Políticas de segurança globais

Em um firewall stateful do Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego conforme ele passa pelo firewall. As políticas de segurança exigem que o tráfego entre em uma zona de segurança e saia de outra zona de segurança. Essa combinação de zona a zona é chamada de context. Cada contexto contém uma lista ordenada de políticas. Cada política é processada na ordem em que é definida em um contexto. O tráfego é classificado combinando a política de zona a zona, endereço de origem, endereço de destino e o aplicativo que o tráfego transporta em seu cabeçalho de protocolo. Cada política global, como em qualquer outra política de segurança, tem as seguintes ações: permitir, negar, rejeitar, registrar, contar.

Você pode configurar uma política de segurança a partir da interface do usuário. As políticas de segurança controlam o fluxo de tráfego de uma zona para outra, definindo os tipos de tráfego permitido de fontes IP específicas para destinos IP específicos em horários programados. Isso funciona bem na maioria dos casos, mas não é flexível o suficiente. Por exemplo, se você quiser realizar ações no tráfego, você precisa configurar políticas para cada contexto possível. Para evitar a criação de várias políticas em todos os contextos possíveis, você pode criar uma política global que engloba todas as zonas ou uma política multizona que engloba várias zonas.

Usando uma política global, você pode regular o tráfego com endereços e aplicativos, independentemente de suas zonas de segurança, fazendo referência a endereços definidos pelo usuário ou ao endereço predefinido "qualquer". Esses endereços podem abranger várias zonas de segurança. Por exemplo, se você quiser fornecer acesso a ou a várias zonas, você pode criar uma política global com o endereço "qualquer", que abrange todos os endereços em todas as zonas. Selecionar o endereço "qualquer" corresponde a qualquer endereço IP e quando "qualquer" é usado como endereço de origem/destino em qualquer configuração de política global, ele corresponde ao endereço de origem/destino de qualquer pacote.

Usando uma política global, você também pode fornecer acesso a várias zonas de origem e várias zonas de destino em uma única política. No entanto, recomendamos que, por razões de segurança e para evitar a falsificação de tráfego, quando você cria uma política de multizona você usa critérios de correspondência idênticos (endereço de origem, endereço de destino, aplicativo) e uma ação idêntica. Na Figura 1, por exemplo, se você criar uma política multizona que inclua DMZ e Untrust a partir de zonas, falsificar tráfego a partir de 203.0.113.0/24 da zona DMZ pode combinar com a política com sucesso e alcançar o host protegido na zona de confiança para zona.

Nota:

Políticas globais sem informações de zona a zona não oferecem suporte a túneis VPN porque os túneis vpn exigem informações específicas da zona.

Quando a pesquisa de políticas é realizada, as políticas são verificadas na seguinte ordem: intra-zona (confiança para confiança), inter-zona (confiança para não confiável), depois global. Semelhante às políticas regulares, as políticas globais em um contexto são ordenadas, de modo que a primeira política combinada seja aplicada ao tráfego.

Nota:

Se você tem uma política global, certifique-se de não ter definido uma regra de "catch-all", como, fonte de correspondência qualquer, destino de correspondência qualquer, ou aplicativo compatível qualquer nas políticas intra-zona ou entre zonas, porque as políticas globais não serão verificadas. Se você não tem uma política global, então é recomendado que você inclua uma ação de "negar tudo" em suas políticas intra-zona ou entre zonas. Se você tem uma política global, então você deve incluir uma ação de "negar tudo" na política global.

Em sistemas lógicos, você pode definir políticas globais para cada sistema lógico. As políticas globais em um sistema lógico estão em um contexto separado do que outras políticas de segurança, e têm uma prioridade menor do que as políticas de segurança regulares em uma pesquisa de políticas. Por exemplo, se uma pesquisa de políticas for realizada, as políticas de segurança regulares têm prioridade em relação às políticas globais. Portanto, em uma pesquisa de políticas, as políticas de segurança regulares são pesquisadas primeiro e, se não houver correspondência, a pesquisa de políticas globais é realizada.

Ao contrário de outras políticas de segurança no Junos OS, as políticas globais não fazem referência a zonas de origem e destino específicas. As políticas globais fazem referência ao endereço predefinido "qualquer" ou endereços definidos pelo usuário que podem abranger várias zonas de segurança. As políticas globais oferecem a flexibilidade de realizar ações no tráfego sem restrições de zona. Por exemplo, você pode criar uma política global para que cada host em cada zona possa acessar o site da empresa, por exemplo, www.example.com. Usar uma política global é um atalho conveniente quando existem muitas zonas de segurança. O tráfego é classificado combinando seu endereço de origem, endereço de destino e o aplicativo que o tráfego transporta em seu cabeçalho de protocolo.

Este exemplo mostra como configurar uma política global para negar ou permitir o tráfego.

Ao contrário de outras políticas de segurança no Junos OS, as políticas globais permitem que você crie políticas de multizona. Uma política global é um atalho conveniente quando existem muitas zonas de segurança, porque permite que você configure várias zonas de origem e várias zonas de destino em uma política global, em vez de ter que criar uma política separada para cada par de zona/zona, mesmo quando outros atributos, como endereço de origem ou endereço de destino, são idênticos.