Reordenando políticas de segurança
A reordenação da política de segurança permite mover as políticas depois que elas forem criadas. O Junos OS fornece declarações e comando de CLI para verificar se a ordem das políticas na lista de políticas e alterar a ordem, se necessário.
Pedido de política de segurança de visualização e mudança
As políticas de segurança são executadas na ordem de sua aparição no arquivo de configuração, e você deve estar ciente do seguinte:
- A ordem da política é importante.
- Novas políticas vão para o fim da lista de políticas.
- A última política é a política padrão, que tem a ação padrão de negar todo o tráfego.
Quando você configurou o número de políticas de segurança, é possível que uma política eclipse ou sombree outra política. Nesse caso:
- Você pode ver a lista de políticas sombreadas na lista de políticas usando o
show security shadow-policiescomando. - Você pode alterar a ordem das políticas e colocar a política mais específica antes das outras usando a declaração e
beforeainsertdeclaração.
Considere os seguintes exemplos:
Exemplo 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Exemplo 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
Nos exemplos 1 e 2, onde a política permit-mail é configurada após a política permit-all de zona trust a zona untrust. Todo tráfego vindo da zona untrust corresponde à primeira política permit-all e é permitido por padrão. Sem política permit-mailde correspondência de tráfego.
Como o Junos OS realiza uma pesquisa de políticas a partir do topo da lista, quando encontra uma correspondência para o tráfego recebido, ele não parece mais baixo na lista de políticas. Para corrigir o exemplo anterior, você pode simplesmente reverter a ordem das políticas, colocando a mais específica em primeiro lugar:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Nos casos em que existam dezenas ou centenas de políticas, o eclipse de uma política por outra pode não ser tão fácil de detectar. Para verificar se as políticas estão sendo sombreadas, insira qualquer um dos seguintes comandos:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Este comando relata as políticas sombreadas e sombreadas. Em seguida, é responsabilidade do administrador corrigir a situação.
O conceito de sombreamento de políticas refere-se à situação em que uma política mais elevada na lista de políticas sempre entra em vigor antes de uma política subsequente. Como a pesquisa de política sempre usa a primeira política, ela descobre que corresponde à tuple de cinco partes da zona de origem e destino, endereço de origem e destino e tipo de aplicativo, se outra política se aplicar ao mesmo tuple (ou um subconjunto do tuple), a pesquisa de políticas usa a primeira política da lista e nunca chega à segunda.