调度安全策略
计划程序是一项安全功能,允许在指定的持续时间内激活策略。您可以为策略处于活动状态的单个(非定期)或重复时隙定义调度程序。您可以创建计划程序而不考虑策略,这意味着计划程序不能由任何策略使用。
安全策略调度程序概述
调度程序是强大的功能,允许在指定的持续时间内激活策略。您可以为策略处于活动状态的单个(非定期)或重复时隙定义调度程序。您可以创建计划程序而不考虑策略,这意味着计划程序不能由任何策略使用。但是,如果您希望策略在计划时间内处于活动状态,则必须首先创建计划程序。
当计划程序超时时,关联的策略将被停用。仅当使用策略重新匹配时,与策略关联的所有会话才会随后超时
如果策略包含对计划程序的引用,则计划将确定策略何时处于活动状态,即何时可以用作流量的可能匹配项。计划程序允许您在一段时间内限制对资源的访问或删除限制。
以下准则适用于调度程序:
一个调度程序可以有多个与之关联的策略;但是,一个策略不能与多个调度程序关联。
策略在其引用的计划程序也处于活动状态期间处于活动状态。
当计划程序关闭时,策略不可用于策略查找。
调度程序可以配置为以下配置之一:
计划程序可以在单个时隙内处于活动状态,由开始日期和时间以及停止日期和时间指定。
调度程序可以永久处于活动状态(定期),但由每日计划指定。特定日期(时间段)的计划优先于每日计划。
计划程序可以在工作日计划指定的时隙内处于活动状态。
调度程序可以有两个时隙(每日和时隙)的组合。
示例:为不包括一天的每日计划配置计划程序
此示例说明如何为每天上午 8:00 至下午 5:00(星期日除外)的数据包匹配检查配置计划程序。
要求
准备工作:
了解安全策略调度程序。请参阅 安全策略概述。
在应用此配置之前配置安全区域。
概述
调度程序是强大的功能,允许在指定的持续时间内激活策略。您可以为策略处于活动状态的单个(非定期)或重复时隙定义调度程序。如果您希望策略在计划时间内处于活动状态,则必须先创建计划程序。
要配置调度程序,请输入一个有意义的名称以及调度程序的开始和停止时间。您还可以附加注释。
在此示例中,您将:
指定调度程序 sch1,该调度程序允许将引用该策略的策略用于每天上午 8:00 至下午 5:00(星期日除外)的数据包匹配检查。
注意:使用 24 小时格式 (hh:mm) 指定每日时间的小时和分钟。
创建策略 abc,并指定匹配条件和要对符合指定条件的流量执行的操作。并将调度程序绑定到策略以允许在指定日期内访问。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。
set schedulers scheduler sch1 daily start-time 08:00 stop-time 17:00 set schedulers scheduler sch1 sunday exclude set security policies from-zone green to-zone red policy abc match source-address any set security policies from-zone green to-zone red policy abc match destination-address any set security policies from-zone green to-zone red policy abc match application any set security policies from-zone green to-zone red policy abc then permit set security policies from-zone green to-zone red policy abc scheduler-name sch1 set security policies default-policy permit-all
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置调度程序:
设置调度程序。
[edit schedulers ] user@host# set scheduler sch1 daily start-time 08:00 stop-time 17:00 user@host# set scheduler sch1 sunday exclude
指定策略的匹配条件。
[edit security policies from-zone green to-zone red policy abc] user@host# set match source-address any destination-address any application any
指定操作。
[edit security policies from-zone green to-zone red policy abc] user@host# set then permit
将调度程序与策略关联。
[edit security policies from-zone green to-zone red policy abc ] user@host# set scheduler-name sch1
结果
在配置模式下,输入 show schedulers 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
[user@host]show schedulers
scheduler sch1 {
daily {
start-time 08:00 stop-time 17:00;
sunday exclude;
}
[edit]
[user@host]show security policies
from-zone green to-zone red {
policy abc {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
scheduler-name sch1;
}
}
default-policy {
permit-all;
}
如果完成设备配置,请从配置模式输入 commit 。
验证计划策略
目的
显示有关计划安全策略的信息。
行动
show schedulers使用 CLI 命令显示有关系统上配置的调度程序的信息。如果标识了特定的调度程序,则仅显示该调度程序的详细信息。
user@host# show schedulers
scheduler sche1 {
/* This is sched1 */
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
}
scheduler sche2 {
daily {
all-day;
}
sunday {
start-time 16:00 stop-time 17:00;
}
friday {
exclude;
}
}
scheduler sche3 {
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
daily {
start-time 10:00 stop-time 17:00
}
sunday {
start-time 12:00 stop-time 14:00;
start-time 16:00 stop-time 17:00;
}
monday {
all-day;
}
friday {
exclude;
}
}
意义
输出显示有关系统上配置的调度程序的信息。验证以下信息:
每日(定期)和仅一次性(非定期)调度程序配置正确。
如果关联了策略,则调度程序处于活动状态。