Aplicaciones de políticas personalizadas
La aplicación de política personalizada es una característica alternativa para las aplicaciones de políticas predefinidas. Si no desea usar aplicaciones de políticas predefinidas en la directiva, puede crear aplicaciones personalizadas. Junos OS le permite configurar aplicaciones personalizadas para su política.
Descripción de las aplicaciones de políticas personalizadas
Si no desea usar aplicaciones predefinidas en su directiva, puede crear fácilmente aplicaciones personalizadas.
Puede asignar a cada aplicación personalizada los siguientes atributos:
Nombre
Protocolo de transporte
Números de puerto de origen y destino para aplicaciones que utilizan TCP o UDP
Valores de tipo y código para aplicaciones que utilizan ICMP
Valor de tiempo de espera
Asignaciones de aplicaciones personalizadas
La opción aplicación especifica la aplicación de capa 7 que se asigna a la aplicación de capa 4 a la que hace referencia en una política. Una aplicación predefinida ya tiene una asignación a una aplicación de capa 7. Sin embargo, para las aplicaciones personalizadas, debe vincular la aplicación a una directiva explícitamente, especialmente si desea que la directiva aplique una puerta de enlace de capa de aplicación (ALG) o una inspección profunda a la aplicación personalizada.
Junos OS admite ALG para numerosas aplicaciones, como DNS, FTP, H.323, HTTP, RSH, SIP, Telnet y TFTP.
La aplicación de un ALG a una aplicación personalizada implica los dos pasos siguientes:
Defina una aplicación personalizada con un nombre, un valor de tiempo de espera, un protocolo de transporte y puertos de origen y destino.
Al configurar una directiva, haga referencia a esa aplicación y al tipo de aplicación para el ALG que desea aplicar.
Ejemplo: Agregar y modificar aplicaciones de políticas personalizadas
En este ejemplo se muestra cómo agregar y modificar aplicaciones de directivas personalizadas.
Requisitos
Antes de comenzar, cree direcciones y zonas de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Visión general
En este ejemplo, se crea una aplicación personalizada con la siguiente información:
Un nombre para la aplicación:
cust-telnet
.Un rango de números de puerto de origen:
1
a .65535
Un número de puerto de destino: 23000.
El protocolo utilizado por la aplicación: TCP.
Una vez creada la aplicación cust-telnet
personalizada, se modifica la siguiente información:
El protocolo utilizado por la aplicación se modifica a: TCP.
Un rango de números de puerto de origen:
1
a .51100
Un número de puerto de destino: 11000.
Configuración
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para agregar y modificar una aplicación de directiva personalizada:
Configure TCP y especifique el puerto de origen y el puerto de destino.
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
Especifique el período de tiempo que la aplicación está inactiva.
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
Modifique la aplicación
cust-telnet
de directiva personalizada:Elimine los puertos de origen y destino configurados para TCP.
Configure UDP y especifique el puerto de origen y el puerto de destino.
Especifique el período de tiempo que UDP está inactivo.
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Comprobación de la aplicación de directiva personalizada modificada
Propósito
Para comprobar si la aplicación de directiva personalizada se ha modificado correctamente.
Acción
Desde el modo operativo, escriba el show applications application cust-telnet
comando para mostrar los detalles de la aplicación de política personalizada - cust-telnet
.
user@host>
show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;
El valor del tiempo de espera es en segundos. Si no lo establece, el valor de tiempo de espera de una aplicación personalizada es de 1800 segundos. Si no desea que se agote el tiempo de espera de una aplicación, escriba never
.
Significado
El resultado muestra información sobre la cust-telnet aplicación. Verifique la siguiente información:
Nombre de directiva configurado.
Puertos de origen y destino.
Tiempo (en segundos) que la aplicación está inactiva.
Ejemplo: configuración de opciones de términos de aplicación de directiva personalizadas
En este ejemplo se muestra cómo configurar las propiedades de las aplicaciones y las opciones de términos para los protocolos de aplicación.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Un PC
Antes de empezar:
Configure las aplicaciones necesarias. Consulte Ejemplo: Agregar y modificar aplicaciones de directivas personalizadas .
Visión general
En este ejemplo, se crea un nombre de aplicación, app-name y un término denominado custom-options para definir las opciones de término de aplicación de directiva personalizada.
Configure el Servicio de nombres de dominio (DNS) como el tipo de puerta de enlace de capa de aplicación (ALG) y UDP como el tipo de protocolo de red. Establezca el puerto de origen en 24000 y el puerto de destino en 23000. A continuación, establezca el valor de tipo de paquete del Protocolo de mensajes de control de Internet (ICMP) en 5 y el valor de código ICMP en 0. Establezca el valor del número de programa de llamada a procedimiento remoto (RPC) en 50 y el valor del identificador único universal (UUID) en 1be617c0-31a5-11cf-a7d8-00805f48a135. Por último, establezca el valor de tiempo de espera de inactividad en 60.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
Procedimiento paso a paso
Para configurar opciones de términos de aplicación de directivas personalizadas:
Configure el nombre del término.
[edit applications] user@host# set application app-name term custom-options
Configure el tipo de ALG.
[edit applications] user@host# set application app-name term custom-options alg dns
Configure el tipo de protocolo de red.
[edit applications] user@host# set application app-name term custom-options protocol udp
Configure el número de puerto de origen.
[edit applications] user@host#set application app-name term custom-options source-port 24000
Configure el número de puerto de destino TCP o UDP.
[edit applications] user@host# set application app-name term custom-options destination-port 23000
Especifique el valor del tiempo de espera de inactividad.
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show applications
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show applications application app-name { term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificación de la configuración
Propósito
Compruebe que la configuración es correcta.
Acción
Desde el modo operativo, ingrese el show applications
comando.
user@host> show applications application app-name { term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60; }