Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Criação de regras unificadas de políticas de firewall

Use a página Criar regras para configurar regras de firewall que controlam o tráfego de trânsito dentro de um contexto (zona de origem para zona de destino). O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas.

O Security Director permite que um dispositivo tenha uma política específica do dispositivo e faça parte de várias políticas de grupo. As regras para um dispositivo são atualizadas nesta ordem:

  • Regras dentro de políticas aplicadas antes de 'políticas específicas do dispositivo'

  • Regras dentro de políticas específicas do dispositivo

  • Regras dentro de políticas aplicadas após 'políticas específicas do dispositivo'

Regras dentro de políticas aplicadas antes que "Políticas específicas de dispositivos" priorizem e não possam ser anuladas. No entanto, você pode substituir as regras dentro das políticas aplicadas após "políticas específicas do dispositivo", adicionando uma regra principal nas políticas específicas do dispositivo. Em um cenário empresarial, as regras "comuns devem ser aplicadas" podem ser atribuídas a um dispositivo a partir das políticas aplicadas antes de "Políticas específicas do dispositivo", e as regras "comuns e agradáveis de ter" podem ser atribuídas a um dispositivo a partir das políticas aplicadas após "políticas específicas do dispositivo".

Nota:

Uma exceção pode ser adicionada por dispositivo em "Políticas específicas do dispositivo". Para obter uma lista completa de regras aplicadas a um dispositivo, selecione Configurar > política de firewall > dispositivos. Selecione um dispositivo para visualizar regras associadas a esse dispositivo.

Para configurar uma regra de política unificada de firewall:

  1. Selecione Configure>Firewall Policy> Políticasunificadas.
  2. Selecione a política para a qual deseja definir regras e clique no ícone +.

    A página Criar regra aparece.

    Nota:

    Para editar as regras em linha, clique na política para tornar os campos editáveis.
  3. Preencha a configuração de acordo com as diretrizes fornecidas na Tabela 1.
  4. Clique em OK.

    As regras configuradas estão associadas à política selecionada.

Tabela 1: Configuração de regras de política unificada de firewall

Configuração

Diretriz

General Information

Nome da regra

Insira uma série única de caracteres alfanuméricos, cólons, períodos, traços e sublinhados. Não são permitidos espaços; o comprimento máximo é de 63 caracteres.

Descrição

Insira uma descrição das regras da política; o comprimento máximo é de 1024 caracteres. Os comentários inseridos neste campo são enviados ao dispositivo.

Identify the traffic that the rule applies to

(Fonte) Zona

Para dispositivos da Série SRX, especifique uma zona de origem (da zona) para definir o contexto da política. As políticas de zona são aplicadas no tráfego que entra em uma zona de segurança (zona de origem) para outra zona de segurança (zona de destino). Essa combinação de uma zona de origem e uma zona de destino é chamada de contexto.

A partir do Junos Space Security Director Release 16.2 para roteadores da Série MX, o campo da zona de origem funciona como uma interface de entrada de onde o pacote entra. A direção da correspondência é a entrada, se o pacote estiver entrando na interface. A direção da correspondência é a saída, se o pacote estiver saindo da interface. Configure a chave de entrada selecionando o valor agregado de multisserviços (AMS).

A partir do Junos Space Security Director Release 16.2, zonas polimórficas podem ser usadas como zona de origem e zona de destino, quando você atribui dispositivos da Série SRX e roteadores da Série MX à mesma política de grupo.

(Fonte) Endereço(es)

Digite um ou mais nomes de endereços ou nomes de configuração de endereços. Clique em Selecionar para adicionar endereços de origem.

Na página de endereço fonte:

  • Selecione a opção Incluir para adicionar os endereços de origem selecionados ou qualquer endereço à regra.

  • Selecione a opção Excluir para isentar os endereços de origem selecionados da regra.

  • Selecione a opção por filtro de metadados para escolher o endereço correspondente de metadados definidos pelo usuário como endereço fonte.

    • Filtro de metadados — Clique no campo para selecionar os metadados necessários da lista. Os endereços correspondentes são filtrados e listados no campo endereço combinado.

    • Endereços combinados — lista os endereços que correspondem aos metadados selecionados. Este endereço é usado como endereço fonte.

      Para cada expressão de metadados, um grupo de endereço dinâmico (DAG) exclusivo é criado. Este DAG tem a URL do servidor de feed apontando para a URL do servidor de feed do Security Director.

      O Office 365 agora está incluído na lista de feeds de terceiros para levar as informações de endpoint de serviços (endereços IP) do Microsoft Office 365 para o dispositivo da Série SRX. Esse feed funciona de forma diferente de outros feeds e requer determinados parâmetros de configuração, incluindo um nome pré-definido de "ipfilter_office365". Você deve habilitar o feed do Office 365 na Juniper ATP Cloud. Para entender como habilitar o feed do Office 365 na Juniper ATP Cloud e criar um DAG no dispositivo da Série SRX que se refere ao feed de ipfilter_office365, veja Ativar feeds de ameaças de terceiros.

      Configure a URL do servidor de feed usando o seguinte comando CLI para cada dispositivo da Série SRX ou vSRX que atua nas políticas baseadas em metadados.

      set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

Veja a criação de endereços e grupos de endereços.

(Fonte) ID do usuário

Especifique a identidade de origem (usuários e funções) a ser usada como critério de correspondência para a política. Você pode ter regras de política diferentes com base em funções de usuário e grupos de usuários.

Clique em Selecionar para especificar as identidades de origem para permitir ou negar. Na página de ID do usuário, você pode selecionar uma identidade de usuário da lista disponível ou adicionar uma nova identidade clicando em Adicionar nova ID do usuário.

Para excluir uma identidade de usuário do banco de dados do Security Director, clique em Excluir a ID do usuário e selecionar um valor da lista de quedas, que não está configurada em nenhuma política. Se você tentar excluir uma identidade de usuário configurada em uma política, uma mensagem com sua ID de referência e ID do usuário será exibida.

Nota:

Os IDs do usuário que são criados apenas no Security Director são exibidos na lista de quedas.

(Fonte) Perfil do usuário final

Selecione um perfil de usuário final da lista. A regra da política de firewall é aplicada a ela.

Quando o tráfego do dispositivo A chega a um dispositivo da Série SRX, a Série SRX obtém o endereço IP do dispositivo A do primeiro pacote de tráfego e o usa para pesquisar na tabela de autenticação de identidade do dispositivo uma entrada de identidade de dispositivo correspondente. Em seguida, ele combina esse perfil de identidade do dispositivo com uma política de segurança cujo campo de perfil de usuário final especifica o nome do perfil de identidade do dispositivo. Se uma correspondência for encontrada, a política de segurança é aplicada à emissão de tráfego do dispositivo A.

(Destino) Zona

Para dispositivos da Série SRX, especifique uma zona de destino (para zona) para definir o contexto da política. As políticas de zona são aplicadas no tráfego que entra em uma zona de segurança (zona de origem) para outra zona de segurança (zona de destino). Essa combinação de uma zona de origem e uma zona de destino é chamada de contexto.

A partir do Junos Space Security Director Release 16.2 para roteadores da Série MX, este campo funciona como uma interface de saída de onde o pacote entra. A direção da correspondência é a entrada, se o pacote estiver entrando na interface. A direção da correspondência é a saída, se o pacote estiver saindo da interface. Configure a chave de saída selecionando o valor agregado de multisserviços (AMS).

Zonas polimórficas podem ser usadas como zona de origem e zona de destino, quando você atribui dispositivos da Série SRX e roteadores da Série MX à mesma política de grupo.

(Destino) Endereço(es)

Selecione um ou mais nomes de endereços ou conjuntos de endereços. Clique em Selecionar para adicionar endereços de destino.

Na página de endereço de destino:

  • Selecione a opção Incluir para adicionar os endereços de destino selecionados ou qualquer endereço à regra.

  • Selecione a opção Excluir para isentar os endereços de destino selecionados da regra.

  • Selecione a opção por filtro de metadados para escolher o endereço correspondente de metadados definidos pelo usuário como endereço de destino.

    • Filtro de metadados — Clique no campo para selecionar os metadados necessários da lista. Os endereços correspondentes são filtrados e listados no campo endereço combinado.

    • Endereços combinados — lista os endereços que correspondem aos metadados selecionados. Este endereço é usado como endereço de destino.

      Para cada expressão de metadados, um grupo de endereço dinâmico (DAG) exclusivo é criado. Este DAG tem a URL do servidor de feed apontando para a URL do servidor de feed do Security Director.

      O Office 365 agora está incluído na lista de feeds de terceiros para levar as informações de endpoint de serviços (endereços IP) do Microsoft Office 365 para o dispositivo da Série SRX. Esse feed funciona de forma diferente de outros feeds e requer determinados parâmetros de configuração, incluindo um nome pré-definido de "ipfilter_office365". Você deve habilitar o feed do Office 365 na Juniper ATP Cloud. Para entender como habilitar o feed do Office 365 na Juniper ATP Cloud e criar um DAG no dispositivo da Série SRX que se refere ao feed de ipfilter_office365, veja Ativar feeds de ameaças de terceiros.

      Configure a URL do servidor de feed usando o seguinte comando CLI para cada dispositivo da Série SRX ou vSRX que atua nas políticas baseadas em metadados.

      set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

Veja a criação de endereços e grupos de endereços.

(Destino) Categoria DE URL

Selecione uma ou mais categoria de URL predefinida ou personalizada como critério de correspondência. A categoria URL é suportada em dispositivos que executam o Junos OS Release 18.4R3 e posteriores.

Clique em Selecionar para selecionar uma categoria de URL. Selecione uma ou mais categorias de URL predefinidas ou personalizadas da lista Disponível e mova-as para a lista selecionada. Clique em OK.

Assinatura de aplicativo

Configure o aplicativo dinâmico com um dos seguintes valores:

  • Nenhuma — configurar o aplicativo dinâmico como "Nenhum" ignora os resultados de classificação do AppID e não usa o aplicativo dinâmico em buscas de políticas de segurança. Dentro da lista de possíveis políticas de correspondência, se alguma política estiver configurada com um aplicativo dinâmico como "Nenhuma", essa política é compatível com a política final. Se as políticas de Camada 7 estiverem configuradas, a inspeção profunda de pacotes para o tráfego será iniciada.

    Ao atualizar a versão do Security Director (em que aplicativos dinâmicos não foram suportados), todas as políticas tradicionais são consideradas políticas com o aplicativo dinâmico configurado como nenhum.

  • Inclua qualquer serviço — configurar o aplicativo dinâmico como "Incluir qualquer serviço" instala a política com o aplicativo como um curinga (padrão). Se um aplicativo não puder ser especificado, configure "Incluir qualquer serviço" como o aplicativo padrão. O tráfego de dados que corresponde aos parâmetros em uma política unificada corresponde à política, independentemente do tipo de aplicativo.

    Se essa opção for selecionada, o valor padrão do serviço será padrão do Junos.

  • Inclua específico — Adicione assinaturas específicas de aplicativos predefinidos ou personalizados clicando em + ícone.

    Se essa opção for selecionada, o valor padrão do serviço será padrão do Junos.

(Protocolos de serviço) Serviços

Selecione um ou mais nomes de serviço (aplicativo). Selecione o Inclua Qualquer Serviço para desabilitar qualquer opção no construtor de lista de serviços. Selecione Incluir serviços específicos para permitir ou negar serviços da coluna de construtor de lista de serviços disponível. Clique em Adicionar um novo serviço para criar um serviço. Veja a criação de serviços e grupos de serviços. Selecione Padrão para ter o valor do serviço como padrão junos.

Quando o usuário configura um valor para um aplicativo dinâmico que não seja Nenhum, o valor padrão do serviço é padrão.

Advanced Security

Ação de regra

A ação se aplica a todo tráfego que corresponda aos critérios especificados.

  • Negar — O dispositivo derruba silenciosamente todos os pacotes para a sessão e não envia nenhuma mensagem de controle ativa, como resets de TCP ou ICMP inalcançável.

  • Rejeitar — o dispositivo envia um reset de TCP se o protocolo for TCP, e o dispositivo envia um reset de ICMP se os protocolos forem UDP, ICMP ou qualquer outro protocolo IP. Essa opção é útil quando se trata de recursos confiáveis para que os aplicativos não percam tempo de espera e, em vez disso, obtenham a mensagem ativa.

  • Permissão — o dispositivo permite o tráfego usando o tipo de autenticação de firewall que você aplicou à política.

  • Negar e redirecionar — o dispositivo envia uma mensagem em bloco com motivo de rejeição ou redirecionamento de URL para o usuário.

Redirecionamento do perfil

Selecione o perfil de redirecionamento da lista. Este campo só é exibido quando a ação é Negar e redirecionar.

Segurança avançada

As políticas de firewall fornecem uma camada central de segurança que garante que o tráfego de rede fique restrito apenas ao que uma política determina por meio de seus critérios de correspondência. Quando a política tradicional não for suficiente, selecione componentes de identificação de aplicativos para criar um perfil avançado de segurança para a política:

Nota:

Para o uso de opções avançadas de segurança, a ação de regra deve ser permissão.

  • Proxy SSL — Selecione essa opção para habilitar um protocolo de nível de aplicativo que fornece tecnologia de criptografia para a Internet.

    Clique em Adicionar proxy avançado para criar perfis de proxy de encaminhamento SSL. Veja a criação de perfis de proxy de encaminhamento SSL.

    Clique em Adicionar proxy reverso para criar perfis de proxy reverso SSL. Veja a criação de perfis de proxy reverso SSL.

  • UTM — Selecione essa opção para definir a proteção de Camada 7 contra ameaças do lado do cliente.

    Clique em Adicionar novidades para criar políticas de segurança de conteúdo. Veja a criação de políticas de segurança de conteúdo.

  • Política de prevenção de ameaças — Selecione uma opção para fornecer proteção e monitoramento para os perfis de ameaças selecionados, incluindo servidores de comando e controle, hosts infectados e malware.

  • Política IPS — oferece suporte para a política IPS dentro de uma política de firewall unificada. Selecione uma política de IPS para atribuir à política de firewall. Isso é suportado em dispositivos com o Junos OS Release 18.2 e posteriores. As políticas de IPS que não são atribuídas a nenhum dispositivo estão listadas no drop-down.

    Nota:

    A ação de regra deve ser Permissão.

    Para dispositivos com o Junos OS Release 18.2 em diante, a CLI é gerada para a política de IPS atribuída, juntamente com a política de firewall unificada.

Perfilamento de ameaças

O Juniper ATP Cloud Adaptive Threat Profiling permite que dispositivos da Série SRX gerem, propagam e consumam feeds de ameaças com base em sua própria detecção avançada e eventos compatíveis com políticas.

A partir do Junos Space Security Director Release 21.2, você pode configurar uma política de firewall com endereços de origem e destino como tipos de ameaças, que injeta o endereço IP de origem e o endereço IP de destino no feed de ameaças selecionado quando o tráfego corresponde à regra. O feed de ameaças pode ser alavancado por outros dispositivos como um grupo dinâmico de endereços (DAG).

Adicione IP de origem ao Feed — selecione um feed de segurança da lista. O endereço IP de origem é adicionado ao feed de ameaças quando o tráfego corresponde à regra.

Adicione IP de destino ao feed — selecione um feed de segurança da lista. O endereço IP de destino é adicionado ao feed de ameaças quando o tráfego corresponde à regra.

Nota:

Para usar esses campos, primeiro inscreva os dispositivos na ATP Cloud e depois configure o Policy Enforcer para exibir feeds na lista de quedas.

Rule Options

Perfil

Selecione um perfil padrão ou um perfil personalizado, ou você pode herdar um perfil de política de outra política. O perfil da política especifica as configurações básicas de uma política de segurança. Veja a criação de perfis de políticas de firewall.

Agenda

Os cronogramas de políticas permitem que você defina quando uma política está ativa e, portanto, são um critério implícito de correspondência. Você pode definir o dia da semana e a hora do dia em que a política está ativa. Por exemplo, você pode definir uma política de segurança que abre ou fecha o acesso com base no horário comercial. Vários agendadores podem ser aplicados a políticas diferentes, mas apenas um agendador pode estar ativo por política. Selecione um cronograma pré-economizado e as opções de programação são povoadas com os dados da agenda selecionada. Clique em Adicionar novo para criar outro cronograma.

Automated Rule Analysis and Placement

Análise de regras

Selecione esta opção se quiser analisar regras para evitar anomalias.

Nota:

Todas as regras com aplicativo dinâmico "Nenhum" são avaliadas primeiro.

Para ver o relatório de análise, clique em Ver relatório de análise.

Rule Placement

Localização/sequência

Exibe o número da sequência e a ordem em que a regra é colocada.

Para ver a colocação de regras em uma política, clique em Visualizar o posicionamento dentro da política.

Documentação relacionada

Tabela de histórico de lançamentos
Lançamento
Descrição
16.2
A partir do Junos Space Security Director Release 16.2 para roteadores da Série MX, o campo da zona de origem funciona como uma interface de entrada de onde o pacote entra.
16.2
A partir do Junos Space Security Director Release 16.2, zonas polimórficas podem ser usadas como zona de origem e zona de destino, quando você atribui dispositivos da Série SRX e roteadores da Série MX à mesma política de grupo.
16.2
A partir do Junos Space Security Director Release 16.2 para roteadores da Série MX, este campo funciona como uma interface de saída de onde o pacote entra.