósito
Compruebe el estado de descarga del paquete de la aplicación.
Acción
Desde el modo operativo, ingrese el request services application-identification download status comando.
user@host> request services application-identification download statusApplication package 3058 is downloaded successfully
Significado
El comando muestra el estado de descarga del paquete de firmas de la aplicación.
Ejemplo: programación de las actualizaciones del paquete de firmas de la aplicación
En este ejemplo se muestra cómo configurar actualizaciones automáticas del paquete de firma de aplicación predefinido.
Requisitos
Antes de empezar:
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
Visión general
En este ejemplo, desea descargar periódicamente la versión actual del paquete de firmas de la aplicación. La descarga debería comenzar a las 23:59 del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete automáticamente cada 2 días desde el sitio de intranet de su empresa.
Configuración
Procedimiento
Configuración rápida de la GUI
Para configurar la descarga automática y la actualización periódica con la interfaz J-Web:
Procedimiento paso a paso
Ingrese
Configure>Security>AppSecure Settingspara mostrar la página Firma de aplicaciones.Haga clic en
Global Settings.Haga clic en la
Download Schedulerficha y modifique los campos siguientes:URL: https://signatures.juniper.net/cgi-bin/index.cgi
Habilitar actualización programada: active la casilla de verificación.
Intervalo: 48
Haga clic
Reset Settingpara borrar la hora de inicio existente, introduzca la nueva hora de inicio en formato AAAA-MM-DD.hh:mm y haga clic enOK.Hora de comienzo: 2019-06-30.10:00:00
Haga clic
Commit Options>Commitpara confirmar los cambios.Haga clic para
Check Statussupervisar el progreso de una descarga o actualización activa, o para comprobar el resultado de la última actualización.
Procedimiento paso a paso
Para usar la CLI para actualizar automáticamente el paquete de firmas de la aplicación Junos OS:
Especifique la dirección URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como dirección URL para descargar actualizaciones de bases de datos de firmas:
[edit] user@host# set services application-identification download url https://signatures.juniper.net/cgi-bin/index.cgi
Especifique la hora y el intervalo para la descarga. La siguiente instrucción establece el intervalo en 48 horas y la hora de inicio en 10 am del 10 de diciembre:
[edit] user@host# set services application-identification download automatic interval 48 start-time 2019-06-30.10:00:00
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que el paquete de firmas de la aplicación se actualiza correctamente, escriba el show services application-identification version comando. Revise el número de versión y los detalles de la última actualización.
Programación de las actualizaciones del paquete de firmas de aplicaciones como parte del paquete de seguridad de IDP
Las instrucciones de configuración de este ejemplo describen cómo configurar actualizaciones automáticas del paquete de firmas de identificación de aplicaciones (parte del paquete de seguridad de IDP) en una fecha y hora especificadas.
Requisitos
Antes de empezar:
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la característica de identificación de aplicaciones.
Visión general
En este ejemplo, desea descargar periódicamente la versión actual del paquete de firmas de la aplicación. La descarga debería comenzar a las 23:59 del 10 de diciembre. Para mantener la información más actualizada, desea actualizar el paquete automáticamente cada 2 días desde el sitio de intranet de su empresa.
Configuración
Procedimiento
Configuración rápida de la GUI
Para configurar la descarga automática y la actualización periódica con la interfaz J-Web:
Procedimiento paso a paso
Ingrese
Configure>Security>IDP>Signature Updatespara mostrar la página Configuración de firma del IDP de seguridad.Haga clic
Download Settingsy modifique la URL: https://signatures.juniper.net/cgi-bin/index.cgiHaga clic en la
Auto Download Settingsficha y modifique los campos siguientes:Intervalo: 48
Hora de comienzo: 2013-12-10.23:59:55
Habilitar actualización programada: active la casilla de verificación.
Haga clic
Reset Settingpara borrar los campos existentes, introduzca los nuevos valores. Haga clic enOK.Haga clic
Commit Options>Commitpara confirmar los cambios.Haga clic para
Check Statussupervisar el progreso de una descarga o actualización activa, o para comprobar el resultado de la última actualización.
Procedimiento paso a paso
Para usar la CLI para actualizar automáticamente el paquete de firmas de la aplicación Junos OS:
Especifique la dirección URL del paquete de seguridad. El paquete de seguridad incluye el detector y los últimos objetos y grupos de ataque. La instrucción siguiente especifica https://signatures.juniper.net/cgi-bin/index.cgi como dirección URL para descargar actualizaciones de bases de datos de firmas:
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
Especifique la hora y el intervalo para la descarga. La siguiente instrucción establece el intervalo como 48 horas y la hora de inicio como 11:55 pm del 10 de diciembre de 2013:
[edit] user@host# set security idp security-package automatic interval 48 start-time 2013-12-10.23:55:55
Habilite una descarga y actualización automáticas del paquete de seguridad.
[edit] user@host# set security idp security-package automatic enable
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Confirme que el paquete de firmas de la aplicación se actualiza correctamente.
Comprobación del paquete de firmas de aplicaciones
Propósito
Comprobar la versión de identificación de la aplicación de servicios
Acción
Desde el modo operativo, ingrese el show services application-identification version comando.
user@host> show services application-identification version
Application package version: 1884
Significado
El resultado de ejemplo muestra que la versión de identificación de la aplicación de servicios es 1884.
Ejemplo: descarga e instalación del paquete de identificación de aplicaciones en modo de clúster de chasis
En este ejemplo se muestra cómo descargar e instalar la base de datos del paquete de firmas de aplicaciones en un dispositivo que funciona en modo de clúster de chasis.
Descargar e instalar el paquete de identificación de aplicaciones
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para descargar e instalar un paquete de aplicación:
Descargue el paquete de la aplicación en el nodo principal.
{primary:node0}[edit]user@host>request services application-identification downloadPlease use command "request services application-identification download status" to check status
Compruebe el estado de descarga del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification download statusEn una descarga correcta, se muestra el siguiente mensaje
Application package 2345 is downloaded successfully
El paquete de la aplicación se instala en la base de datos de firmas de la aplicación en el nodo principal y los archivos de identificación de la aplicación se sincronizan en los nodos principal y secundario.
Actualice el paquete de la aplicación usando
installcomando.{primary:node0}[edit]user@host>request services application-identification installnode0: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification install status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Compruebe el estado de actualización del paquete de la aplicación. El resultado del comando muestra información sobre las versiones descargadas e instaladas del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification install statusnode0: -------------------------------------------------------------------------- Install application package 2345 succeed node1: -------------------------------------------------------------------------- Install application package 2345 succeed
Nota:Es posible que se elimine una firma de aplicación de la nueva versión de una base de datos de firmas de aplicación. Si esta firma se utiliza en una directiva de firewall de aplicaciones existente en su dispositivo, se producirá un error en la instalación de la nueva base de datos. Un mensaje de estado de instalación identifica la firma que ya no es válida. Para actualizar la base de datos correctamente, quite todas las referencias a la firma eliminada de las directivas y grupos existentes y vuelva a ejecutar el comando de instalación.
Nota:Al descargar el paquete de firmas de aplicación en el nodo principal, a veces, debido a una conmutación por error inesperada, es posible que el nodo principal no pueda descargar el paquete de firmas de aplicación por completo. Como solución alternativa, debe eliminar /var/db/appid/sec-download/.apppack_state y reiniciar el dispositivo.
Procedimiento paso a paso
Para desinstalar un paquete de aplicación:
Desinstale el paquete de la aplicación usando
uninstallel comando.{primary:node0}[edit]user@host>request services application-identification uninstallnode0: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status node1: -------------------------------------------------------------------------- Please use command "request services application-identification uninstall status" to check status and use command "request services application-identification proto-bundle-status" to check protocol bundle status
Compruebe el estado de desinstalación del paquete de la aplicación.
{primary:node0}[edit]user@host>request services application-identification uninstall statusnode0: -------------------------------------------------------------------------- Uninstall application package 2345 succeed node1: -------------------------------------------------------------------------- Uninstall application package 2345 succeed
Compruebe el estado de desinstalación del paquete de protocolos:
user@host>request services application-identification proto-bundle-status
Protocol Bundle Version (1.30.4-22.005 (build date Jan 17 2014)) and application secpack version (2345) is unloaded and deactivated
Requisitos
Antes de empezar:
Establezca el ID de nodo y el ID de clúster del clúster del chasis. Consulte Ejemplo: Configuración del ID de nodo y el ID de clúster para dispositivos de seguridad en un clúster de chasis .
Asegúrese de que el dispositivo de seguridad tenga una conexión a Internet para descargar actualizaciones del paquete de seguridad.
Nota:DNS debe configurarse porque necesita resolver el nombre del servidor de actualización.
Asegúrese de que ha instalado la licencia de la función de identificación de aplicaciones.
Visión general
Si utiliza la identificación de aplicaciones, puede descargar la base de datos predefinida del paquete de firmas de aplicaciones. Juniper Networks actualiza periódicamente la base de datos y la pone a disposición en el sitio web de Juniper Networks. Este paquete incluye objetos de aplicación que se pueden usar para hacer coincidir el tráfico en IDP, políticas de firewall de aplicaciones y seguimiento de aplicaciones. Para obtener más información, consulte Descripción de la instalación del paquete de aplicaciones de Junos OS.
Cuando descarga el paquete de seguridad de identificación de aplicaciones en un dispositivo que funciona en modo de clúster de chasis, el paquete de seguridad se descarga en el nodo principal y, a continuación, se sincroniza con el nodo secundario.
Comprobación del paquete de aplicación extraído de identificación de aplicaciones de Junos OS
Propósito
Después de descargar e instalar correctamente el paquete de la aplicación, utilice los siguientes comandos para ver el contenido predefinido del paquete de firmas de la aplicación.
Acción
Vea la versión actual del paquete de la aplicación:
show services application-identification version
Application package version: 1608
Vea el estado actual del paquete de la aplicación:
show services application-identification status
pic: 1/0 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.1-20 (build date Jan 25 2014) Max TCP session packet memory 30000 Max C2S bytes 1024 Max S2C bytes 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 131072 Cache timeout in seconds 3600 Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Enabled Slot 1: Status Active Version 1.30.4-22.005 (build date Jan 17 2014) Sessions 0 Slot 2 Status Free
Ver también
Desinstalación del paquete de la aplicación de identificación de aplicaciones de Junos OS
Puede desinstalar el paquete de aplicación predefinido. La operación de desinstalación fallará si hay alguna política de seguridad activa a la que se hace referencia en las firmas de aplicación predefinidas en la configuración de Junos OS
Para desinstalar el paquete de la aplicación:
El paquete de la aplicación y el paquete de protocolos se desinstalan en el dispositivo. Para reinstalar la identificación de la aplicación, debe descargar el paquete de la aplicación y volver a instalarlo.
Ver también
Reversión del paquete de firmas de aplicaciones
A partir de Junos OS versión 20.3R1, puede revertir la versión actual de Application Signature Pack a la versión anterior mediante uno de los métodos siguientes:
-
Reversión automática
-
Reversión manual
Reversión automática
En caso de que se produzca un error en la instalación del paquete de firmas de la aplicación, el sistema revierte automáticamente a la versión anterior del paquete de firmas de la aplicación que está instalado actualmente en el dispositivo de seguridad.
Al descargar e instalar el paquete de firma de aplicación en un dispositivo que funciona en modo de clúster de chasis, si se produce un error en la instalación en un nodo, el sistema vuelve a la versión anterior de la firma de la aplicación. El dispositivo muestra una alarma menor en el mismo nodo donde se produce un error en la instalación y la reversión se realiza correctamente.
Ejemplo:
user@host> show system alarms node0: -------------------------------------------------------------------------- 2 alarms currently active Alarm time Class Description 2020-07-31 14:51:52 IST Minor APPIDD auto-rollback to previous version on install failure, sigpack version on other node may differ 2020-07-31 13:23:26 IST Minor Rescue configuration is not set node1: -------------------------------------------------------------------------- 1 alarms currently active Alarm time Class Description 2020-07-31 13:23:23 IST Minor Rescue configuration is not set
Compruebe el estado de reversión del paquete de firmas de la aplicación cuando la instalación falló y la reversión se completa correctamente.
user@host> request services application-identification rollback status
Application package rollback to version 3297 successReversión manual
Puede revertir manualmente el paquete de firmas de la aplicación a la versión instalada anterior mediante los pasos siguientes:
Revierta el paquete de firmas de la aplicación a la versión anterior.
user@host>request services application-identification rollback Please use command "request services application-identification rollback status" to check rollback statusCompruebe el estado de la reversión.
user@host>request services application-identification rollback status Application package rollback to version 3265 success.
Tenga en cuenta lo siguiente para la reversión manual de un paquete de firmas de aplicación:
-
Una vez que revierta manualmente la versión del paquete de firmas de aplicaciones de la versión Y a la versión X, se omite la actualización automática programada de un paquete de firmas de aplicación hasta que esté disponible una nueva versión Z, que es superior a la versión Y.
-
Puede descargar e instalar firmas de aplicaciones a través de paquetes de seguridad de detección y prevención de intrusiones (IDP). En este caso, si se produce un error en la instalación de AppID durante la instalación de IDP, AppID vuelve a la versión anterior y la instalación de IDP continúa con la versión solicitada. En tales casos, IDP y AppID pueden tener versiones diferentes.
-
La instalación del paquete de firma de la aplicación no se lleva a cabo si hay algún daño, eliminación o modificación de los archivos del paquete de firmas descargados. En tales casos, se muestra el siguiente mensaje:
user@host>request services application-identification install error: Checksum validation failed for downloaded files. -
Cuando el dispositivo de seguridad no incluye ninguna versión anterior del paquete de firma de aplicación e intenta revertir el paquete de firma de aplicación, el dispositivo muestra el siguiente mensaje de error:
user@host>request services application-identification install No application package available to rollback.
Agrupación de firmas de aplicación recién agregadas
Hemos mejorado el paquete de firmas de aplicaciones agrupando todas las firmas de aplicaciones recién agregadas en junos:all-new-apps grupo. Cuando descarga el paquete de firmas de aplicación en el dispositivo de seguridad, todo el grupo de aplicaciones predefinido se descarga y está disponible para que lo configure en la directiva de seguridad, como se muestra en el ejemplo siguiente:
user@host# set security policies from-zone untrust to-zone trust policy 1 match dynamic-application junos:all-new-apps
También hemos introducido una lista de etiquetas de aplicación en el paquete de firmas de aplicación. Puede agrupar aplicaciones similares en aquellas etiquetas predefinidas que se basan en atributos de aplicación. De este modo, puede reutilizar de forma coherente los grupos de aplicaciones al definir directivas de seguridad.
user@host# set services application-identification application-group application-group-name tag-group tag-group-name applications-tags [web remote_access]
Ejemplo
user@host# set services application-identification application-group GROUP-1 tag-group TAG-1 application-tags [web remote_access]
user@host# set services application-identification application-group GROUP-1 tag-group TAG-2 application-tags [social_networking]
En el ejemplo anterior, se configura un grupo de aplicaciones basado en etiquetas con etiquetas remote-access y web otro grupo de etiquetas con social_networking. Todas las aplicaciones que tienen etiquetas como o web remote-access y social_networking se agregarán al grupo de aplicaciones.
La agrupación de aplicaciones similares en función de etiquetas le ayuda a reutilizar de forma coherente los grupos de aplicaciones al definir políticas de seguridad.
- Migración de nuevas aplicaciones a aplicaciones normales:
- Mejoras en el paquete de firmas de aplicaciones
Migración de nuevas aplicaciones a aplicaciones normales:
El grupo junos:all-new-apps contiene un conjunto de todas las aplicaciones nuevas en el paquete de firmas de aplicaciones instaladas en su dispositivo de seguridad en comparación con el paquete de firmas instalado anteriormente. Si decide instalar una versión más reciente del paquete de firmas de aplicaciones, esa versión contendrá un nuevo conjunto de aplicaciones en el grupo junos:all-new-apps.
Puede optar por migrar las nuevas aplicaciones a aplicaciones normales en su paquete de firmas de aplicación existente. Esta migración le ayudará a mantener coherentemente las reglas de la política de seguridad que se crean específicas para las nuevas aplicaciones cada vez que actualice a versiones de firma de aplicaciones más recientes en el futuro.
Puede utilizar los siguientes comandos nuevos para mover las aplicaciones etiquetadas como nuevas a aplicaciones normales:
-
Para migrar solo las aplicaciones nuevas especificadas como aplicación normal, use el siguiente comando:
request services application-identification new-to-production applications-list [application-1 application-2]
-
Para migrar todas las aplicaciones nuevas como aplicaciones normales, utilice el siguiente comando:
request services application-identification new-to-production all
Después de ejecutar estos comandos, la aplicación ya no se etiquetará como nueva y no formará parte del junos:all-new-apps grupo.
Mejoras en el paquete de firmas de aplicaciones
Hemos introducido las siguientes mejoras en el paquete de firmas de aplicaciones:
- Compatibilidad con la propagación de contexto de datos FTP
- Omitir la inspección profunda de paquetes (DPI) para las sesiones descargadas por enrutamiento avanzado basado en políticas (APBR) en la memoria caché del sistema de aplicaciones (ASC). (Cuando solo está habilitado el servicio APBR).
- Instalación forzada del paquete de firmas de la aplicación sobre la misma versión del paquete de firmas. Consulte solicitar servicios identificación de aplicaciones instalar ignorar comprobación de versión duplicada
- Visualización de la fecha de lanzamiento del paquete de firmas de la aplicación en la salida del comando de la CLI. Consulte mostrar la versión de identificación de aplicaciones de servicios
- Visualización de la lista de firmas de aplicaciones obsoletas disponibles en el paquete de firmas instalado en la salida del comando de la CLI. Consulte mostrar servicios de identificación de aplicaciones aplicaciones obsoletas
Firmas de aplicaciones Mejoras en la instalación de paquetes
Puede utilizar las siguientes opciones mejoradas de instalación del paquete de firmas de aplicaciones:
- Error en la instalación del paquete de firmas de aplicaciones
- Mejora de la reversión automática
- Instalación del paquete de firmas de aplicaciones en el programa de instalación de un clúster de chasis
Error en la instalación del paquete de firmas de aplicaciones
Durante la instalación del paquete de firmas de la aplicación, si se produce un error o el proceso se bloquea inesperadamente, la instalación se detiene automáticamente y vuelve a la versión instalada anteriormente.
El sistema muestra los siguientes mensajes de error cuando intenta comprobar el estado de descarga del paquete de firmas de aplicación defectuoso:
- Con la versión especificada del paquete de firmas de la aplicación:
user@host> request services application-identification download status Requested application package 3501 failed data plane validation. Please download another version
- Sin la versión especificada del paquete de firmas de la aplicación:
user@host> request services application-identification download status Downloading application package (latest) failed with error (Requested application package 3657 failed data plane validation. Please download another version)
El sistema muestra los siguientes mensajes cuando se comprueba el estado de instalación de la firma de la aplicación:
-
Cuando se complete la instalación del paquete de la aplicación y se esté validando para detectar cualquier defecto:
user@host> request services application-identification install status Data plane validation of application package version (3698) is in progress ...
-
Al intentar instalar el paquete de firma de la aplicación que está marcado como defectuoso:
user@host> request services application-identification install status Install Application package 3501 and Protocol bundle failed (Requested application package 3501 failed data plane validation. Please install another version)
-
Cuando el paquete de firmas de la aplicación instalada se detecta como defectuoso:
user@host> request services application-identification install status Install Application package 3656 and Protocol bundle failed ( Install Application package (3656) failed in data plane validation, auto rollback triggered)
Puede ver los detalles de la versión fallida mediante el siguiente comando:
user@host> show services application-identification version detail Application package version: 3654 Release date: Thu Nov 23 14:07:48 2023 UTC Dataplane validation failure version details: Application package version 3620 PB Version 1.550.2-43 (build date Apr 5 2023) Engine version 5.7.1-47 (build date Mar 30 2023)
Para la actualización automática programada del paquete de firma de la aplicación: mientras la instalación está en curso, y si el paquete de instalación tiene algún problema, el sistema revierte el paquete de firma de la aplicación a la versión anterior. Durante la próxima actualización automática, el sistema no continúa con el paquete de firma problemático para la descarga e instalación.
Mejora de la reversión automática
La función de reversión automática ahora permite que el sistema vuelva a una versión que funcionaba anteriormente del paquete de firmas de la aplicación. Además, conserva la versión de reversión designada anteriormente en caso de que surjan problemas durante la instalación del paquete de firmas de la aplicación
Por ejemplo, si su dispositivo tiene actualmente la versión Y del paquete de firmas de aplicación y ha establecido la versión de reversión como X, esto es lo que sucede durante un intento de instalación:
- Intenta instalar la nueva versión Z.
- Si surge algún problema durante la instalación o si la versión Z no se instala, el sistema vuelve automáticamente a la versión actual Y.
- La versión X de reversión designada anteriormente permanece sin cambios.
De esta manera, el sistema garantiza una transición sin problemas al volver a una versión de trabajo conocida si es necesario.
Instalación del paquete de firmas de aplicaciones en el programa de instalación de un clúster de chasis
Cuando se utiliza una configuración de clúster de chasis, el sistema instala primero el paquete de firma de aplicación en el nodo principal y comprueba si hay algún problema o problema.
La instalación del paquete de firmas de aplicaciones comienza inmediatamente en el nodo principal. Durante la instalación, el nodo secundario espera a que el nodo principal complete la validación del paquete de instalación. Si la validación es exitosa, entonces el sistema procede a instalar el mismo paquete en el nodo secundario, de lo contrario, omite la instalación.
Puede comprobar el estado de la instalación mediante el siguiente comando:
user@host> request services application-identification install status node0: -------------------------------------------------------------------------- Checking compatibility of application package version 3577 ... node1: -------------------------------------------------------------------------- Waiting for primary node to finish installation and validation of the application package ...
Si se produce un error en la instalación en el nodo principal, la reversión solo se produce en el nodo principal. Del mismo modo, si la instalación falla en el nodo secundario, la reversión se activa solo en el nodo secundario.
Cuando la instalación falla, el sistema muestra los siguientes mensajes:
Nodo primario
user@host> request services application-identification install status Install Application package 3450 and Protocol bundle failed ( Install Application package (3450) failed in data plane validation, auto rollback triggered)
Nodo secundario
user@host> request services application-identification install status Application package(3420) installation was skipped due to failure in the master RE installation
Cuando un nodo cambia del estado primario al estado secundario mientras la instalación está en curso en el nodo principal, el sistema muestra el siguiente mensaje:
Nodo primario
user@host> request services application-identification install status
Install Application package 3440 and Protocol bundle failed ( Install Application package (3440) failed due to changes in the master ship of the cluster)Nodo secundario
user@host> request services application-identification install status
Application package (3320) installation was skipped due to changes in the master ship of the clusterSi el sistema primario no puede actualizar el nodo secundario dentro del tiempo (aproximadamente 35 minutos) debido a problemas inesperados, se cancelará el proceso de instalación en el sistema secundario.
user@host> request services application-identification install status Application package(3600) installation was skipped due to master RE did not respond within the timeout
Una vez que el nodo primario completa la instalación y validación, el sistema inicia la instalación en el nodo secundario. En caso de que los roles principal y secundario cambien debido a una conmutación por error, el nodo secundario anterior (ahora primario) continuará instalando el paquete de firma.
Paquete de firmas de aplicaciones versiones principales y secundarias
Hemos mejorado la instalación del paquete de firmas de aplicaciones con las siguientes características:
- Estado de instalación en el servidor de paquetes de firmas
- Paquete de firma mayor y menor
- Descarga del paquete de firmas solo para menores
- Degradación de la versión del paquete de firmas de aplicaciones
- Actualización de la identificación de aplicaciones sin conexión (AppID)
- Mensaje de Syslog para aplicaciones obsoletas
- Lista de grupos de aplicaciones obsoletas
Estado de instalación en el servidor de paquetes de firmas
El motor de firmas de la aplicación envía el estado al servidor del paquete de firmas para que la instalación se realice correctamente o falle. Durante la instalación del paquete de firmas de aplicaciones, si se encuentran errores en el paquete, la instalación se detiene y vuelve a la versión activa anterior y se envía el estado al servidor. Si varios dispositivos informan de un paquete de firmas de aplicación defectuoso, el servidor analiza estos datos, marca el paquete como no válido e impide futuras descargas.
Marcar un paquete de firma como no válido solo está disponible para el paquete de firma principal.
El paquete de firmas marcado como no válido no estará disponible para futuras descargas solo mediante CLI. La descarga e instalación por Security Director y las descargas sin conexión muestran un mensaje de error que informa que el paquete de la aplicación solicitada no está disponible para su descarga.
Paquete de firma mayor y menor
Ahora admitimos dos tipos de paquetes de firma disponibles para las actualizaciones:
- Las principales actualizaciones incluyen firmas de IDP, detector de IDP y protopaquete de identificación de aplicaciones.
- Las actualizaciones menores incluyen actualizaciones periódicas de firmas.
Entendamos la diferencia en actualizaciones mayores y menores con un ejemplo:
- La versión del paquete de firma con paquete de protocolo lanzado tiene la versión 3585. Esta es una actualización importante. Todos los paquetes de firmas menores posteriores a 3585 contienen este paquete de protocolo actualizado hasta que tengamos la próxima actualización importante del paquete de firmas.
- La próxima versión del paquete incluye el detector IDP y tiene la versión 3598. Esta es de nuevo una actualización importante. Todos los paquetes de firmas menores posteriores a 3598 contienen este detector actualizado hasta que tengamos la próxima actualización importante.
Si el firewall tiene la versión principal del paquete de firmas 3598 y si intenta descargar una versión menor, como 3588, mediante el método de descarga manual o la descarga automática, se producirá un error en la descarga con el siguiente mensaje de error:
user@host> request services application-identification download status Downloading application package (latest) failed with error (No suitable version available for this device, please re-try the download manually without minor)
Descarga del paquete de firmas solo para menores
Puede descargar un paquete de firmas de aplicación marcado como menor. El comportamiento predeterminado no comprueba la versión principal o secundaria.
Para configurar la descarga automática del paquete de firmas secundarias:
[edit] user@host# set services application-identification download automatic minor-only
Al especificar minor-only en el comando, se descarga la versión secundaria del paquete de firma.
Para descargar el paquete de firmas secundarias:
[edit] user@host> request services application-identification download minor-only
Al especificar minor-only en el comando, se descarga la versión secundaria del paquete de firma.
Compruebe las versiones disponibles del paquete de firmas:
user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
El comando muestra todas las versiones disponibles del paquete de firmas de la aplicación.
Compruebe las versiones disponibles del paquete de firmas:
user@host> show services application-identification version Application package version: 3666 (Major)
El comando muestra toda la versión más reciente del paquete de firmas de la aplicación principal.
Vea la versión de su paquete de firmas:
user@host> show services application-identification status Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 2097152 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Enabled Max Number of entries in cache 131072 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3666 (Major) Release date Mon Oct 10 14:55:29 2022 UTC Status Active PB Version 1.550.2-31 (build date Oct 10 2022) Engine version 5.7.0-47 (build date Mar 25 2022) Micro-App Version 1.1.0-0 Sessions 0 Custom-App Infra Version 1.0.0-0 Rollback version details: Application package version 3662 (Major) PB Version 1.550.2-43 Engine version 5.7.1-47 Micro-App Version 1.2.0-1 Custom-App Infra Version 1.0.0-1
El comando muestra la versión del paquete de firmas de la aplicación instalada en su dispositivo en Application package version el campo.
Compruebe la versión del paquete de firmas en el sitio web de seguridad de Juniper Networks.
user@host> request services application-identification download check-server Download server URL: https://signatures.juniper.net/cgi-bin/index.cgi Sigpack Version: 3666 (Major) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09Sigpack Version: 3659 (Minor) Protobundle version: 1.550.2-43 Build Time: Apr 05 2023 06:28:09
El comando muestra la versión más reciente de los paquetes de firmas de aplicaciones principales y secundarias, que están disponibles en el sitio web de seguridad de Juniper Networks.
Degradación de la versión del paquete de firmas de aplicaciones
Puede degradar la versión del paquete de firmas de la aplicación especificando la versión del paquete de firma. Siga estos pasos para bajar de categoría:
Compruebe las versiones disponibles del paquete de firmas mediante el
show services application-identification recent-appid-sigpack-versionscomando.user@host> show services application-identification recent-appid-sigpack-versions appid sigpack version: 3642 appid sigpack version: 3615 appid sigpack version: 3604 appid sigpack version: 3533 appid sigpack version: 3470 appid sigpack version: 3429 appid sigpack version: 3405 appid sigpack version: 3390 appid sigpack version: 3372 appid sigpack version: 3351
Ejecute el comando para descargar la versión necesaria:
user@host> request services application-identification download version <old-ver>
Actualización de la identificación de aplicaciones sin conexión (AppID)
La actualización de identificación de aplicaciones sin conexión (AppID) y las características asociadas mejoran significativamente la capacidad de administración y el servicio de los sistemas de red, especialmente en entornos con conectividad limitada.
La característica de actualización de AppID sin conexión le permite actualizar el paquete de firmas desde un archivo tar local mediante el siguiente comando de CLI:
user@host> request services application-identification offline-download package-path <path>
Cuando se introduce este comando, el sistema descomprime el paquete de firmas y coloca los archivos extraídos en las ubicaciones adecuadas del dispositivo.
Ejemplo:
- Copie o descargue el paquete de la aplicación sin conexión desde la dirección URL: https://support.juniper.net/support/downloads/?p=282
- Ingrese el comando para extraer el paquete de firmas:
user@host> request services application-identification offline-download package-path /var/tmp/282_3722_offline-update.tar.gz Please use command "request services application-identification offline-download status" to check offline download status
- Compruebe el estado de la descarga sin conexión del paquete de firma:
user@host> request services application-identification offline-download status AppID sigpack offline download is in progress...
user@host> request services application-identification offline-download status AppID sigpack offline download : Complete
El sistema muestra el siguiente mensaje de error cuando la ruta del paquete no es correcta:
AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)
- Utilice el
request services application-identification installcomando para instalar el paquete de firma en el dispositivo.
La operación concluye con un mensaje de registro del sistema que indica si la actualización se realizó correctamente o si encontró algún error, lo que proporciona información inmediata para la solución de problemas. Ejemplo de mensajes syslog:
- El
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Completeconfirma que la actualización se ha realizado correctamente. - El
APPIDD_APPPACK_OFFLINE_DOWNLOAD_RESULT: AppID sigpack offline download : Failed with error (AppID offline download package </var/tmp/...> does not exist)indica un error junto con un mensaje de error específico
Esta característica es particularmente útil en entornos con conectividad a Internet limitada o nula, como ubicaciones remotas o instalaciones seguras.
Mensaje de Syslog para aplicaciones obsoletas
Ahora puede administrar aplicaciones y grupos de aplicaciones obsoletos. Después de realizar una actualización del paquete de firmas, un mensaje de registro del sistema enumera las aplicaciones obsoletas, lo que le ayuda a identificar y administrar las aplicaciones obsoletas que podrían afectar sus políticas de seguridad.
Cuando se manejan aplicaciones obsoletas, el mensaje APPIDD_DEPRECATED_APPLIST: Obsolete apps: app1, app2, app3, app4... de registro del sistema enumera las aplicaciones obsoletas, lo que le permite tomar las medidas adecuadas.
Lista de grupos de aplicaciones obsoletas
Puede enumerar todos los grupos de aplicaciones obsoletas mediante el siguiente comando:
user@host> show services application-identification group obsolete-groupsEl comando le permite enumerar los grupos de aplicaciones obsoletas, lo que garantiza que estos grupos no interfieran con la configuración del dispositivo y evita errores de confirmación debidos a grupos obsoletos ocultos.
Puede utilizar el siguiente mensaje de registro del sistema para ver los grupos de aplicaciones obsoletas:
APPIDD_DEPRECATED_GROUPS: Obsolete groups: group1, group2, …
Información adicional de la plataforma para licencias
Ya no se requiere una clave de licencia independiente para Seguridad de aplicaciones. En su lugar, debe utilizar la licencia de software JSE o JSB adecuada correspondiente a su producto y dispositivo (Tabla 2 y Tabla 3). Esta licencia le permite:
- Descargue e instale actualizaciones de la base de datos de firmas de AppID
- Acceda a funciones de AppSecure como AppFW, AppQoS y AppTrack
Esto marca un cambio con respecto al modelo anterior, donde se tenía que comprar una licencia de suscripción dedicada a la seguridad de aplicaciones e instalarla por separado en cada dispositivo.
La seguridad de las aplicaciones forma parte del paquete de licencia de software JSE (Software Enhanced (JSE) de Junos para los firewalls de la serie SRX que se muestra en la Tabla 2 .
| Plataformas | A partir de la versión |
| SRX4100 y dispositivos SRX4200 | Junos OS versión 15.1X49-D65 y Junos OS versión 17.3R1 |
| SRX1500, SRX300, SRX320, SRX340 y SRX345 | Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1 |
| SRX5400, SRX5600, SRX5800, vSRX y cSRX | Junos OS versión 25.2R1 |
La seguridad de las aplicaciones forma parte del paquete de licencia de software de Junos Software Base (JSB) para los firewalls de la serie SRX que se muestra en la tabla 3.
| Plataformas | A partir de la versión |
| SRX380, SRX4600 | Junos OS versión 20.2R1 |
| SRX1600, SRX2300 SRX4300 | Junos OS versión 23.4R1 |
| SRX4120 | Junos OS versión 25.2R1 |
Para obtener más información sobre las licencias de software de Junos OS, consulte la Guía de licencias de Juniper.
Consulte las hojas de datos del producto en Puertas de enlace de servicios de la serie SRX para obtener más información, o comuníquese con su equipo de cuentas de Juniper o con su socio de Juniper.
Consulte el Explorador de características para conocer las funciones compatibles con un producto en una versión de software
Ver también
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
junos:all-new-apps grupo.