EN ESTA PÁGINA
Descripción de políticas unificadas en dispositivos de seguridad
Descripción de cómo las políticas unificadas utilizan la información de AppID
Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones
Soporte de identificación de aplicaciones para micro-aplicaciones
Habilitación y desactivación de la detección de micro-aplicaciones
Soporte de identificación de aplicaciones para políticas unificadas
Descripción de políticas unificadas en dispositivos de seguridad
Con la creciente popularidad de las aplicaciones web, y debido al cambio de las aplicaciones tradicionales y completas basadas en el cliente a la Web, cada vez más tráfico se transmite a través de HTTP. Aplicaciones como la mensajería instantánea, el intercambio de archivos par a par, el correo web, las redes sociales y la colaboración de voz y video IP evaden los mecanismos de seguridad cambiando los puertos y protocolos de comunicación. La administración de cambios en el comportamiento de la aplicación requiere una modificación constante de las reglas de seguridad, y el mantenimiento de las reglas de política de seguridad plantea un desafío importante. Para manejar estos cambios en el comportamiento de la aplicación, necesita políticas de seguridad para administrar aplicaciones dinámicas.
Como respuesta a este desafío, a partir de Junos OS versión 18.2R1, las puertas de enlace de servicios serie SRX y vSRX de Juniper Networks admiten políticas unificadas, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad. Las políticas unificadas son políticas de seguridad que le permiten usar aplicaciones dinámicas como parte de las condiciones de coincidencia existentes de 5 tuplas o 6 tuplas (5 tuplas con firewall de usuario) para detectar cambios en las aplicaciones con el tiempo.
Una política unificada aprovecha la información de identidad de la aplicación determinada del módulo de identificación de aplicación (AppID). Después de identificar una aplicación determinada, se aplica una acción como permitir, denegar, rechazar o redirigir al tráfico según la política configurada en el dispositivo.
Cualquier tráfico denegado o rechazado por la política de seguridad según los criterios de capa 3 o capa 4 se descarta de inmediato. El tráfico permitido por la política de seguridad se evalúa aún más en la capa 7 según su información de AppID.
AppID se habilita cuando configura una política de seguridad con aplicaciones dinámicas o cuando habilita servicios como enrutamiento basado en políticas de aplicaciones (APBR), seguimiento de aplicaciones (Apptrack), calidad del servicio de aplicación (AppQoS), firewall de aplicaciones (AppFW), IDP o Sky ATP de Juniper en la política de seguridad.
Ventajas
Simplifica la administración de políticas de seguridad basadas en aplicaciones en la capa 7.
Permite que el dispositivo se adapte a los cambios dinámicos de tráfico en la red.
Ofrece un mayor control y extensibilidad para administrar el tráfico de aplicaciones dinámicas que una política de seguridad tradicional.
Descripción de cómo las políticas unificadas utilizan la información de AppID
La clasificación precisa del tráfico es esencial para la seguridad de la red en las arquitecturas de la nube y del centro de datos. Identificar y clasificar diferentes tipos de tráfico de aplicaciones (que se realizan en HTTP) también es un desafío, ya que las aplicaciones web incluyen documentos, datos, imágenes y archivos de audio y video.
AppID detecta las aplicaciones en su red, independientemente del puerto, el protocolo y el cifrado (TLS/SSL o SSH) u otras tácticas evasivas. Utiliza técnicas de inspección profunda de paquetes (DPI), una base de datos de firmas y direcciones y puertos conocidos para identificar aplicaciones. AppID proporciona la información, como la clasificación dinámica de aplicaciones, el protocolo predeterminado y el puerto de una aplicación. Para cualquier aplicación que se incluya en la lista dependiente de otra aplicación, AppID proporciona la información de la aplicación dependiente.
Una política unificada aprovecha la información de AppID para que coincida con la aplicación y tome medidas como se especifica en la política. En una configuración de política unificada, puede usar una aplicación dinámica predefinida (del paquete de firma de identificación de la aplicación) o una aplicación personalizada definida por el usuario como condición de coincidencia.
- Descripción de la identificación dinámica de aplicaciones dependientes
- Estados dinámicos de clasificación de aplicaciones
- Configuración del límite de transacciones para la identificación de aplicaciones
- Soporte de alta disponibilidad para la identificación de aplicaciones para políticas unificadas
Descripción de la identificación dinámica de aplicaciones dependientes
Una lista de aplicaciones dependientes incluye aplicaciones sobre las que se puede identificar una aplicación dinámica. Por ejemplo, la lista de aplicaciones dependientes de Facebook consta de HTTP2 y SSL.
El protocolo y el puerto predeterminados de una aplicación dinámica incluyen el protocolo y el puerto definidos para esa aplicación. Si el protocolo y el puerto de esa aplicación no están definidos, se considera la lista de protocolos y puertos predeterminados de sus aplicaciones dependientes.
Por ejemplo, la aplicación Facebook-Access depende de aplicaciones como HTTP, SSL y HTTP2. Por lo tanto, el protocolo y los puertos predeterminados de estas aplicaciones dependientes se consideran para la aplicación Facebook-Access.
La lista de aplicaciones dependientes y la asignación de protocolo y puerto de una aplicación pueden cambiar durante el tiempo de ejecución cada vez que se instala un nuevo paquete de firmas de aplicación o cambia la configuración de una aplicación personalizada. AppID proporciona estos detalles a la política de seguridad.
Estados dinámicos de clasificación de aplicaciones
Durante el proceso de identificación de la aplicación, DPI procesa cada paquete y lo clasifica en uno de los siguientes estados hasta que se identifica finalmente la aplicación:
Coincidencia previa: antes de que el DPI identifique una aplicación.
Final de la transacción: para las aplicaciones dinámicas, una transacción está completa, pero la identificación de la aplicación no es definitiva. Las aplicaciones a través de la capa 7 pueden seguir cambiando con cada transacción porque tienen aplicaciones dependientes. Por ejemplo, las aplicaciones de Facebook tienen aplicaciones dependientes como HTTP, SSL, etc.
Coincidencia final: una aplicación coincidente sobre la capa 7 se considera como la coincidencia final según el número máximo configurado de transacciones. Es decir, la coincidencia se considera como final solo después de completar el número máximo de transacciones.
Antes de identificar la aplicación final, la política no puede coincidir con precisión. Se ofrece una lista de políticas potenciales y se permite el tráfico mediante la política potencial de la lista. Después de identificar la aplicación, la política final se aplica a la sesión. Las acciones de política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico tal como se especifica en las reglas de política.
La clasificación de aplicaciones no se termina para aplicaciones basadas en transacciones, como Facebook. Para terminar la clasificación de estas aplicaciones, puede considerar los resultados de varias transacciones como la clasificación final.
Configuración del límite de transacciones para la identificación de aplicaciones
Puede configurar el número máximo de transacciones antes de concluir los resultados finales para identificar una aplicación mediante la set services application-identification maximum-transactions transactions-number instrucción. Cuando se configura el número máximo de transacciones, el DPI no se termina hasta que se completa el número configurado de transacciones.
Ejemplo:
user@host#
set services application-identification maximum-transactions 5
Puede configurar un número de transacción del 0 al 25. De forma predeterminada, se consideran cinco transacciones.
Si establece el recuento de transacciones como 0, la transacción no termina el DPI. Es posible que la coincidencia final de la aplicación no esté disponible; y la política de seguridad final no se aplica.
La tabla 1 muestra los diferentes estados de clasificación de identificación de aplicación cuando la transacción máxima se establece como cinco. Tenga en cuenta que los valores de la tabla son, por ejemplo, y no son valores reales. La transacción exacta puede variar según el patrón de tráfico.
Escenario |
Aplicación identificada |
Estado de identificación de la aplicación |
Transacciones |
---|---|---|---|
Primer paquete de la sesión |
Ninguno |
Pre-coincidencia |
0 |
Aplicación intermedia |
SSL |
Pre-coincidencia |
1 |
Aplicación intermedia identificada en carga desencriptar |
HTTP |
Pre-coincidencia |
2 |
Aplicación intermedia identificada |
FACEBOOK-ACCESS |
Pre-coincidencia |
3 |
Aplicación intermedia identificada |
FACEBOOK-CHAT |
Transacción final (transacción =1) |
4 |
Aplicación final identificada |
FACEBOOK-MAIL |
Coincidencia final (transacción = 2) |
4 |
En las políticas unificadas, no se admite la configuración de aplicaciones dinámicas que se puedan identificar según la información de capa 3 o capa 4 (excepto las aplicaciones basadas en ICMP). En su lugar, puede usar el grupo de valores predeterminados de junos que contiene valores predefinidos para aplicaciones basadas en capa 3 y capa 4.
Soporte de alta disponibilidad para la identificación de aplicaciones para políticas unificadas
Cuando se identifica una aplicación, su información de clasificación se guarda en la caché del sistema de aplicaciones (ASC).
Cuando el dispositivo de seguridad (por ejemplo, el dispositivo serie SRX) funciona en modo de clúster de chasis, la información guardada en el ASC se sincroniza entre el nodo principal y el nodo secundario.
En caso de clasificación dinámica de aplicaciones, la información de clasificación de la aplicación de sesión del DPI se sincroniza con el nodo secundario cuando la clasificación de la aplicación es final.
Durante una conmutación por error, la información de clasificación de la aplicación en el nodo secundario se encuentra en cualquiera de los siguientes estados:
Aplicación no identificada
Aplicación final identificada
Después de una conmutación por error, la información de clasificación de la aplicación que está disponible en el nuevo nodo principal se considera como la coincidencia final. La misma información se sincroniza con el nuevo nodo secundario, ya que la clasificación no continúa después de una conmutación por error. En el ejemplo de la tabla 2, la tabla 2 muestra el estado de clasificación de la aplicación en una configuración de clúster de chasis.
Estado de identificación de la aplicación |
Nodo de clúster de chasis |
Antes de la conmutación por error |
Después de la conmutación por error |
Detalles |
---|---|---|---|---|
Se identifica la aplicación final. Aplicación identificada: SSL:Facebook |
Nodo principal |
Aplicación identificada: SSL:Facebook |
Aplicación identificada: SSL:Facebook |
No hay cambios después de la conmutación por error porque la clasificación completa de la aplicación está sincronizada con el nodo secundario. |
Nodo secundario |
Aplicación identificada: SSL:Facebook |
Aplicación identificada: SSL:Facebook |
||
No se identifica la aplicación final. (Se identifica la aplicación parcial.) Aplicación identificada: SSL |
Nodo principal |
Aplicación identificada: SSL |
Aplicación identificada: APP-INVALID |
La identificación de la aplicación no continúa después de una conmutación por error. |
Nodo secundario |
Aplicación identificada: no disponible |
Aplicación identificada: APP-INVALID |
||
No se identifica la aplicación final. (Se identifica la aplicación parcial) |
Nodo principal |
Aplicación identificada: no disponible |
Aplicación identificada: APP-INVALID |
En este caso, se produjo una conmutación por error después de la primera inspección de paquetes y no se identifica ninguna aplicación. La identificación de la aplicación no continúa después de una conmutación por error. |
Nodo secundario |
Aplicación identificada: no disponible |
Aplicación identificada: APP-INVALID |
Habilitar o deshabilitar la caché del sistema de aplicaciones para servicios de aplicaciones
A partir de junos OS versión 18.2R1, el comportamiento predeterminado del ASC se cambia de la siguiente manera:
- Antes de la versión 18.2R1 de Junos OS: ASC está habilitado de forma predeterminada para todos los servicios, incluidos los servicios de seguridad.
-
A partir de la versión 18.2R1 de Junos OS en adelante: el ASC está habilitado de forma predeterminada; tenga en cuenta la diferencia en la búsqueda de servicios de seguridad:
-
La búsqueda de ASC para servicios de seguridad no está habilitada de forma predeterminada. Es decir, los servicios de seguridad, incluidas las políticas de seguridad, el firewall de aplicaciones (AppFW), el seguimiento de aplicaciones (AppTrack), la calidad del servicio de las aplicaciones (AppQoS), Juniper Sky ATP, IDP y UTM no utilizan el ASC de forma predeterminada.
-
La búsqueda de ASC para servicios varios está habilitada de forma predeterminada. Es decir, varios servicios, incluido el enrutamiento avanzado basado en políticas (APBR), utilizan el ASC para la identificación de aplicaciones de forma predeterminada.
-
El cambio en el comportamiento predeterminado del ASC afecta a la funcionalidad heredada de AppFW. Con el ASC deshabilitado de forma predeterminada para los servicios de seguridad a partir de Junos OS versión 18.2 en adelante, AppFW no utilizará las entradas presentes en el ASC.
Puede revertir al comportamiento del ASC como en las versiones de Junos OS antes de la versión 18.2 mediante el set services application-identification application-system-cache security-services
comando.
El dispositivo de seguridad puede volverse susceptible a las técnicas de evasión de aplicaciones si el ASC está habilitado para los servicios de seguridad. Le recomendamos que habilite el ASC solo cuando el rendimiento del dispositivo en su configuración predeterminada (deshabilitado para los servicios de seguridad) no sea suficiente para su caso de uso específico.
Utilice los siguientes comandos para habilitar o deshabilitar el ASC:
Habilite el ASC para los servicios de seguridad:
user@host#
set services application-identification application-system-cache security-servicesDeshabilite el ASC para varios servicios:
user@host#
set services application-identification application-system-cache no-miscellaneous-servicesDeshabilite el ASC habilitado para los servicios de seguridad:
user@host#
delete services application-identification application-system-cache security-servicesHabilite el ASC deshabilitado para varios servicios:
user@host#
delete services application-identification application-system-cache no-miscellaneous-services
Puede usar el show services application-identification application-system-cache
comando para comprobar el estado del ASC.
El siguiente resultado de ejemplo proporciona el estado del ASC:
user@host>
show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
En las versiones anteriores a la versión 18.2R1 de Junos OS, el almacenamiento en caché de aplicaciones estaba habilitado de forma predeterminada. Puede deshabilitarlo manualmente mediante el set services application-identification no-application-system-cache
comando.
user@host# set services application-identification no-application-system-cache
Consulte también
Soporte de aplicaciones de tunelización
A partir de Junos OS versión 20.4R1, hemos mejorado la búsqueda de políticas unificadas en el dispositivo de seguridad para administrar las aplicaciones de tunelización. Ahora puede bloquear una aplicación de tunelización específica mediante la política unificada.
Cuando desee bloquear ciertas aplicaciones de tunelización, como QUIC o SOCK, puede configurar estas aplicaciones de tunelización para una política unificada con acción de denegación o rechazo.
Soporte de identificación de aplicaciones para micro-aplicaciones
A partir de la versión 19.2R1 de Junos OS, puede administrar las aplicaciones en un nivel de subfunción con función de identificación de aplicaciones. En este documento, nos referimos a las sub-funciones de la aplicación como micro-aplicaciones.
Las micro-aplicaciones son parte del paquete de firma de aplicaciones. Debe habilitar la detección de microa aplicaciones en la identificación de aplicaciones y, luego, usarlas como criterios coincidentes en la política de seguridad.
AppID detecta las aplicaciones a nivel de subfunción en su red y la política de seguridad aprovecha la información de identidad de la aplicación determinada del módulo de identificación de aplicación (AppID). Después de identificar una aplicación determinada, se aplica una acción como permitir, denegar, rechazar o redirigir al tráfico según la política configurada en el dispositivo.
El concepto de microempresas es similar a las aplicaciones basadas en transacciones, en las que la aplicación anidada a través de una aplicación base cambia continuamente para la misma sesión.
Ejemplo:
Considere una aplicación dinámica MODBUS. READ y WRITE son sub-funciones o operaciones de la aplicación MODBUS. Para estas sub-funciones, debemos definir micro-aplicaciones como MODBUS-READ y MODBUS-WRITE. La ruta de clasificación de aplicaciones puede seguir cambiando entre MODBUS:MODBUS-READ y MODBUS:MODBUS-WRITE. En este caso, MODBUS es la aplicación base y MODBUS-READ y MODBUS-WRITE son aplicaciones anidadas, es decir, microajustes.
Puede configurar las micro-aplicaciones en la misma jerarquía que las aplicaciones dinámicas predefinidas en una política de seguridad y realizar la acción según las reglas de la política.
Al configurar estas micro-aplicaciones en políticas de seguridad, puede permitir o denegar sub-funciones MODBUS en lugar de bloquear o permitir toda la aplicación MODBUS.
- Clasificación de microa aplicaciones
- Lista de aplicaciones dependientes y puertos y protocolos predeterminados
- Cumplimiento de políticas para micro-aplicaciones
- Instalación de micro-aplicaciones
- Administración del tráfico de aplicaciones DNS-over-HTTP y DNS-over-TLS
Clasificación de microa aplicaciones
La clasificación de aplicaciones para micro-aplicaciones no llega a la coincidencia final, ya que la micro-aplicación sigue cambiando para la sesión. Una aplicación coincidente se considera como la coincidencia final solo después de completar el número máximo de transacciones.
AppID tiene el límite máximo de transacciones como 25, sin embargo, cada módulo de servicio tiene su propio límite según sus propios requisitos. Si se alcanza el límite específico del servicio antes del límite máximo de transacciones (25), el módulo de servicio marca que es la política como final. Sin embargo, AppID continúa la clasificación de aplicaciones y descarga la sesión al llegar al límite de 25.
Puede usar el set services application-identification max-transactions
comando para configurar el límite de transacciones.
Lista de aplicaciones dependientes y puertos y protocolos predeterminados
Una lista de aplicaciones dependientes incluye aplicaciones sobre las que se puede identificar una aplicación dinámica. El protocolo y el puerto predeterminados de una aplicación dinámica incluyen el protocolo y el puerto definidos para esa aplicación.
La política unificada usa la lista de aplicaciones dependientes y los protocolos y puertos predeterminados para aplicar la política de seguridad. La lista de aplicaciones dependientes y los protocolos y puertos predeterminados de la micro aplicación son los mismos que los de la aplicación base.
Ejemplo: La lista de aplicaciones dependientes y los puertos predeterminados de MODBUS-READ de microajuste son iguales que la lista de aplicaciones dependientes y los puertos predeterminados de MODBUS.
Cumplimiento de políticas para micro-aplicaciones
Las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar por el dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. Si configuró una política de seguridad con micro-aplicación como criterios de coincidencia, entonces el módulo de políticas requiere información de identificación de micro-aplicación de AppID.
La clasificación de aplicaciones con micro-aplicaciones no llega a la coincidencia final, ya que la micro-aplicación sigue cambiando para la sesión. Sin embargo, la coincidencia final de la aplicación es necesaria para la búsqueda y el procesamiento de políticas de la política. Puede usar el comando [edit security policies unified-policy-max-lookups
] para limitar la cantidad de búsquedas de políticas.
. Después de identificar la aplicación, la política final se aplica a la sesión. Las acciones de política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico tal como se especifica en las reglas de política.
Instalación de micro-aplicaciones
Las micro aplicaciones son parte del paquete de firma de aplicaciones. Cuando descarga el paquete de firma de la aplicación y lo instala, también se instalan micro aplicaciones y están disponibles para la configuración en las políticas de seguridad. Puede ver los detalles de las micro aplicaciones mediante el show services application-identification status
comando.
Si ha configurado micro-aplicaciones en una política de seguridad a partir de Junos OS versión 19.2, no es posible cambiar a la versión anterior de Junos OS. Para cambiar a la versión anterior de las versiones de Junos OS, debe quitar las micro aplicaciones configuradas en sus políticas de seguridad.
Administración del tráfico de aplicaciones DNS-over-HTTP y DNS-over-TLS
En la versión 20.4R1 de Junos OS, presentamos una nueva micro-aplicación, DNS-ENCRYPTED, para mejorar el paquete de firma de la aplicación. Al configurar esta micro-aplicación en una política de seguridad, puede tener control granular para el tráfico de aplicaciones DNS-over-HTTP y DNS-over-TLS.
La aplicación DNS-ENCRYPTED está habilitada de forma predeterminada. Puede deshabilitarlo mediante el request services application-identification application disable DNS-ENCRYPTED
comando.
Puede ver los detalles de las micro-aplicaciones mediante el show services application-identification application
comando.
Habilitación y desactivación de la detección de micro-aplicaciones
Puede activar o deshabilitar la detección de microa aplicaciones. De forma predeterminada, la detección de micro-aplicaciones está deshabilitada. Debe habilitar las micro-aplicaciones para usarlas en su política de seguridad.
Puede habilitar o deshabilitar microaficiones mediante los siguientes comandos:
Habilite la detección de micro-aplicaciones (desde el modo de configuración).
user@host# set services application-identification micro-apps
Deshabilite una micro-aplicación específica (desde el modo operativo).
user@host> request services application-identification application disable application-name
Ejemplo:
user@host>request services application-identification application disable junos:MODBUS
Ejemplo: Configuración de micro-aplicaciones
En este ejemplo, se muestra cómo configurar micro-aplicaciones en una política de seguridad para aplicar la política en el nivel de subfunción.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dispositivo serie SRX con Junos OS versión 19.2R1 o posterior. Este ejemplo de configuración se prueba en la versión 19.2R1 de Junos OS.
Licencia válida de función de identificación de aplicación instalada en un dispositivo serie SRX.
Antes de comenzar, instale una base de datos de firmas completa desde un IDP o un paquete de seguridad de identificación de aplicaciones. Consulte Descargar e instalar el paquete de firma de la aplicación Junos OS manualmente o Descargar e instalar el paquete de firma de aplicación de Junos OS como parte del paquete de seguridad de IDP.
Visión general
En este ejemplo, se crea una política de seguridad con micro-aplicaciones MODBUS-READ-COILS y MODBUS-WRITE-SINGLE-COIL, MODBUS-READ-COILS, MODBUS-WRITE-MULTIPLE-COILS. Se permite el tráfico de aplicaciones que coincida con estas micro-aplicaciones.
Configuración
- Configuración de políticas de seguridad con micro-aplicaciones
- Configuración de la calidad de servicio de las aplicaciones con micro-aplicaciones
Configuración de políticas de seguridad con micro-aplicaciones
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set services application-identification micro-apps set security policies from-zone untrust to-zone trust policy P1 match source-address any set security policies from-zone untrust to-zone trust policy P1 match destination-address any set security policies from-zone untrust to-zone trust policy P1 match application any set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS set security policies from-zone untrust to-zone trust policy P1 then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración.
Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:
Habilite la detección de micro-aplicaciones.
[edit] user@host# set services application-identification micro-apps
Defina una política de seguridad con otros criterios de coincidencia de políticas.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match application any
Defina las aplicaciones y las microafines como criterios coincidentes.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS
Defina la acción de política.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 then permit
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security policies
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security policies from-zone untrust to-zone trust from-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL junos:MODBUS-WRITE-MULTIPLE-COILS ]; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de la calidad de servicio de las aplicaciones con micro-aplicaciones
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración.
Para configurar un grupo de aplicaciones personalizado para la identificación de aplicaciones:
Defina los parámetros de configuración de AppQoS con junos:MODBUS-READ-COILS de micro-aplicación.
[edit] user@host# set class-of-service application-traffic-control rate-limiters RL1 bandwidth-limit 1000 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:MODBUS-READ-COILS user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then dscp-code-point 111110 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then loss-priority high user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server RL1 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then log
Cree una política de seguridad.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any
Defina la acción de política.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 then permit application-services application-traffic-control rule-set RS1
Resultados
Desde el modo de configuración, escriba el comando para confirmar la how class-of-service
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show class-of-service application-traffic-control { rate-limiters RL1 { bandwidth-limit 1000; } rule-sets RS1 { rule 1 { match { application junos:MODBUS-READ-COILS; } then { dscp-code-point 111110; loss-priority high; rate-limit { client-to-server RL1; } log; } } } }
Desde el modo de configuración, escriba el comando para confirmar la show security policies
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security policies from-zone untrust to-zone trust from-zone untrust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:MODBUS-READ-COILS]; } then { permit { application-services { application-traffic-control { rule-set RS1; } } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificar el estado de las micro-aplicaciones
Propósito
Verifique que las microaficiones estén habilitadas.
Acción
Utilice el comando para obtener la show services application-identification status
versión de micro-aplicaciones y usar show services application-identification application micro-applications
el comando para obtener los detalles de las micro-aplicaciones.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Disabled Max Number of entries in cache 0 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3172 Status Active PB Version 1.380.0-64.005 (build date May 13 2019) Engine version 5.3.0-56 (build date May 13 2019) Micro-App Version 1.0.0-0 Sessions 0
Salida de muestra
muestra micro-aplicaciones de aplicación de identificación de servicios
user@host> show services application-identification application micro-applications Micro Applications junos:BACNET-GET-EVENT-INFORMATION junos:BACNET-SUBSCRIBE-COV-PROPERTY junos:BACNET-LIFE-SAFETY-OPERATION junos:BACNET-READ-RANGE junos:BACNET-REQUEST-KEY junos:BACNET-AUTHENTICATE junos:BACNET-VT-DATA junos:BACNET-VT-CLOSE junos:BACNET-VT-OPEN junos:BACNET-REINITIALIZE-DEVICE junos:BACNET-CONFIRMED-TEXT-MESSAGE junos:BACNET-CONFIRMED-PRIVATE-XFER junos:BACNET-DEVICE-COMM-CONTROL junos:BACNET-WRITE-PROP-MULTIPLE junos:BACNET-WRITE-PROPERTY junos:BACNET-READ-PROP-MULTIPLE junos:BACNET-READ-PROP-CONDITIONAL junos:BACNET-READ-PROPERTY junos:BACNET-DELETE-OBJECT junos:BACNET-CREATE-OBJECT junos:BACNET-REMOVE-LIST-ELEMENT junos:BACNET-ADD-LIST-ELEMENT junos:BACNET-ATOMIC-WRITE-FILE junos:BACNET-ATOMIC-READ-FILE junos:BACNET-SUBSCRIBE-COV junos:SIEMENS-S7-SETUP-COMM junos:SIEMENS-S7-UPLOAD-START ......
Consulte Mostrar microempresas de aplicaciones de identificación de aplicaciones de servicios para obtener más detalles.
Verificar estadísticas de micro-aplicaciones
Propósito
Verifique que se apliquen las microapliquenciones.
Acción
Utilice los siguientes comandos para obtener los detalles de las micro-aplicaciones.
Salida de muestra
nombre de comando
user@host> show services application-identification statistics applications Last Reset: 2018-12-16 01:45:47 PST Application Sessions Bytes Encrypted MODBUS-READ-COILS 1 1026 No MODBUS-WRITE-SINGLE-COIL 1 1254 No
user@host> show services application-identification statistics applications details (Junos OS Release 20.3) Logical System: root-logical-system Last Reset: 2020-05-08 08:55:31 PDT Application Enc DPI final-match Pre-match Limits final-match NTP No 1 0 0 SYSLOG No 5 0 0
set services application-identification no-application-system-cache
comando.