Políticas de seguridad global

En un firewall de estado de Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del firewall. Las políticas de seguridad requieren que el tráfico entre en una zona de seguridad y salga de otra. Esta combinación de zona de origen y zona hacia se denomina context. Cada contexto contiene una lista ordenada de políticas. Cada política se procesa en el orden en que se define dentro de un contexto. El tráfico se clasifica haciendo coincidir la dirección de origen, la dirección de destino y la aplicación que lleva el tráfico en su encabezado de protocolo. Cada política global, como cualquier otra política de seguridad, tiene las siguientes acciones: permitir, denegar, rechazar, registrar, contar.

Puede configurar una política de seguridad desde la interfaz de usuario. Las políticas de seguridad controlan el flujo de tráfico de una zona a otra mediante la definición de los tipos de tráfico permitidos desde fuentes IP específicas a destinos IP específicos a horas programadas. Esto funciona bien en la mayoría de los casos, pero no es lo suficientemente flexible. Por ejemplo, si desea realizar acciones en el tráfico, debe configurar políticas para cada contexto posible. Para evitar crear varias directivas en todos los contextos posibles, puede crear una directiva global que abarque todas las zonas o una directiva multizona que abarque varias zonas.

Mediante una política global, puede regular el tráfico con direcciones y aplicaciones, independientemente de sus zonas de seguridad, haciendo referencia a direcciones definidas por el usuario o a la dirección predefinida "cualquiera". Estas direcciones pueden abarcar varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso a varias zonas o desde ellas, puede crear una política global con la dirección "cualquiera", que abarca todas las direcciones de todas las zonas. La selección de la dirección "cualquiera" coincide con cualquier dirección IP y, cuando se utiliza "cualquiera" como dirección de origen o destino en cualquier configuración de directiva global, coincide con la dirección de origen/destino de cualquier paquete.

Mediante una directiva global, también puede proporcionar acceso a varias zonas de origen y varias zonas de destino en una sola política. Sin embargo, se recomienda que, por motivos de seguridad y para evitar la suplantación de tráfico, cuando cree una directiva multizona utilice criterios de coincidencia idénticos (dirección de origen, dirección de destino, aplicación) y una acción idéntica. En la figura 1, por ejemplo, si crea una directiva multizona que incluye DMZ y zonas de desconfianza, la suplantación de tráfico de 203.0.113.0/24 desde la zona DMZ podría coincidir correctamente con la directiva y llegar al host protegido en la zona Confiar a.

Nota:

Las políticas globales sin información de zona y de zona no admiten túneles VPN porque los túneles VPN requieren información de zona específica.

Cuando se realiza una búsqueda de directivas, las directivas se comprueban en el orden siguiente: intrazona (de confianza a confianza), interzona (de confianza a no confianza) y, a continuación, global. De manera similar a las políticas regulares, las políticas globales en un contexto se ordenan, de modo que la primera política coincidente se aplica al tráfico.

Nota:

Si tiene una directiva global, asegúrese de no haber definido una regla general como, por ejemplo, hacer coincidir el origen de cualquiera, hacer coincidir el destino cualquiera o hacer coincidir la aplicación en las políticas intrazona o interzona, ya que las directivas globales no se comprobarán. Si no tiene una política global, se recomienda que incluya una acción de "denegar todo" en sus políticas dentro de la zona o entre zonas. Si tiene una política global, debe incluir una acción de "denegar todo" en la política global.

En los sistemas lógicos, puede definir directivas globales para cada sistema lógico. Las políticas globales en un sistema lógico se encuentran en un contexto distinto al de otras políticas de seguridad y tienen una prioridad menor que las políticas de seguridad normales en una búsqueda de directivas. Por ejemplo, si se realiza una búsqueda de directivas, las políticas de seguridad regulares tienen prioridad sobre las directivas globales. Por lo tanto, en una búsqueda de directivas, primero se buscan las directivas de seguridad normales y, si no hay coincidencias, se realiza una búsqueda de directivas globales.

A diferencia de otras políticas de seguridad de Junos OS, las políticas globales no hacen referencia a zonas de origen y destino específicas. Las políticas globales hacen referencia a la dirección predefinida "cualquiera" o direcciones definidas por el usuario que pueden abarcar varias zonas de seguridad. Las políticas globales le brindan la flexibilidad de realizar acciones en el tráfico sin restricciones de zona. Por ejemplo, puede crear una directiva global para que todos los hosts de cada zona puedan acceder al sitio web de la empresa, por ejemplo, www.example.com. El uso de una política global es un atajo conveniente cuando hay muchas zonas de seguridad. El tráfico se clasifica haciendo coincidir su dirección de origen, dirección de destino y la aplicación que el tráfico lleva en su encabezado de protocolo.

En este ejemplo se muestra cómo configurar una directiva global para denegar o permitir tráfico.

A diferencia de otras políticas de seguridad en Junos OS, las políticas globales le permiten crear políticas multizona. Una directiva global es un atajo cómodo cuando hay muchas zonas de seguridad, ya que permite configurar varias zonas de origen y varias zonas de destino en una directiva global en lugar de tener que crear una directiva independiente para cada par de zona o zona, incluso cuando otros atributos, como la dirección de origen o la dirección de destino, son idénticos.