Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

애플리케이션 식별을 위한 사전 정의된 애플리케이션 시그니처

사전 정의된 애플리케이션 시그니처 패키지는 동적으로 로드 가능한 모듈로, 애플리케이션 분류 기능 및 관련 프로토콜 속성을 제공합니다. 외부 서버에서 호스팅되며 패키지로 다운로드하여 장치에 설치할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

Junos OS 애플리케이션 패키지 설치 이해

주니퍼 네트웍스는 사전 정의된 애플리케이션 시그니처 패키지 데이터베이스를 정기적으로 업데이트하여 가입자가 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 패키지에는 추적, 방화벽 정책, 서비스 품질 우선 순위 지정 및 침입 탐지 및 방지(IDP)를 위해 애플리케이션을 식별하는 데 사용할 수 있는 알려진 애플리케이션 개체의 시그니처 정의가 포함되어 있습니다. 데이터베이스에는 FTP, DNS, Facebook, Kazaa 및 많은 인스턴트 메신저 프로그램과 같은 응용 프로그램 개체가 포함되어 있습니다.

응용 프로그램 서비스를 구성하기 전에 응용 프로그램 서명 패키지를 다운로드하여 설치해야 합니다. 애플리케이션 서명 패키지는 침입 탐지 및 방지(IDP) 설치에 직접 포함되며 별도로 다운로드할 필요가 없습니다.

  • IDP를 활성화하고 애플리케이션 식별을 사용하려는 경우 IDP 서명 데이터베이스 다운로드를 계속 실행할 수 있습니다. 침입 탐지 및 방지(IDP) 서명 데이터베이스를 다운로드하려면 다음 명령을 request security idp security-package download실행합니다. 응용 프로그램 패키지 다운로드는 수동 또는 자동으로 수행할 수 있습니다. 침입 탐지 및 방지(IDP) 보안 패키지의 일부로 Junos OS 애플리케이션 서명 패키지 다운로드 및 설치를 참조하십시오.

    참고:

    침입 탐지 및 방지(IDP) 지원 디바이스가 있고 애플리케이션 식별을 사용하려는 경우 IDP 서명 데이터베이스만 다운로드하는 것이 좋습니다. 이렇게 하면 동기화되지 않을 수 있는 두 가지 버전의 응용 프로그램 데이터베이스가 있는 것을 방지할 수 있습니다.

  • IDP를 활성화하지 않았고 애플리케이션 식별을 사용하려는 경우 다음 명령을 request services application-identification download 실행할 수 있습니다. 및 request services application-identification install. 이러한 명령은 애플리케이션 서명 데이터베이스를 다운로드하여 디바이스에 설치합니다.

    다운로드를 수동 또는 자동으로 수행할 수 있습니다. 압축을 푼 패키지를 수동으로 다운로드할 때 다운로드 URL을 변경할 수 있습니다.

    애플리케이션 서명 패키지를 다운로드 및 설치한 후 CLI 명령을 사용하여 데이터베이스 업데이트를 다운로드 및 설치하고 요약 및 자세한 애플리케이션 정보를 확인합니다.

    Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치 또는 예: 애플리케이션 서명 패키지 업데이트 예약을 참조하십시오.

    참고:

    Junos OS 애플리케이션 서명 패키지 업데이트는 별도로 라이선스가 부여되는 구독 서비스입니다. 주니퍼 네트웍스에서 제공하는 서명 데이터베이스 업데이트를 다운로드하고 설치하려면 디바이스에 애플리케이션 서명 패키지 업데이트 라이선스 키를 설치해야 합니다. 라이선스 키가 만료되면 로컬에 저장된 애플리케이션 서명 패키지 콘텐츠를 계속 사용할 수 있지만 데이터를 업데이트할 수는 없습니다.

    참고:

    Junos OS 릴리스 15.1X49-D50 및 Junos OS 릴리스 17.3부터 애플리케이션 서명 패키지를 업그레이드하거나 다운그레이드할 때 프로토타입 번들 간에 애플리케이션 ID(애플리케이션 서명의 고유 ID 번호)가 일치하지 않는 경우 오류 메시지가 표시되며 이러한 애플리케이션은 AppFW 및 AppQoS 규칙에서 구성됩니다.

    예제:

    해결 방법으로 애플리케이션 서명 패키지를 업그레이드하거나 다운그레이드하기 전에 AppFW 및 AppQoS 규칙을 사용하지 않도록 설정합니다. 업그레이드 또는 다운그레이드 절차가 완료되면 AppFW 및 AppQoS 규칙을 다시 활성화할 수 있습니다.

    참고:

    모든 보안 장비에서 AppSecure Services를 위한 J-Web 페이지는 예비 단계입니다. AppSecure 기능 구성에 CLI를 사용하는 것이 좋습니다.

참고:

이 기능을 사용하려면 라이선스가 필요합니다. Junos OS 애플리케이션 서명 패키지에 대한 자세한 내용은 라이선스 관리에 대한 일반 정보는 주니퍼 라이선싱 가이드를 참조하십시오. 자세한 내용은 SRX 시리즈 서비스 게이트웨이 의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

차세대 애플리케이션 식별(Next-Generation Application Identification)로 업그레이드

Junos OS 릴리스 12.1X47-D10부터 차세대 애플리케이션 식별이 지원됩니다. 기존 또는 레거시 애플리케이션 식별에서 차세대 애플리케이션 식별로 마이그레이션하려면 Junos OS 릴리스 12.1X47-D10을 설치해야 합니다.

레거시 애플리케이션 식별 기능이 있는 Junos OS 빌드와 함께 설치되는 보안 디바이스에는 레거시 애플리케이션 식별 보안 패키지가 포함됩니다. Junos OS 릴리스 12.1X47-D10으로 이러한 디바이스를 업그레이드하면 차세대 애플리케이션 식별 보안 패키지가 기본 프로토콜 번들과 함께 설치됩니다. 디바이스는 차세대 애플리케이션 식별로 자동 업그레이드됩니다.

참고:
  • 차세대 애플리케이션 식별 보안 패키지는 레거시 애플리케이션 식별 패키지에 증분 업데이트를 도입합니다. 기존 응용 프로그램을 제거하거나 제거할 필요는 없습니다.

  • 이전 릴리스(Junos OS 릴리스 12.1X46 이하)에서 지원되는 애플리케이션은 새 버전에서 새로운 별칭 또는 대체 이름을 가질 수 있습니다. 따라서 이러한 애플리케이션을 사용하는 기존 구성은 Junos OS 릴리스 12.1X47에서 작동합니다. 그러나 관련 로그 및 기타 정보는 새 이름을 사용합니다. 명령을 사용하여 show services application-identification application detail new-application-name 애플리케이션의 세부 정보를 가져올 수 있습니다.

  • Junos OS를 업그레이드할 때 명령에 또는 no-validate 옵션을 request system software add 포함할 validate 수 있습니다. 차세대 애플리케이션 식별의 일부가 아닌 기존 기능은 더 이상 사용되지 않으므로 비호환성 문제가 표시되지 않습니다.

  • 차세대 응용 프로그램 식별은 새로운 중첩 응용 프로그램의 생성을 제거하고 기존의 중첩 응용 프로그램을 일반 응용 프로그램으로 취급합니다. 또한 차세대 응용 프로그램 식별은 사용자 지정 응용 프로그램 또는 사용자 지정 응용 프로그램 그룹을 지원하지 않습니다. 중첩된 응용 프로그램, 사용자 지정 응용 프로그램 또는 사용자 지정 응용 프로그램 그룹과 관련된 기존 구성은 경고 메시지와 함께 무시됩니다.

응용 프로그램 서명 패키지에 대한 라이선스 설치 및 확인

Junos OS 애플리케이션 서명 패키지 업데이트는 별도로 라이선스가 부여되는 구독 서비스입니다. 주니퍼 네트웍스에서 제공하는 서명 데이터베이스 업데이트를 다운로드하고 설치하려면 디바이스에 애플리케이션 서명 패키지 업데이트 라이선스 키를 설치해야 합니다. 라이선스 키가 만료되면 로컬에 저장된 애플리케이션 서명 패키지 콘텐츠를 계속 사용할 수 있습니다.

라이센싱은 일반적으로 장치를 구입할 때 주문되며 이 정보는 섀시 일련 번호에 바인딩됩니다. 이 지침에서는 라이선스가 이미 있다고 가정합니다. 디바이스 구매 시 라이선스를 주문하지 않은 경우, 어카운트 팀 또는 주니퍼 고객 관리 센터에 도움을 요청하십시오. 자세한 내용은 https://kb.juniper.net/InfoCenter/index?page=home 의 기술 자료 문서 KB9731을 참조하십시오.

Junos OS 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX1500 디바이스에서 AppSecure는 JSE(Junos Software Enhanced) 소프트웨어 라이선스 패키지의 일부입니다. AppSecure에 대한 별도의 라이선스 키는 없습니다. AppID 서명 데이터베이스 업데이트를 다운로드 및 설치하거나 AppFW, AppQoS 및 AppTrack과 같은 다른 AppSecure 기능을 사용하려면 디바이스에서 JSE 소프트웨어 라이선스를 사용해야 합니다.

AppSecure는 Junos OS 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX300, SRX320, SRX340 및 SRX345 디바이스에서 JSE(Junos Software Enhanced) 소프트웨어 라이선스 패키지의 일부입니다. AppSecure에 대한 별도의 라이선스 키는 없습니다. AppID 서명 데이터베이스 업데이트를 다운로드 및 설치하거나 AppFW, AppQoS 및 AppTrack과 같은 다른 AppSecure 기능을 사용하려면 디바이스에서 JSE 소프트웨어 라이선스를 사용해야 합니다.

AppSecure는 15.1X49-D65 및 Junos OS 릴리스 17.3R1부터 SRX4100 및 SRX4200 디바이스에서 JSE(Junos Software Enhanced) 라이선스 패키지의 일부입니다. AppSecure에 대한 별도의 라이선스 키는 없습니다. AppID 서명 데이터베이스 업데이트를 다운로드 및 설치하거나 AppFW, AppQoS 및 AppTrack과 같은 다른 AppSecure 기능을 사용하려면 디바이스에서 JSE 소프트웨어 라이선스를 사용해야 합니다.

JSB(Junos Software Base) 패키지에는 애플리케이션 시그니처가 포함되어 있지 않습니다. 자세한 내용은 SRX 시리즈 서비스 게이트웨이 의 제품 데이터시트를 참조하거나 주니퍼 어카운트 팀 또는 주니퍼 파트너에게 문의하십시오.

다음과 같이 자동 또는 수동 방법을 사용하여 SRX 시리즈 방화벽에 라이선스를 설치할 수 있습니다.

  • 장치에 라이선스를 자동으로 설치합니다.

    라이선스를 자동으로 설치하거나 업데이트하려면 장치가 인터넷에 연결되어 있어야 합니다.

  • 디바이스에 라이선스를 수동으로 설치합니다.

    라이센스 키를 붙여넣고 Enter 키를 눌러 계속합니다.

  • 라이선스가 디바이스에 설치되어 있는지 확인합니다.

    show system license command 다음 예와 같이 명령을 사용하여 라이선스 사용량을 확인합니다.

    출력 샘플은 라이센스 사용 세부 정보만 표시하도록 잘립니다.

Junos OS 애플리케이션 서명 패키지 수동 다운로드 및 설치

이 예에서는 애플리케이션 서명 패키지를 다운로드하고, 정책을 생성하고, 이를 활성 정책으로 식별하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

  • 보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.

    참고:

    업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.

  • 애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 디바이스

  • Junos OS 릴리스 12.1X47-D10

개요

주니퍼 네트웍스는 사전 정의된 애플리케이션 서명 패키지 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 패키지에는 침입 탐지 및 방지(IDP), 애플리케이션 방화벽 정책 및 AppTrack에서 트래픽을 일치시키는 데 사용할 수 있는 애플리케이션 개체가 포함되어 있습니다.

구성

CLI 빠른 구성

구성 중에 수동 개입이 필요하므로 이 예에서는 CLI 빠른 구성을 사용할 수 없습니다.

응용 프로그램 ID 다운로드 및 설치

단계별 절차
  1. 응용 프로그램 패키지를 다운로드합니다.

    Download(다운로드)는 주니퍼 네트웍스 보안 웹 사이트 https://signatures.juniper.net/cgi-bin/index.cgi 에서 애플리케이션 패키지를 검색합니다.

    또한 특정 버전의 응용 프로그램 패키지를 다운로드하거나 다음 옵션을 사용하여 특정 위치에서 응용 프로그램 패키지를 다운로드할 수 있습니다.

    • 응용 프로그램 패키지의 특정 버전을 다운로드하려면:To download a specific version of the application package:

    • 구성 모드에서 응용 프로그램 패키지의 다운로드 URL을 변경하려면:

      참고:

      다운로드 URL을 변경하고 해당 변경 내용을 유지하려면 구성을 커밋해야 합니다.

  2. 다운로드 상태를 확인합니다.

    참고:

    시스템 로그를 사용하여 다운로드 결과를 볼 수도 있습니다. Junos OS 릴리스 20.4R1부터 시스템 로그 메시지가 업데이트되어 애플리케이션 서명 패키지 다운로드 및 설치 결과를 표시합니다.

  3. 응용 프로그램 패키지를 설치합니다.

    응용 프로그램 패키지는 장치의 응용 프로그램 서명 데이터베이스에 설치됩니다.

  4. 응용 프로그램 패키지의 설치 상태를 확인합니다.

    명령 출력은 애플리케이션 패키지 및 프로토콜 번들의 다운로드 및 설치된 버전에 대한 정보를 표시합니다.

    • 설치 상태를 보려면:

    • 프로토콜 번들 상태를 보려면:

      참고:

      최신 버전의 응용 프로그램 서명 데이터베이스에서 응용 프로그램 서명이 제거되었을 수 있습니다. 이 서명이 디바이스의 기존 애플리케이션 방화벽 정책에서 사용되는 경우 새 데이터베이스 설치가 실패합니다. 설치 상태 메시지는 더 이상 유효하지 않은 서명을 식별합니다. 데이터베이스를 성공적으로 업데이트하려면 기존 정책 및 그룹에서 삭제된 서명에 대한 모든 참조를 제거하고 설치 명령을 다시 실행합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

애플리케이션 식별 상태 확인

목적

애플리케이션 식별 구성이 제대로 작동하고 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show services application-identification status .

의미

필드는 Status: Enabled 디바이스에서 애플리케이션 식별이 활성화되어 있음을 보여줍니다.

침입 탐지 및 방지(IDP) 보안 패키지의 일부로 Junos OS 애플리케이션 서명 패키지 다운로드 및 설치

침입 탐지 및 방지(IDP) 보안 패키지를 통해 애플리케이션 시그니처를 다운로드하고 설치할 수 있습니다.

이 예에서는 침입 탐지 및 방지(IDP) 서명 및 애플리케이션 서명 패키지를 다운로드 및 설치하여 보안을 강화하는 방법을 보여줍니다. 이 경우 침입 탐지 및 방지(IDP) 서명 팩과 애플리케이션 서명 팩이 모두 단일 명령으로 다운로드됩니다.

요구 사항

시작하기 전에:

  • 보안 패키지 업데이트를 다운로드하려면 SRX 시리즈 방화벽이 인터넷에 연결되어 있는지 확인하십시오.

    참고:

    업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.

  • 애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽

  • Junos OS 릴리스 12.1X47-D10

개요

이 예에서는 주니퍼 네트웍스 웹 사이트에서 서명 데이터베이스를 다운로드하여 설치합니다.

구성

서명 데이터베이스 다운로드 및 설치

CLI 빠른 구성

구성 중에 수동 개입이 필요하므로 이 예에서는 CLI 빠른 구성을 사용할 수 없습니다.

단계별 절차

응용 프로그램 서명을 다운로드하고 설치하려면:

  1. 서명 데이터베이스를 다운로드합니다.

    참고:

    데이터베이스 크기 및 인터넷 연결 속도에 따라 데이터베이스를 다운로드하는 데 다소 시간이 걸릴 수 있습니다.

  2. 보안 패키지 다운로드 상태를 확인합니다.

  3. 공격 데이터베이스를 설치합니다.

    참고:

    보안 데이터베이스 크기에 따라 공격 데이터베이스를 설치하는 데 다소 시간이 걸릴 수 있습니다.

  4. 공격 데이터베이스 설치 상태를 확인합니다. 명령 출력에는 공격 데이터베이스의 다운로드 및 설치된 버전에 대한 정보가 표시됩니다.

  5. 침입 탐지 및 방지(IDP) 보안 패키지 버전을 확인합니다.

  6. 애플리케이션 식별 패키지 버전을 확인합니다.

확인

응용 프로그램 서명 패키지가 제대로 업데이트되고 있는지 확인합니다.

애플리케이션 서명 패키지 확인

목적

서비스 응용 프로그램 식별 버전을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show services application-identification version .

의미

샘플 출력은 서비스 애플리케이션 식별 버전이 1884임을 보여 줍니다.

프록시 서버에서 Junos OS 애플리케이션 서명 패키지 다운로드

이 예제에서는 프록시 프로필을 만들고 프록시 서버에서 애플리케이션 서명 패키지를 다운로드하는 데 사용하는 방법을 보여 줍니다.

구성

단계별 절차

프록시 프로필을 만들고 프록시 서버를 통해 응용 프로그램 패키지를 다운로드하기 위해 적용합니다.

  1. 프로토콜 HTTP에 대한 프록시 프로파일을 생성합니다.

  2. 프록시 서버의 IP 주소를 지정합니다.

  3. 프록시 서버에서 사용하는 포트 번호를 지정합니다.

  4. 프록시 호스트에서 응용 프로그램 패키지를 다운로드합니다.

단계별 절차

필요하지 않은 경우 응용 프로그램 서명 패키지를 다운로드하기 위해 프록시 서버를 사용하지 않도록 설정할 수 있습니다.

  • 응용 프로그램 서명 다운로드를 위해 프록시 서버를 사용하지 않도록 설정합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽에 설치된 유효한 애플리케이션 식별 기능 라이선스.

  • SRX 시리즈 방화벽(Junos OS 릴리스 18.3R1 이상 포함). 이 구성 예는 Junos OS 릴리스 18.3R1에 대해 테스트되었습니다.

개요

SRX 시리즈 방화벽의 외부 서버에서 호스팅되는 애플리케이션 시그니처 패키지를 다운로드하여 설치해야 합니다. Junos OS 릴리스 18.3R1부터 프록시 서버를 사용하여 애플리케이션 서명 패키지를 다운로드할 수 있습니다.

프록시 서버에서 서명 패키지 다운로드를 활성화하려면:

  1. 명령을 사용하여 set services proxy profile 프록시 서버의 호스트 및 포트 세부 정보가 포함된 프로필을 구성합니다.

  2. set services application-identification download proxy-profile profile-name 명령을 사용하여 프록시 서버에 연결하고 애플리케이션 서명 패키지를 다운로드합니다.

서명 패키지를 다운로드하면 요청이 프록시 호스트를 통해 서명 패키지를 호스팅하는 실제 서버로 라우팅됩니다. 프록시 호스트는 실제 호스트에서 응답을 다시 릴레이합니다. 이 다운로드는 주니퍼 네트웍스 보안 웹 사이트 https://signatures.juniper.net/cgi-bin/index.cgi 에서 애플리케이션 패키지를 검색합니다.

참고:

프록시 프로파일 구성에 대한 지원은 HTTP 연결에만 사용할 수 있습니다.

이 예에서는 프록시 프로파일을 생성하고 외부 호스트에서 애플리케이션 서명 패키지를 다운로드할 때 해당 프로파일을 참조합니다. 표 1 은 이 예에서 사용된 매개 변수에 대한 세부 정보를 제공합니다.

표 1: 프록시 프로필 구성 매개 변수

매개 변수

이름

프로필 이름

프로필-1

프록시 서버의 IP 주소

5.0.0.1

프록시 서버의 포트 번호

3128

확인

프록시 서버를 통한 응용 프로그램 서명 다운로드 확인

목적

프록시 서버를 통해 애플리케이션 서명 패키지 다운로드에 대한 세부 정보를 표시합니다.

작업

운영 모드에서 명령을 입력합니다 show services application-identification status .

의미

명령 출력의 및 Proxy Address 필드에서 Proxy Profile 프록시 프로파일 세부 정보를 찾을 수 있습니다.

애플리케이션 서명 다운로드 상태 확인

목적

응용 프로그램 패키지 다운로드 상태를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 request services application-identification download status .

Application package 3058 is downloaded successfully

의미

이 명령은 애플리케이션 서명 패키지 다운로드 상태를 표시합니다.

예: 응용 프로그램 서명 패키지 업데이트 예약

이 예제에서는 사전 정의된 애플리케이션 서명 패키지의 자동 업데이트를 설정하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

  • 보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.

    참고:

    업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.

  • 애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.

개요

이 예제에서는 현재 버전의 응용 프로그램 서명 패키지를 주기적으로 다운로드하려고 합니다. 다운로드는 12월 10일 오후 11시 59분에 시작됩니다. 최신 정보를 유지 관리하려면 회사의 인트라넷 사이트에서 2일마다 패키지를 자동으로 업데이트해야 합니다.

구성

절차

GUI 빠른 구성

J-Web 인터페이스로 자동 다운로드 및 주기적 업데이트를 설정하려면 다음을 수행합니다.

단계별 절차

  1. 를 입력하여 Configure>Security>AppSecure Settings 애플리케이션 서명 페이지를 표시합니다.

  2. 을 누르십시오 Global Settings.

  3. Download Scheduler 탭을 클릭하고 다음 필드를 수정합니다.

    • Url: https://signatures.juniper.net/cgi-bin/index.cgi

    • 업데이트 예약 사용: 확인란을 선택합니다.

    • 간격: 48

  4. 기존 시작 시간을 지우려면 클릭하고 Reset Setting 새 시작 시간을 YYYY-MM-DD.hh:mm 형식으로 입력한 다음 을 클릭합니다 OK.

    • 시작 시간: 2019-06-30.10:00:00

  5. 변경 내용을 커밋하려면 클릭합니다 Commit Options>Commit .

  6. 활성 다운로드 또는 업데이트의 진행률을 모니터링하거나 최신 업데이트의 결과를 확인하려면 클릭합니다 Check Status .

단계별 절차

CLI를 사용하여 Junos OS 애플리케이션 서명 패키지를 자동으로 업데이트하려면 다음을 수행합니다.

  1. 보안 패키지의 URL을 지정합니다. 보안 패키지에는 탐지기와 최신 공격 객체 및 그룹이 포함됩니다. 다음 문은 서명 데이터베이스 업데이트를 다운로드하기 위한 URL로 https://signatures.juniper.net/cgi-bin/index.cgi 를 지정합니다.

  2. 다운로드 시간 및 간격을 지정합니다. 다음 문은 간격을 48시간으로 설정하고 시작 시간을 12월 10일 오전 10시로 설정합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

애플리케이션 서명 패키지가 제대로 업데이트되고 있는지 확인하려면 명령을 입력합니다 show services application-identification version . 최신 업데이트의 버전 번호와 세부 정보를 검토합니다.

침입 탐지 및 방지(IDP) 보안 패키지의 일부로 애플리케이션 서명 패키지 업데이트 예약

이 예의 구성 지침에서는 지정된 날짜와 시간에 애플리케이션 식별 서명 패키지(침입 탐지 및 방지(IDP) 보안 패키지의 일부)의 자동 업데이트를 설정하는 방법을 설명합니다.

요구 사항

시작하기 전에:

  • 보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.

    참고:

    업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.

  • 애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.

개요

이 예제에서는 현재 버전의 응용 프로그램 서명 패키지를 주기적으로 다운로드하려고 합니다. 다운로드는 12월 10일 오후 11시 59분에 시작됩니다. 최신 정보를 유지 관리하려면 회사의 인트라넷 사이트에서 2일마다 패키지를 자동으로 업데이트해야 합니다.

구성

절차

GUI 빠른 구성

J-Web 인터페이스로 자동 다운로드 및 주기적 업데이트를 설정하려면 다음을 수행합니다.

단계별 절차

  1. 보안 침입 탐지 및 방지(IDP) 서명 구성 페이지를 표시하려면 을(를) 입력합니다 Configure>Security>IDP>Signature Updates .

  2. URL을 클릭하고 Download Settings 수정합니다. https://signatures.juniper.net/cgi-bin/index.cgi

  3. Auto Download Settings 탭을 클릭하고 다음 필드를 수정합니다.

    • 간격: 48

    • 시작 시간: 2013-12-10.23:59:55

    • 업데이트 예약 사용: 확인란을 선택합니다.

  4. 기존 필드를 지우려면 클릭하고 Reset Setting 새 값을 입력합니다. 을 누르십시오 OK.

  5. 변경 내용을 커밋하려면 클릭합니다 Commit Options>Commit .

  6. 활성 다운로드 또는 업데이트의 진행률을 모니터링하거나 최신 업데이트의 결과를 확인하려면 클릭합니다 Check Status .

단계별 절차

CLI를 사용하여 Junos OS 애플리케이션 서명 패키지를 자동으로 업데이트하려면 다음을 수행합니다.

  1. 보안 패키지의 URL을 지정합니다. 보안 패키지에는 탐지기와 최신 공격 객체 및 그룹이 포함됩니다. 다음 문은 서명 데이터베이스 업데이트를 다운로드하기 위한 URL로 https://signatures.juniper.net/cgi-bin/index.cgi 를 지정합니다.

  2. 다운로드 시간 및 간격을 지정합니다. 다음 문은 간격을 48시간으로 설정하고 시작 시간을 2013년 12월 10일 오후 11시 55분으로 설정합니다.

  3. 보안 패키지의 자동 다운로드 및 업데이트를 사용하도록 설정합니다.

  4. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

응용 프로그램 서명 패키지가 제대로 업데이트되고 있는지 확인합니다.

애플리케이션 서명 패키지 확인

목적

서비스 애플리케이션 식별 버전 확인

작업

운영 모드에서 명령을 입력합니다 show services application-identification version .

의미

샘플 출력은 서비스 응용 프로그램 식별 버전이 1884임을 보여 줍니다.

예: 섀시 클러스터 모드에서 애플리케이션 식별 패키지 다운로드 및 설치

이 예에서는 섀시 클러스터 모드에서 작동하는 디바이스에 애플리케이션 서명 패키지 데이터베이스를 다운로드하고 설치하는 방법을 보여줍니다.

응용 프로그램 식별 패키지 다운로드 및 설치Downloading and Installing the Application Identification Package

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 자세한 내용은 CLI 사용 설명서를 참조하십시오.

응용 프로그램 패키지를 다운로드하고 설치하려면:To download and install an application package:

  1. 기본 노드에서 애플리케이션 패키지를 다운로드합니다.

    {primary:node0}[edit]

    user@host> request services application-identification download

  2. 응용 프로그램 패키지 다운로드 상태를 확인합니다.

    {primary:node0}[edit]

    user@host> request services application-identification download status

    다운로드에 성공하면 다음 메시지가 표시됩니다

    애플리케이션 패키지는 기본 노드의 애플리케이션 서명 데이터베이스에 설치되고 애플리케이션 식별 파일은 기본 노드와 보조 노드에서 동기화됩니다.

  3. 명령을 사용하여 install 응용 프로그램 패키지를 업데이트합니다.

    {primary:node0}[edit]

    user@host> request services application-identification install

  4. 응용 프로그램 패키지 업데이트 상태를 확인합니다. 명령 출력에는 응용 프로그램 패키지의 다운로드 및 설치된 버전에 대한 정보가 표시됩니다.

    {primary:node0}[edit]

    user@host> request services application-identification install status

    참고:

    새 버전의 응용 프로그램 서명 데이터베이스에서 응용 프로그램 서명이 제거될 수 있습니다. 이 서명이 디바이스의 기존 애플리케이션 방화벽 정책에서 사용되는 경우 새 데이터베이스 설치가 실패합니다. 설치 상태 메시지는 더 이상 유효하지 않은 서명을 식별합니다. 데이터베이스를 성공적으로 업데이트하려면 기존 정책 및 그룹에서 삭제된 서명에 대한 모든 참조를 제거하고 설치 명령을 다시 실행합니다.

    참고:

    기본 노드에서 애플리케이션 서명 패키지를 다운로드하는 동안 예기치 않은 장애 조치로 인해 기본 노드가 애플리케이션 서명 패키지를 완전히 다운로드하지 못할 수 있습니다. 해결 방법으로 /var/db/appid/sec-download/.apppack_state를 삭제하고 디바이스를 다시 시작해야 합니다.

단계별 절차

응용 프로그램 패키지를 제거하려면:

  1. 명령을 사용하여 uninstall 응용 프로그램 패키지를 제거합니다.

    {primary:node0}[edit]

    user@host> request services application-identification uninstall

  2. 응용 프로그램 패키지의 제거 상태를 확인합니다.

    {primary:node0}[edit]

    user@host> request services application-identification uninstall status

  3. 프로토콜 번들의 제거 상태를 확인합니다.

요구 사항

시작하기 전에:

  • 섀시 클러스터 노드 ID 및 클러스터 ID를 설정합니다. 예: 섀시 클러스터에서 보안 디바이스에 대한 노드 ID 및 클러스터 ID 설정을 참조하십시오.

  • 보안 패키지 업데이트를 다운로드할 수 있도록 보안 디바이스가 인터넷에 연결되어 있는지 확인합니다.

    참고:

    업데이트 서버의 이름을 확인해야 하므로 DNS를 설정해야 합니다.

  • 애플리케이션 식별 기능 라이선스를 설치했는지 확인합니다.

개요

애플리케이션 식별을 사용하는 경우 사전 정의된 애플리케이션 서명 패키지 데이터베이스를 다운로드할 수 있습니다. 주니퍼 네트웍스는 데이터베이스를 정기적으로 업데이트하여 주니퍼 네트웍스 웹 사이트에서 사용할 수 있도록 합니다. 이 패키지에는 침입 탐지 및 방지(IDP)의 트래픽을 일치시키는 데 사용할 수 있는 애플리케이션 객체, 애플리케이션 방화벽 정책 및 애플리케이션 추적이 포함되어 있습니다. 자세한 내용은 Junos OS 애플리케이션 패키지 설치 이해하기를 참조하십시오.

섀시 클러스터 모드에서 작동하는 디바이스에서 애플리케이션 식별 보안 패키지를 다운로드하면 보안 패키지가 기본 노드로 다운로드된 다음 보조 노드와 동기화됩니다.

Junos OS 애플리케이션 식별 추출 애플리케이션 패키지 검증

목적

응용 프로그램 패키지를 성공적으로 다운로드하고 설치한 후 다음 명령을 사용하여 미리 정의된 응용 프로그램 서명 패키지 콘텐츠를 확인합니다.

작업

  • 응용 프로그램 패키지의 현재 버전을 봅니다.

  • 응용 프로그램 패키지의 현재 상태를 봅니다.

Junos OS Application Identification 애플리케이션 패키지 제거

미리 정의된 응용 프로그램 패키지를 제거할 수 있습니다. Junos OS 구성의 사전 정의된 애플리케이션 시그니처에서 참조되는 활성 보안 정책이 있는 경우 제거 작업이 실패합니다

응용 프로그램 패키지를 제거하려면:

  1. 응용 프로그램 패키지를 제거합니다.
  2. 응용 프로그램 패키지의 제거 작업 상태를 확인합니다. 명령 출력은 애플리케이션 패키지 및 프로토콜 번들의 제거 상태에 대한 정보를 표시합니다.
    • 제거 상태를 확인합니다.

    • 프로토콜 번들의 제거 상태를 확인합니다.

애플리케이션 패키지 및 프로토콜 번들이 디바이스에서 제거됩니다. 응용 프로그램 ID를 다시 설치하려면 응용 프로그램 패키지를 다운로드하고 다시 설치해야합니다.

응용 프로그램 서명 패키지 롤백

Junos OS 릴리스 20.3R1부터 다음 방법 중 하나로 현재 버전의 애플리케이션 서명 팩을 이전 버전으로 롤백할 수 있습니다.

  • 자동 롤백

  • 수동 롤백

자동 롤백

애플리케이션 시그니처 패키지 설치에 실패할 경우, 시스템은 보안 디바이스에 현재 설치되어 있는 애플리케이션 시그니처 패키지의 이전 버전으로 자동 롤백합니다.

섀시 클러스터 모드에서 작동하는 디바이스에 애플리케이션 시그니처 패키지를 다운로드하여 설치할 때 노드에서 설치에 실패하면 시스템은 이전 버전의 애플리케이션 시그니처로 롤백됩니다. 디바이스는 설치가 실패하고 롤백이 성공한 동일한 노드에 사소한 경보를 표시합니다.

예제:

설치에 실패하고 롤백이 성공적으로 완료되면 응용 프로그램 서명 패키지 롤백 상태를 확인합니다.

수동 롤백

다음 단계를 사용하여 응용 프로그램 서명 패키지를 설치된 이전 버전으로 수동으로 롤백할 수 있습니다.

  1. 응용 프로그램 서명 패키지를 이전 버전으로 롤백합니다.

  2. 롤백 상태를 확인합니다.

응용 프로그램 서명 패키지의 수동 롤백에 대해 다음 사항에 유의하십시오.

  • 버전 Y에서 버전 X로 애플리케이션 서명 패키지 버전을 수동으로 롤백하면 버전 Y보다 높은 새 버전 Z를 사용할 수 있을 때까지 애플리케이션 서명 패키지의 예약된 자동 업데이트를 건너뜁니다.

  • 침입 탐지 및 방지(IDP) 보안 패키지를 통해 애플리케이션 시그니처를 다운로드하고 설치할 수 있습니다. 이 경우 IDP 설치 중에 AppID 설치가 실패하면 AppID는 이전 버전으로 롤백되고 IDP 설치는 요청된 버전으로 계속됩니다. 이러한 경우 IDP와 AppID의 버전이 다를 수 있습니다.

  • 다운로드한 서명 패키지 파일의 손상, 삭제 또는 수정이 있는 경우 애플리케이션 서명 패키지 설치가 진행되지 않습니다. 이러한 경우 다음 메시지가 표시됩니다.

    user@host> request services application-identification install
    error: Checksum validation failed for downloaded files.

  • 보안 디바이스에 이전 버전의 애플리케이션 시그니처 패키지가 포함되어 있지 않은 상태에서 애플리케이션 시그니처 패키지를 롤백하려고 하면 디바이스에 다음과 같은 오류 메시지가 표시됩니다.

새로 추가된 응용 프로그램 서명 그룹화

Junos OS 릴리스 21.1R1부터 새로 추가된 모든 애플리케이션 시그니처를 junos:all-new-apps 그룹 아래에 그룹화하여 애플리케이션 시그니처 패키지를 개선했습니다. 보안 디바이스에 애플리케이션 서명 패키지를 다운로드하면 사전 정의된 전체 애플리케이션 그룹이 다운로드되고 아래 예와 같이 보안 정책에서 구성할 수 있습니다.

또한 응용 프로그램 서명 패키지에 응용 프로그램 태그 목록을 도입했습니다. 애플리케이션 속성을 기반으로 하는 사전 정의된 태그를 기반으로 유사한 애플리케이션을 그룹화할 수 있습니다. 이렇게 하면 보안 정책을 정의할 때 애플리케이션 그룹을 일관되게 재사용할 수 있습니다.

예제

위의 예에서 remote-access와 web 태그가 있는 태그 기반 애플리케이션 그룹과 social_networking가 있는 또 다른 태그 그룹을 구성합니다. 웹 또는 원격 액세스 및 social_networking 태그가 있는 모든 응용 프로그램이 응용 프로그램 그룹에 추가됩니다.

태그를 기반으로 유사한 응용 프로그램을 그룹화하면 보안 정책을 정의할 때 응용 프로그램 그룹을 일관되게 재사용할 수 있습니다.

새 응용 프로그램을 일반 응용 프로그램으로 마이그레이션:

junos:all-new-apps 그룹에는 이전에 설치된 시그니처 팩과 비교하여 보안 디바이스에 설치된 애플리케이션 시그니처 팩의 모든 새 애플리케이션 세트가 포함됩니다. 애플리케이션 서명 패키지의 최신 버전을 설치하기로 결정한 경우, 해당 버전의 junos:all-new-apps 그룹에 새로운 애플리케이션 세트가 포함됩니다.

새 응용 프로그램을 기존 응용 프로그램 서명 패키지의 일반 응용 프로그램으로 마이그레이션하도록 선택할 수 있습니다. 이 마이그레이션은 나중에 최신 애플리케이션 시그니처 버전으로 업그레이드할 때마다 새 애플리케이션에만 생성되는 보안 정책 규칙을 일관되게 유지하는 데 도움이 됩니다.

다음과 같은 새 명령을 사용하여 새 응용 프로그램으로 태그가 지정된 응용 프로그램을 일반 응용 프로그램으로 이동할 수 있습니다.

  • 지정된 새 응용 프로그램만 일반 응용 프로그램으로 마이그레이션하려면 다음 명령을 사용합니다.

  • 모든 새 응용 프로그램을 일반 응용 프로그램으로 마이그레이션하려면 다음 명령을 사용합니다.

이러한 명령을 실행하면 응용 프로그램이 더 이상 새 것으로 태그가 지정되지 않으며 그룹에 속 junos:all-new-apps 하지 않습니다.

응용 프로그램 서명 패키지 개선 사항

Junos OS 릴리스 21.1R1부터 애플리케이션 서명 패키지에 다음과 같은 개선 사항을 도입했습니다.

참고:

Junos OS 릴리스 20.4 및 이전 버전에서 Junos OS 릴리스 21.1 이상으로 업그레이드할 때는 및 request services application-identification install 명령을 사용하여 request services application-identifications download 애플리케이션 식별 서명 데이터베이스를 업데이트하는 것이 좋습니다.

릴리스 기록 테이블
릴리스
설명
20.4R1
Junos OS 릴리스 20.4R1부터 시스템 로그 메시지가 업데이트되어 애플리케이션 서명 패키지 다운로드 및 설치 결과를 표시합니다.
20.3R1
Junos OS 릴리스 20.3R1부터 현재 버전의 애플리케이션 서명 팩을 이전 버전으로 롤백할 수 있습니다
15.1X49-D65
AppSecure는 15.1X49-D65 및 Junos OS 릴리스 17.3R1부터 SRX4100 및 SRX4200 디바이스에서 JSE(Junos Software Enhanced) 라이선스 패키지의 일부입니다.
15.1X49-D40
AppSecure는 Junos OS 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX300, SRX320, SRX340 및 SRX345 디바이스에서 JSE(Junos Software Enhanced) 소프트웨어 라이선스 패키지의 일부입니다.
15.1X49-D30
Junos OS 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 SRX1500 디바이스에서 AppSecure는 JSE(Junos Software Enhanced) 소프트웨어 라이선스 패키지의 일부입니다.
12.1X47-D10
Junos OS 릴리스 12.1X47-D10부터 차세대 애플리케이션 식별이 지원됩니다.