보안 정책 응용 프로그램 및 응용 프로그램 집합
정책 애플리케이션은 프로토콜 표준이 존재하는 트래픽 유형입니다. 정책 응용 프로그램 집합은 정책 응용 프로그램의 그룹입니다. Junos OS는 많은 수의 개별 정책 애플리케이션 항목이 아닌 소수의 정책 애플리케이션 세트를 관리할 수 있도록 하여 프로세스를 단순화합니다.
정책 애플리케이션 또는 애플리케이션 세트는 보안 정책에 의해 세션을 시작하는 패킷에 대한 일치 기준으로 참조됩니다. Junos OS를 사용하면 정책 애플리케이션 및 애플리케이션 세트를 구성할 수 있습니다. 승인된 모든 응용 프로그램을 포함하는 응용 프로그램 집합을 만들 수 있습니다.
보안 정책 애플리케이션 개요
애플리케이션은 프로토콜 표준이 존재하는 트래픽 유형입니다. 각 응용 프로그램에는 FTP의 경우 TCP/포트 21, 텔넷의 경우 TCP/포트 23과 같이 전송 프로토콜 및 대상 포트 번호가 연결되어 있습니다. 정책을 만들 때 해당 정책에 대한 응용 프로그램을 지정해야 합니다.
응용 프로그램 책에서 미리 정의된 응용 프로그램 중 하나를 선택하거나 사용자가 만든 사용자 지정 응용 프로그램 또는 응용 프로그램 세트를 선택할 수 있습니다. CLI 명령을 사용하여 show applications
정책에서 사용할 수 있는 애플리케이션을 확인할 수 있습니다.
미리 정의된 각 응용 프로그램에는 유효한 포트 번호의 1–65535
전체 집합을 포함하는 소스 포트 범위가 있습니다. 이렇게 하면 잠재적 공격자가 범위 밖의 소스 포트를 사용하여 액세스할 수 없습니다. 미리 정의된 응용 프로그램에 대해 다른 원본 포트 범위를 사용해야 하는 경우 사용자 지정 응용 프로그램을 만듭니다. 자세한 내용은 사용자 지정 정책 응용 프로그램 이해를 참조하십시오.
또한보십시오
보안 정책 응용 프로그램 집합 개요
정책을 생성할 때 해당 유형의 트래픽에 정책이 적용됨을 나타내기 위해 애플리케이션 또는 서비스를 지정해야 합니다. 경우에 따라 동일한 애플리케이션 또는 그 하위 집합이 여러 정책에 존재하여 관리하기가 어려울 수 있습니다. Junos OS를 사용하면 애플리케이션 세트라고 하는 애플리케이션 그룹을 생성할 수 있습니다. 응용 프로그램 집합은 많은 수의 개별 응용 프로그램 항목이 아닌 적은 수의 응용 프로그램 집합을 관리할 수 있도록 하여 프로세스를 단순화합니다.
애플리케이션(또는 애플리케이션 세트)은 보안 정책에 의해 세션을 시작하는 패킷에 대한 일치 기준으로 참조됩니다. 패킷이 정책에서 지정한 애플리케이션 유형과 일치하고 다른 모든 기준이 일치하면 정책 작업이 패킷에 적용됩니다.
정책에 설정된 응용 프로그램의 이름을 지정할 수 있습니다. 이 경우 다른 모든 기준이 일치하면 응용 프로그램 집합의 응용 프로그램 중 하나가 유효한 일치 기준 역할을 합니다. any
은 가능한 모든 응용 프로그램을 나타내는 기본 응용 프로그램 이름입니다.
응용 프로그램은 디렉터리에 만들어집니다 .../applications/application/application-name
. 시스템에서 미리 정의된 서비스에 대해 응용 프로그램을 구성할 필요가 없습니다.
미리 정의된 서비스 외에도 사용자 지정 서비스를 구성할 수 있습니다. 사용자 지정 서비스를 생성한 후 정책에서 참조할 수 있습니다.
예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성
이 예제에서는 응용 프로그램 및 응용 프로그램 집합을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 필요한 응용 프로그램을 구성합니다. 보안 정책 애플리케이션 세트 개요를 참조하십시오.
개요
여러 개별 응용 프로그램 이름을 만들거나 정책에 추가하는 대신 응용 프로그램 집합을 만들고 정책에서 집합의 이름을 참조할 수 있습니다. 예를 들어 직원 그룹의 경우 승인된 모든 응용 프로그램이 포함된 응용 프로그램 집합을 만들 수 있습니다.
이 예제에서는 ABC(인트라넷) 영역의 서버에 로그인하고, 데이터베이스에 액세스하고, 파일을 전송하는 데 사용되는 응용 프로그램 세트를 만듭니다.
구성된 응용 프로그램 집합에서 응용 프로그램을 정의합니다.
구역 A의 관리자와 구역 B의 관리자가 이러한 서비스를 사용합니다. 따라서 애플리케이션 집합에 MgrAppSet과 같은 일반 이름을 지정합니다.
외부 영역의 두 서버에서 배달하는 전자 메일 및 웹 기반 응용 프로그램에 사용되는 응용 프로그램에 대한 응용 프로그램 집합을 만듭니다.
토폴로지
구성
절차
단계별 절차
응용 프로그램 및 응용 프로그램 집합을 구성하려면:
관리자를 위한 응용 프로그램 집합을 만듭니다.
[edit applications] user@host# set application-set MgrAppSet application junos-ssh user@host# set application-set MgrAppSet application junos-telnet
전자 메일 및 웹 기반 응용 프로그램에 대한 다른 응용 프로그램 집합을 만듭니다.
[edit applications] user@host# set application-set WebMailApps application junos-smtp user@host# set application-set WebMailApps application junos-pop3
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 구성 모드에서 명령을 입력합니다 show applications
.
정책 애플리케이션 시간 초과 구성 및 조회 이해
응용 프로그램에 대해 설정한 응용 프로그램 시간 제한 값에 따라 세션 시간 제한이 결정됩니다. 미리 정의된 응용 프로그램이나 사용자 지정 응용 프로그램에 대한 시간 제한 임계값을 설정할 수 있습니다. 애플리케이션 기본 시간 제한을 사용하거나, 사용자 지정 시간 제한을 지정하거나, 시간 제한을 전혀 사용하지 않을 수 있습니다.
애플리케이션 시간 제한 값은 루트 TCP 및 UDP 포트 기반 시간 제한 테이블과 프로토콜 기반 기본 시간 제한 테이블에 저장됩니다. 애플리케이션 시간 제한 값을 설정하면 Junos OS는 이러한 테이블을 새 값으로 업데이트합니다. 애플리케이션 항목 데이터베이스에는 사전 정의된 애플리케이션에서 가져온 기본 제한시간 값도 있습니다. 시간 제한을 설정할 수 있지만 기본값을 변경할 수는 없습니다.
각 사용자 지정 응용 프로그램은 고유한 사용자 지정 응용 프로그램 시간 제한으로 구성할 수 있습니다. 여러 사용자 지정 응용 프로그램이 사용자 지정 시간 제한으로 구성된 경우 각 응용 프로그램에는 고유한 사용자 지정 응용 프로그램 시간 제한이 있습니다.
트래픽과 일치하는 애플리케이션에 시간 제한 값이 있는 경우 해당 시간 제한 값이 사용됩니다. 그렇지 않으면 애플리케이션 제한시간 값을 찾을 때까지 다음 순서로 조회가 진행됩니다.
루트 TCP 및 UDP 포트 기반 시간 제한 테이블에서 시간 제한 값이 검색됩니다.
프로토콜 기반 기본 타임아웃 테이블에서 타임아웃 값을 검색합니다. 표 1을 참조하십시오.
표 1: 프로토콜 기반 기본 타임아웃 프로토콜
기본 제한 시간(초)
Tcp
1800
Udp
60
Icmp
60
Ospf
60
다른
1800
정책 애플리케이션 시간 초과 비상 상황 이해
시간 제한을 설정할 때 다음과 같은 비상 사태에 유의하십시오.
응용 프로그램에 여러 응용 프로그램 규칙 항목이 포함된 경우 모든 규칙 항목은 동일한 시간 제한을 공유합니다. 애플리케이션 시간 제한은 한 번만 정의하면 됩니다. 예를 들어 두 개의 규칙이 있는 응용 프로그램을 만드는 경우 다음 명령은 두 규칙 모두에 대해 시간 제한을 20 초로 설정합니다.
user@host# set applications application test term test protocol tcp destination-port 1035-1035 inactivity-timeout 20 user@host# set applications application test term test protocol udp user@host# set applications application test term test source-port 1-65535 user@host# set applications application test term test destination-port 1111-1111
여러 사용자 지정 응용 프로그램이 사용자 지정 시간 제한으로 구성된 경우 각 응용 프로그램에는 고유한 사용자 지정 응용 프로그램 시간 제한이 있습니다. 예를 들어:
user@host# set applications application ftp-1 protocol tcp source-port 0-65535 destination-port 2121-2121 inactivity-timeout 10 user@host# set applications application telnet-1 protocol tcp source-port 0-65535 destination-port 2300-2348 inactivity-timeout 20
이 구성에서 Junos OS는 애플리케이션 그룹의 대상 포트 2121 에 대해 10초의 시간 초과를, 대상 포트 2300에 대해 20 초의 시간 제한을 적용합니다.
예: 정책 애플리케이션 시간 제한 설정
이 예제에서는 정책 응용 프로그램 시간 제한 값을 설정하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 정책 애플리케이션 시간 초과를 이해해야 합니다. 정책 애플리케이션 시간 초과 구성 및 조회 이해를 참조하십시오.
개요
애플리케이션 시간 초과 값은 애플리케이션 항목 데이터베이스와 해당 vsys TCP 및 UDP 포트 기반 시간 초과 테이블에 저장됩니다. 이 예에서는 FTP 사전 정의된 애플리케이션에 대해 정책 애플리케이션 시간 초과에 대한 디바이스를 75분(4500초)으로 설정합니다.
애플리케이션 시간 제한 값을 설정하면 Junos OS는 이러한 테이블을 새 값으로 업데이트합니다.
구성
절차
단계별 절차
정책 애플리케이션 시간 제한을 설정하려면 다음을 수행합니다.
비활성 시간 제한 값을 설정합니다.
[edit applications application ftp] user@host# set inactivity-timeout 4500
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show applications
.