EN ESTA PÁGINA
Descripción general de las aplicaciones de políticas de seguridad
Información general sobre conjuntos de aplicaciones de políticas de seguridad
Ejemplo: configuración de aplicaciones y conjuntos de aplicaciones de políticas de seguridad
Descripción de la configuración y la búsqueda del tiempo de espera de la aplicación de directivas
Descripción de los tiempos de espera de aplicación de políticas Contingencias
Ejemplo: establecer un tiempo de espera de aplicación de directiva
Aplicaciones y conjuntos de aplicaciones de políticas de seguridad
Las aplicaciones de políticas son tipos de tráfico para los que existen estándares de protocolo. El conjunto de aplicaciones de directivas es un grupo de aplicaciones de directivas. Junos OS simplifica el proceso al permitirle administrar un pequeño número de conjuntos de aplicaciones de políticas, en lugar de un gran número de entradas de aplicaciones de políticas individuales.
Las políticas de seguridad se refieren a la aplicación o conjunto de aplicaciones de políticas como criterios de coincidencia para los paquetes que inician sesiones. Junos OS le permite configurar aplicaciones de políticas y conjuntos de aplicaciones. Puede crear un conjunto de aplicaciones que contenga todas las aplicaciones aprobadas.
Descripción general de las aplicaciones de políticas de seguridad
Las aplicaciones son tipos de tráfico para los que existen estándares de protocolo. Cada aplicación tiene un protocolo de transporte y números de puerto de destino asociados, como TCP/puerto 21 para FTP y TCP/puerto 23 para Telnet. Al crear una directiva, debe especificar una aplicación para ella.
Puede seleccionar una de las aplicaciones predefinidas del libro de aplicaciones, o una aplicación personalizada o un conjunto de aplicaciones que haya creado. Puede ver qué aplicación puede usar en una política mediante el comando de la show applications CLI.
Cada aplicación predefinida tiene un intervalo de puertos de origen de , que incluye todo el conjunto de números de 1–65535puerto válidos. Esto impide que los atacantes potenciales obtengan acceso mediante el uso de un puerto de origen fuera del rango. Si necesita usar un intervalo de puertos de origen diferente para cualquier aplicación predefinida, cree una aplicación personalizada. Para obtener información, vea Descripción de las aplicaciones de directivas personalizadas.
Ver también
Información general sobre conjuntos de aplicaciones de políticas de seguridad
Al crear una directiva, debe especificar una aplicación o servicio para que indique que la directiva se aplica al tráfico de ese tipo. A veces, las mismas aplicaciones o un subconjunto de ellas pueden estar presentes en varias políticas, lo que dificulta su administración. Junos OS permite crear grupos de aplicaciones denominados conjuntos de aplicaciones. Los conjuntos de aplicaciones simplifican el proceso al permitirle administrar un pequeño número de conjuntos de aplicaciones, en lugar de un gran número de entradas de aplicaciones individuales.
Las políticas de seguridad hacen referencia a la aplicación (o conjunto de aplicaciones) como criterios de coincidencia para los paquetes que inician sesiones. Si el paquete coincide con el tipo de aplicación especificado por la directiva y todos los demás criterios coinciden, la acción de directiva se aplica al paquete.
Puede especificar el nombre de un conjunto de aplicaciones en una directiva. En este caso, si todos los demás criterios coinciden, cualquiera de las aplicaciones del conjunto de aplicaciones sirve como criterio de coincidencia válido; any es el nombre predeterminado de la aplicación que indica todas las aplicaciones posibles.
Las aplicaciones se crean en el .../applications/application/application-name directorio. No es necesario configurar una aplicación para ninguno de los servicios predefinidos por el sistema.
Además de los servicios predefinidos, puede configurar un servicio personalizado. Después de crear un servicio personalizado, puede hacer referencia a él en una directiva.
Ejemplo: configuración de aplicaciones y conjuntos de aplicaciones de políticas de seguridad
En este ejemplo se muestra cómo configurar aplicaciones y conjuntos de aplicaciones.
Requisitos
Antes de comenzar, configure las aplicaciones necesarias. Consulte Descripción general de conjuntos de aplicaciones de políticas de seguridad.
Visión general
En lugar de crear o agregar varios nombres de aplicación individuales a una directiva, puede crear un conjunto de aplicaciones y hacer referencia al nombre del conjunto en una directiva. Por ejemplo, para un grupo de empleados, puede crear un conjunto de aplicaciones que contenga todas las aplicaciones aprobadas.
En este ejemplo, se crea un conjunto de aplicaciones que se utilizan para iniciar sesión en los servidores de la zona ABC (intranet), para tener acceso a la base de datos y para transferir archivos.
Defina las aplicaciones en el conjunto de aplicaciones configurado.
Los administradores de la zona A y los administradores de la zona B utilizan estos servicios. Por lo tanto, asigne al conjunto de aplicaciones un nombre genérico, como MgrAppSet.
Cree un conjunto de aplicaciones para las aplicaciones que se utilizan para el correo electrónico y las aplicaciones basadas en Web que entregan los dos servidores de la zona externa.
Topología
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar una aplicación y un conjunto de aplicaciones:
Cree un conjunto de aplicaciones para administradores.
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
Cree otro conjunto de aplicaciones para correo electrónico y aplicaciones basadas en Web.
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el comando en modo show applications de configuración.
Descripción de la configuración y la búsqueda del tiempo de espera de la aplicación de directivas
El valor de tiempo de espera de la aplicación establecido para una aplicación determina el tiempo de espera de la sesión. Puede establecer el umbral de tiempo de espera para una aplicación predefinida o personalizada; Puede usar el tiempo de espera predeterminado de la aplicación, especificar un tiempo de espera personalizado o no usar ningún tiempo de espera.
Los valores de tiempo de espera de la aplicación se almacenan en la tabla de tiempo de espera basada en puertos TCP y UDP raíz y en la tabla de tiempo de espera predeterminada basada en protocolos. Cuando se establece un valor de tiempo de espera de la aplicación, Junos OS actualiza estas tablas con el nuevo valor. También hay valores de tiempo de espera predeterminados en la base de datos de entrada de aplicaciones, que se toman de aplicaciones predefinidas. Puede establecer un tiempo de espera, pero no puede modificar un valor predeterminado.
Cada aplicación personalizada se puede configurar con su propio tiempo de espera de aplicación personalizado. Si se configuran varias aplicaciones personalizadas con tiempos de espera personalizados, cada aplicación tendrá su propio tiempo de espera de aplicación personalizado.
Si la aplicación que coincide con el tráfico tiene un valor de tiempo de espera, se usa ese valor de tiempo de espera. De lo contrario, la búsqueda continúa en el orden siguiente hasta que se encuentre un valor de tiempo de espera de la aplicación:
En la tabla de tiempo de espera basada en puertos TCP y UDP raíz se busca un valor de tiempo de espera.
Se busca en la tabla de tiempo de espera predeterminada basada en protocolo un valor de tiempo de espera. Ver Tabla 1.
Tabla 1: Tiempo de espera predeterminado basado en protocolo Protocolo
Tiempo de espera predeterminado (segundos)
TCP
1800
UDP
60
ICMP
60
OSPF
60
Otro
1800
Descripción de los tiempos de espera de aplicación de políticas Contingencias
Al establecer tiempos de espera, tenga en cuenta las siguientes contingencias:
Si una aplicación contiene varias entradas de regla de aplicación, todas las entradas de regla comparten el mismo tiempo de espera. Debe definir el tiempo de espera de la aplicación solo una vez. Por ejemplo, si crea una aplicación con dos reglas, los siguientes comandos establecerán el tiempo de espera en 20 segundos para ambas reglas:
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
Si se configuran varias aplicaciones personalizadas con tiempos de espera personalizados, cada aplicación tendrá su propio tiempo de espera de aplicación personalizado. Por ejemplo:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
Con esta configuración, Junos OS aplica un tiempo de espera de 10 segundos para el puerto de destino 2121 y un tiempo de espera de 20 segundos para el puerto de destino 2300 en un grupo de aplicaciones.
Ejemplo: establecer un tiempo de espera de aplicación de directiva
En este ejemplo se muestra cómo establecer un valor de tiempo de espera de aplicación de directiva.
Requisitos
Antes de comenzar, comprenda los tiempos de espera de aplicación de directivas. Consulte Descripción de la configuración y búsqueda del tiempo de espera de la aplicación de directivas.
Visión general
Los valores del tiempo de espera de la aplicación se almacenan en la base de datos de entrada de la aplicación y en las tablas de tiempo de espera basadas en puertos TCP y UDP de vsys correspondientes. En este ejemplo, se establece el tiempo de espera del dispositivo para una aplicación de directiva en 75 minutos (4500 segundos) para la aplicación predefinida FTP.
Cuando se establece un valor de tiempo de espera de la aplicación, Junos OS actualiza estas tablas con el nuevo valor.
Configuración
Procedimiento
Procedimiento paso a paso
Para establecer un tiempo de espera de aplicación de directiva:
Establezca el valor del tiempo de espera de inactividad.
[edit applications application ftp] user@host# set inactivity-timeout 4500
Confirme la configuración si ha terminado de configurar el dispositivo.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show applications comando.