Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Приложения и наборы приложений политик безопасности

Приложения политик — это типы трафика, для которых существуют стандарты протокола. Набор приложений политик — это группа приложений политик. ОС Junos упрощает процесс, позволяя управлять небольшим количеством наборов приложений политики, а не большим количеством записей приложений для отдельных политик.

Приложение или набор приложений политик называют политиками безопасности в качестве критериев соответствия пакетов, инициаторов сеансов. ОС Junos позволяет настраивать приложения и наборы приложений политик. Вы можете создать набор приложений, который содержит все утвержденные приложения.

Обзор приложений политики безопасности

Приложения — это типы трафика, для которых существуют стандарты протокола. Каждая заявка имеет связанный с ним транспортный протокол и номер порта назначения, например TCP/порт 21 для FTP и TCP/порта 23 для Telnet. При создании политики необходимо указать для нее приложение.

Вы можете выбрать одно из предварительно определенных приложений из книги приложений или настраиваемый набор приложений или приложений, который вы создали. Вы можете увидеть, какое приложение можно использовать в политике, используя команду командной строки show applications .

Примечание:

Каждая предопределенное приложение имеет диапазон портов 1–65535источника, который включает в себя весь набор действительных номеров портов. Это не позволяет потенциальным злоумышленникам получить доступ благодаря использованию порта источника за пределами диапазона. Если вам нужно использовать диапазон портов другого источника для любого предопределенного приложения, создайте настраиваемое приложение. Для получения информации см. приложения «Понимание пользовательских политик».

Обзор приложений политики безопасности

При создании политики необходимо указать приложение или услугу, чтобы указать, что политика применяется к трафику такого типа. Иногда одни и те же приложения или подмножество из них могут присутствовать в нескольких политиках, что затрудняет управление. ОС Junos позволяет создавать группы приложений, называемых наборами приложений. Наборы приложений упрощают процесс, позволяя управлять небольшим количеством наборов приложений, а не большим количеством отдельных записей приложений.

Приложение (или набор приложений) называют политиками безопасности в качестве критериев соответствия пакетов, инициаторов сеансов. Если пакет соответствует типу приложения, указанному политикой, и все другие критерии совпадают, действие политики применяется к пакету.

В политике можно указать название приложения. В этом случае, если все другие критерии совпадают, любая из приложений в наборе приложений служит действительными критериями соответствия; any это имя приложения по умолчанию, которое указывает на все возможные приложения.

Приложения создаются в каталоге .../applications/application/application-name . Вам не нужно настраивать приложение для любых предопределенных системой сервисов.

Помимо предопределенных сервисов вы можете настроить настраиваемый сервис. После создания пользовательского сервиса вы можете обратиться к нему в политике.

Пример: настройка приложений и наборов политик безопасности

На этом примере показаны способы настройки приложений и наборов приложений.

Требования

Перед началом настройки требуемых приложений. Обзор наборов приложений политики безопасности.

Обзор

Вместо того чтобы создавать или добавлять в политику несколько имен отдельных приложений, вы можете создать набор приложений и назвать название набора в политике. Например, для группы сотрудников вы можете создать набор приложений, который содержит все утвержденные приложения.

В этом примере вы создаете набор приложений, который используется для входа в серверы в зоне ABC (intranet), для доступа к базе данных и передачи файлов.

  • Определение приложений в настроенном наборе приложений.

  • Менеджеры в зоне А и менеджеры в зоне B используют эти сервисы. Таким образом, придайте набору приложений общее название, такое как MgrAppSet.

  • Создайте набор приложений для приложений, которые используются для электронных и веб-приложений, которые доставляются двумя серверами во внешней зоне.

Топологии

Конфигурации

Процедуры

Пошаговая процедура

Для настройки набора приложений и приложений:

  1. Создайте набор приложений для руководителей.

  2. Создайте еще один набор приложений для электронной почты и веб-приложений.

  3. Если настройка устройства завершена, зафиксировать конфигурацию.

Проверки

Чтобы проверить правильность работы конфигурации, введите show applications команду в режиме конфигурации.

Понимание конфигурации и поиска таймаута приложений политики

Значение тайм-аута приложения, которое вы установили для приложения, определяет тайм-аут сеанса. Вы можете установить порог времени для предварительно заданного или настраиваемого приложения; вы можете использовать тайм-аут приложения по умолчанию, указать настраиваемый тайм-аут или вообще не использовать тайм-аут.

Значения таймаута приложений хранятся в первопричине таблицы таймаута на основе портов TCP и UDP, а также в таблице тайм-аута по умолчанию на основе протоколов. При добавлении значения тайм-аута приложений ОС Junos обновляет эти таблицы с новым значением. В базе данных ввода приложений также существуют значения тайм-аута по умолчанию, которые взяты из предопределенных приложений. Вы можете установить тайм-аут, но вы не можете изменить значение по умолчанию.

Каждое настраиваемое приложение может быть настроено с помощью индивидуального тайм-аута для приложений. Если настраиваются несколько настраиваемых приложений с помощью настраиваемых тайм-аутов, в каждом приложении будет собственный настраиваемый тайм-аут приложения.

Если приложение, соответствующее трафику, имеет значение тайм-аута, то это значение тайм-аута используется. В противном случае поиск продолжается в следующем порядке до тех пор, пока не будет найдена ценность тайм-аута приложения:

  1. Поиск значения тайм-аута в первопричинах TCP и UDP на основе портов.

  2. Таблица таймаута по умолчанию на основе протоколов ищет значение тайм-аута. См . таблицу 1.

    Таблица 1. Тайм-аут по умолчанию на основе протоколов

    Протокол

    Тайм-аут по умолчанию (секунда)

    TCP

    1800

    UDP

    60

    ICMP

    60

    OSPF

    60

    Других

    1800

Понимание временных отсутов приложений политики

При настройке тайм-аутов следует учитывать следующие непредвиденные обстоятельства:

  • Если приложение содержит несколько записей правил приложений, все записи правил имеют одинаковый тайм-аут. Определить тайм-аут приложения нужно только один раз. Например, если создать приложение с двумя правилами, следующие команды настроят тайм-аут до 20 секунд для обоих правил:

  • Если настраиваются несколько настраиваемых приложений с помощью настраиваемых тайм-аутов, в каждом приложении будет собственный настраиваемый тайм-аут приложения. Например:

    Благодаря такой конфигурации ОС Junos применяет 10-секундный тайм-аут для порта назначения 2121 и 20-секундный тайм-аут для порта назначения 2300 в группе приложений.

Пример: определение тайм-аута приложения политики

В этом примере показано, как установить значение тайм-аута приложения политики.

Требования

Прежде чем начать, поймите тайм-ауты приложений политики. См . обзор конфигурации и поиска таймаута приложений политики.

Обзор

Значения таймаута приложений хранятся в базе данных ввода приложений и в соответствующих таблицах тайм-аута на основе портов vsys TCP и UDP. В этом примере вы установите устройство для таймаута приложения политики до 75 минут (4500 секунд) для предварительного применения FTP.

При добавлении значения тайм-аута приложений ОС Junos обновляет эти таблицы с новым значением.

Конфигурации

Процедуры

Пошаговая процедура

Чтобы установить тайм-аут приложения политики:

  1. Установите значение тайм-аута бездействия.

  2. Зафиксировать конфигурацию, если вы настроены на устройство.

Проверки

Чтобы проверить правильность работы конфигурации, введите show applications команду.