Reordenando políticas de segurança
A reordenação da política de segurança permite mover as políticas depois que elas forem criadas. O Junos OS oferece uma ferramenta para verificar se a ordem das políticas na lista de políticas é válida.
Entendendo a ordenação de políticas de segurança
O Junos OS oferece uma ferramenta para verificar se a ordem das políticas na lista de políticas é válida.
É possível que uma política eclipse, ou sombra, outra política. Considere os seguintes exemplos:
Exemplo 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Exemplo 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
Nos exemplos 1 e 2, onde a política permit-mail
é configurada após a política permit-all
de zona trust
a zona untrust
. Todo tráfego vindo da zona untrust
corresponde à primeira política permit-all
e é permitido por padrão. Sem política permit-mail
de correspondência de tráfego.
Como o Junos OS realiza uma pesquisa de políticas a partir do topo da lista, quando encontra uma correspondência para o tráfego recebido, ele não parece mais baixo na lista de políticas. Para corrigir o exemplo anterior, você pode simplesmente reverter a ordem das políticas, colocando a mais específica em primeiro lugar:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Nos casos em que existam dezenas ou centenas de políticas, o eclipse de uma política por outra pode não ser tão fácil de detectar. Para verificar se as políticas estão sendo sombreadas, insira qualquer um dos seguintes comandos:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Este comando relata as políticas sombreadas e sombreadas. Em seguida, é responsabilidade do administrador corrigir a situação.
O conceito de sombreamento de políticas refere-se à situação em que uma política mais elevada na lista de políticas sempre entra em vigor antes de uma política subsequente. Como a pesquisa de política sempre usa a primeira política, ela descobre que corresponde à tuple de cinco partes da zona de origem e destino, endereço de origem e destino e tipo de aplicativo, se outra política se aplicar ao mesmo tuple (ou um subconjunto do tuple), a pesquisa de políticas usa a primeira política da lista e nunca chega à segunda.
Veja também
Exemplo: Reordenação de políticas de segurança
Este exemplo mostra como mover políticas depois que elas foram criadas.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure a lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Visão geral
Para reordenar políticas para corrigir o sombreamento, você pode simplesmente reverter a ordem das políticas, colocando a mais específica em primeiro lugar.
Configuração
Procedimento
Procedimento passo a passo
Para reordenar as políticas existentes:
Reordene duas políticas existentes entrando no seguinte comando:
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security policies
comando.