이 페이지의 내용
보안 정책 순서 변경
보안 정책의 순서를 변경하면 정책이 생성된 후 정책을 이동할 수 있습니다. Junos OS는 정책 목록의 정책 순서가 유효한지 검증할 수 있는 도구를 제공합니다.
보안 정책 순서 이해
Junos OS는 정책 목록의 정책 순서가 유효한지 검증할 수 있는 도구를 제공합니다.
한 정책이 다른 정책을 가리거나 섀도우할 수 있습니다. 다음과 같은 예를 고려하십시오.
예제 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
예제 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
예제 1과 2에서 정책은 permit-mail
영역에서 trust
영역으로 untrust
정책 permit-all
다음에 구성됩니다. 영역에서 untrust
들어오는 모든 트래픽은 첫 번째 정책 permit-all
과 일치하며 기본적으로 허용됩니다. 정책permit-mail
과 일치하는 트래픽이 없습니다.
Junos OS는 목록 상단에서 시작하여 정책 조회를 수행하기 때문에 수신된 트래픽과 일치하는 항목을 찾으면 정책 목록에서 더 낮게 보이지 않습니다. 앞의 예를 수정하려면 정책의 순서를 반대로 하여 보다 구체적인 정책을 먼저 배치하면 됩니다.
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
수십 또는 수백 개의 정책이 있는 경우 한 정책을 다른 정책으로 대체하는 것을 감지하기가 쉽지 않을 수 있습니다. 정책이 섀도우 처리되고 있는지 확인하려면 다음 명령 중 하나를 입력합니다.
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
이 명령은 섀도우 및 섀도우 정책을 보고합니다. 그런 다음 상황을 수정하는 것은 관리자의 책임입니다.
정책 섀도잉(policy shadowing )의 개념은 정책 목록에서 상위에 있는 정책이 항상 후속 정책보다 먼저 적용되는 상황을 말합니다. 정책 조회는 항상 원본 및 대상 영역, 원본 및 대상 주소, 애플리케이션 유형의 다섯 부분으로 구성된 튜플과 일치하는 첫 번째 정책을 사용하므로 다른 정책이 동일한 튜플(또는 튜플의 하위 집합)에 적용되는 경우 정책 조회는 목록의 첫 번째 정책을 사용하고 두 번째 정책에 도달하지 않습니다.
또한보십시오
예: 보안 정책 순서 변경
이 예제에서는 정책을 만든 후 이동하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
영역을 만듭니다. 예: 보안 영역 생성을 참조하십시오.
주소록을 구성하고 정책에 사용할 주소를 만듭니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
개요
섀도잉을 수정하기 위해 정책의 순서를 바꾸려면 정책의 순서를 반대로 하여 보다 구체적인 정책을 먼저 배치하면 됩니다.
구성
절차
단계별 절차
기존 정책을 재정렬하려면 다음을 수행합니다.
다음 명령을 입력하여 두 개의 기존 정책을 재정렬합니다.
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security policies
.