보안 정책 순서 바꾸기

보안 정책은 구성 파일에 나타나는 순서대로 실행되므로 다음 사항에 유의해야 합니다.

• 정책 순서가 중요합니다.
• 새 정책은 정책 목록의 끝으로 이동합니다.
• 마지막 정책은 모든 트래픽을 거부하는 기본 작업이 있는 기본 정책입니다.

보안 정책 수를 구성하면 한 정책이 다른 정책을 가리거나 섀도우 처리할 수 있습니다. 이 경우:

• 명령을 사용하여 show security shadow-policies 정책 목록에서 섀도우 정책 목록을 볼 수 있습니다.
• 및 before 문을 사용하여 insert 정책 순서를 변경하고 보다 구체적인 정책을 다른 정책 앞에 배치할 수 있습니다.

다음 예를 고려하십시오.

예제 1

예제 2

예 1과 2에서는 정책이 permit-mail 영역에서 trust 영역untrust으로 정책 permit-all 다음에 구성됩니다. 영역에서 untrust 들어오는 모든 트래픽은 첫 번째 정책 permit-all 과 일치하며 기본적으로 허용됩니다. 정책permit-mail과 일치하는 트래픽이 없습니다.

Junos OS는 목록 맨 위부터 정책 조회를 수행하기 때문에 수신된 트래픽과 일치하는 항목을 찾으면 정책 목록에서 더 낮게 보이지 않습니다. 앞의 예를 수정하려면 정책의 순서를 반대로 하여 더 구체적인 정책을 먼저 배치하면 됩니다.

수십 또는 수백 개의 정책이 있는 경우 한 정책이 다른 정책으로 전환되는 것을 감지하기가 쉽지 않을 수 있습니다. 정책이 새도우 처리되고 있는지 확인하려면 다음 명령 중 하나를 입력합니다.

이 명령은 섀도잉 및 섀도우 정책을 보고합니다. 그런 다음 상황을 수정하는 것은 관리자의 책임입니다.

메모:

정책 섀도잉 의 개념은 정책 목록에서 더 높은 정책이 항상 후속 정책보다 먼저 적용되는 상황을 나타냅니다. 정책 조회는 항상 원본 및 대상 영역, 원본 및 대상 주소, 응용 프로그램 유형의 5개 부분으로 구성된 튜플과 일치하는 첫 번째 정책을 사용하기 때문에 다른 정책이 동일한 튜플(또는 튜플의 하위 집합)에 적용되는 경우 정책 조회는 목록의 첫 번째 정책을 사용하고 두 번째 정책에는 도달하지 않습니다.