Aplicaciones y conjuntos de aplicaciones para políticas de desplazados internos
Las aplicaciones o los servicios representan protocolos de capa de aplicación que definen cómo se estructuran los datos a medida que viajan por la red.
Para obtener más información, consulte los temas siguientes:
Descripción de los conjuntos de aplicaciones de IDP
Las aplicaciones o los servicios representan protocolos de capa de aplicación que definen cómo se estructuran los datos a medida que viajan por la red. Dado que los servicios que admite en su red son los mismos que los atacantes deben usar para atacar su red, puede especificar qué servicios son compatibles con la IP de destino para que sus reglas sean más eficientes. Juniper Networks ofrece aplicaciones predefinidas y conjuntos de aplicaciones que se basan en aplicaciones estándar de la industria. Si necesita agregar aplicaciones que no están incluidas en las aplicaciones predefinidas, puede crear aplicaciones personalizadas o modificar aplicaciones predefinidas para adaptarlas a sus necesidades.
Especifique una aplicación o servicio para indicar que una directiva se aplica al tráfico de ese tipo. A veces, las mismas aplicaciones o un subconjunto de ellas pueden estar presentes en varias políticas, lo que dificulta su administración. Junos OS le permite crear grupos de aplicaciones denominados conjunto de aplicaciones.
Los conjuntos de aplicaciones simplifican el proceso al permitirle administrar un pequeño número de conjuntos de aplicaciones, en lugar de un gran número de entradas de aplicaciones individuales.
La aplicación (o conjunto de aplicaciones) se configura como un criterio de coincidencia para los paquetes. Los paquetes deben ser del tipo de aplicación especificado en la directiva para que la directiva se aplique al paquete. Si el paquete coincide con el tipo de aplicación especificado por la directiva y todos los demás criterios coinciden, la acción de directiva se aplica al paquete. Puede utilizar aplicaciones predefinidas o personalizadas y hacer referencia a ellas en una política.
Ver también
Ejemplo: configuración de conjuntos de aplicaciones de IDP
En este ejemplo se muestra cómo crear un conjunto de aplicaciones y asociarlo a una directiva de IDP.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Habilite los servicios de aplicación de IDP en una política de seguridad.
Definir aplicaciones. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.
Visión general
Para configurar un conjunto de aplicaciones, agregue aplicaciones predefinidas o personalizadas por separado a un conjunto de aplicaciones y asigne un nombre descriptivo al conjunto de aplicaciones. Una vez que asigne un nombre al conjunto de aplicaciones, especifique el nombre como parte de la directiva. Para que esta directiva se aplique en un paquete, el paquete debe coincidir con cualquiera de las aplicaciones incluidas en este conjunto.
En este ejemplo se describe cómo crear un conjunto de aplicaciones denominado SrvAccessAppSet y asociarlo a la directiva ABC de IDP. El conjunto de aplicaciones SrvAccessAppSet combina tres aplicaciones. En lugar de especificar tres aplicaciones en la regla de directiva, especifique un conjunto de aplicaciones. Si todos los demás criterios coinciden, cualquiera de las aplicaciones del conjunto de aplicaciones sirve como criterio de coincidencia válido.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set applications application-set SrvAccessAppSet application junos-ssh set applications application-set SrvAccessAppSet application junos-telnet set applications application-set SrvAccessAppSet application cust-app set security idp idp-policy ABC rulebase-ips rule ABC match application SrvAccessAppSet set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para crear un conjunto de aplicaciones y asociarlo a una política de IDP:
Cree un conjunto de aplicaciones e incluya tres aplicaciones en el conjunto.
[edit applications application-set SrvAccessAppSet] user@host# set application junos-ssh user@host# set application junos-telnet user@host# set application cust-app
Cree una política de desplazados internos.
[edit] user@host# edit security idp idp-policy ABC
Asocie el conjunto de aplicaciones con una política de IDP.
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC match application SrvAccessAppSet
Especifique una acción para la directiva.
[edit security idp idp-policy ABC] user@host# set rulebase-ips rule ABC then action no-action
Active la directiva.
[edit] user@host# set security idp active-policy ABC
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security idp comandos y show applications . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application SrvAccessAppSet;
}
then {
action {
no-action;
}
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application-set SrvAccessAppSet {
application ssh;
application telnet;
application custApp;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Ejemplo: configuración de aplicaciones y servicios de IDP
En este ejemplo se muestra cómo crear una aplicación y asociarla a una directiva de IDP.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Habilite los servicios de aplicación de IDP en una política de seguridad.
Visión general
Para crear aplicaciones personalizadas, especifique un nombre descriptivo para una aplicación y asocie parámetros con ella, por ejemplo, tiempo de espera de inactividad o tipo de protocolo de aplicación. En este ejemplo, se crea una aplicación FTP especial denominada cust-app, se especifica como condición de coincidencia en la política de IDP ABC que se ejecuta en el puerto 78 y se especifica el valor de tiempo de espera de inactividad como 6000 segundos.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set applications application cust-app application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000 set security idp idp-policy ABC rulebase-ips rule ABC match application cust-app set security idp idp-policy ABC rulebase-ips rule ABC then action no-action set security idp active-policy ABC
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para crear una aplicación y asociarla a una política de IDP:
Cree una aplicación y especifique sus propiedades.
[edit applications application cust-app] user@host# set application-protocol ftp protocol tcp destination-port 78 inactivity-timeout 6000
Especifique la aplicación como una condición de coincidencia en una directiva.
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set match application cust-app
Especifique la condición de no acción.
[edit security idp idp-policy ABC rulebase-ips rule ABC] user@host# set then action no-action
Active la directiva.
[edit] user@host# set security idp active-policy ABC
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security idp comandos y show applications . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security idp
idp-policy ABC {
rulebase-ips {
rule R1 {
match {
application cust-app;
}
}
}
}
active-policy ABC;
[edit]
user@host# show applications
application cust-app {
application-protocol ftp;
protocol tcp;
destination-port 78;
inactivity-timeout 6000;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.