自定义策略应用程序
自定义策略应用程序是预定义策略应用程序的替代功能。如果不想在策略中使用预定义的策略应用程序,可以创建自定义应用程序。Junos OS 允许您为策略配置自定义应用程序。
了解自定义策略应用程序
如果您不想在策略中使用预定义的应用程序,可以轻松创建自定义应用程序。
您可以为每个自定义应用程序分配以下属性:
名字
传输协议
使用 TCP 或 UDP 的应用程序的源端口号和目标端口号
使用 ICMP 的应用程序的类型和代码值
超时值
自定义应用程序映射
应用程序选项指定映射到您在策略中引用的第 4 层应用程序的第 7 层应用程序。预定义应用程序已具有到第 7 层应用程序的映射。但是,对于自定义应用程序,您必须将应用程序显式链接到策略,尤其是在希望策略将应用程序层网关 (ALG) 或深度检查应用于自定义应用程序时。
Junos OS 支持多种应用程序的 ALG,包括 DNS、FTP、H.323、HTTP、RSH、SIP、Telnet 和 TFTP。
将 ALG 应用于自定义应用程序涉及以下两个步骤:
使用名称、超时值、传输协议以及源端口和目标端口定义自定义应用程序。
配置策略时,请为要应用的 ALG 引用该应用程序和应用程序类型。
示例:添加和修改自定义策略应用程序
此示例说明如何添加和修改自定义策略应用程序。
要求
开始之前,请创建地址和安全区域。请参见 示例:创建安全区域。
概述
在此示例中,您将使用以下信息创建自定义应用程序:
应用程序的名称:
cust-telnet
。源端口号的范围:
1
到65535
。目标端口号:23000。
应用程序使用的协议:TCP。
创建自定义应用程序 cust-telnet
后,将修改以下信息:
应用程序使用的协议被修改为:
源端口号的范围:
1
到51100
。目标端口号:11000。
配置
程序
分步过程
以下示例要求您在配置层次结构中的各个级别之间导航。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器。
要添加和修改自定义策略应用程序,请执行以下操作:
配置 TCP 并指定源端口和目标端口。
[edit applications application cust-telnet] user@host# set protocol tcp source-port 65535 destination-port 23000
指定应用程序处于非活动状态的时间长度。
[edit applications application cust-telnet] user@host# set inactivity-timeout 1800
修改自定义策略应用程序
cust-telnet
:删除为 TCP 配置的源端口和目标端口。
配置 UDP 并指定源端口和目标端口。
指定 UDP 处于非活动状态的时间长度。
[edit] user@host# delete applications application cust-telnet source-port user@host# delete applications application cust-telnet destination-port user@host# set applications application cust-telnet protocol udp source-port 51100 destination-port 11000 user@host# set inactivity-timeout 1500
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
验证修改后的自定义策略应用程序
目的
验证是否已成功修改自定义策略应用程序。
行动
在操作模式下,输入 show applications application cust-telnet
命令以显示自定义策略应用程序的详细信息 - cust-telnet
。
user@host>
show applications application cust-telnet
protocol udp;
source-port 51100;
destination-port 11000;
inactivity-timeout 1500;
超时值以秒为单位。如果不设置,自定义应用的超时值为 1800 秒。如果不希望应用程序超时,请键入 never
。
意义
输出显示有关 cust-telnet 应用程序的信息。验证以下信息:
配置的策略名称。
源端口和目标端口。
应用程序处于非活动状态的时间长度(以秒为单位)。
示例:配置自定义策略应用程序术语选项
此示例说明如何为应用程序协议配置应用程序属性和术语选项。
要求
概述
在此示例中,您将创建应用程序名称、应用程序名称和一个名为自定义选项的术语,以定义自定义策略应用程序术语选项。
您可以将域名服务 (DNS) 配置为应用层网关 (ALG) 类型,将 UDP 配置为网络协议类型。将源端口设置为 24000,将目标端口设置为 23000。然后,将互联网控制消息协议 (ICMP) 数据包类型值设置为 5,并将 ICMP 代码值设置为 0。将远程过程调用 (RPC) 程序编号值设置为 50,将通用唯一标识符 (UUID) 值设置为 1be617c0-31a5-11cf-a7d8-00805f48a135。最后,将非活动超时值设置为 60。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
user@host# set applications application app-name term custom-options user@host# set applications application app-name term custom-options alg dns user@host#set applications application app-name term custom-options protocol udp user@host#set applications application app-name term custom-options source-port 24000 user@host#set applications application app-name term custom-options destination-port 23000 user@host#set applications application app-name term custom-options inactivity-timeout 60
分步过程
要配置自定义策略应用程序术语选项,请执行以下操作:
配置术语名称。
[edit applications] user@host# set application app-name term custom-options
配置 ALG 类型。
[edit applications] user@host# set application app-name term custom-options alg dns
配置网络协议类型。
[edit applications] user@host# set application app-name term custom-options protocol udp
配置源端口号。
[edit applications] user@host#set application app-name term custom-options source-port 24000
配置 TCP 或 UDP 目标端口号。
[edit applications] user@host# set application app-name term custom-options destination-port 23000
指定非活动超时值。
[edit applications] user@host# set application app-name term custom-options inactivity-timeout 60
结果
在配置模式下,输入 show applications
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show applications application app-name { term custom-options alg dns protocol udp source-port 24000 inactivity-timeout 60; }
如果完成设备配置,请从配置模式输入 commit
。