Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reordenación de las políticas de seguridad

Reordenar la política de seguridad permite mover las políticas después de que se hayan creado. Junos OS proporciona instrucciones CLI y comandos para comprobar que el orden de las políticas en la lista de políticas y cambiar el orden si es necesario.

Ver y cambiar el orden de las políticas de seguridad

Las políticas de seguridad se ejecutan en el orden en que aparecen en el archivo de configuración, debe tener en cuenta lo siguiente:

  • El orden de las políticas es importante.
  • Las nuevas políticas van al final de la lista de políticas.
  • La última política es la política predeterminada, que tiene la acción predeterminada de denegar todo el tráfico.

Cuando haya configurado el número de directivas de seguridad, es posible que una directiva eclipse o haga sombra a otra directiva. En tal caso:

  • Puede ver la lista de políticas ocultas en la lista de políticas mediante el show security shadow-policies comando.
  • Puede cambiar el orden de las directivas y poner la directiva más específica antes que otra mediante la insert instrucción y before .

Considere los siguientes ejemplos:

Ejemplo 1

Ejemplo 2

En los ejemplos 1 y 2, donde la directiva permit-mail se configura después de la directiva permit-all de zona trust a zona untrust. Todo el tráfico procedente de la zona untrust coincide con la primera política permit-all y está permitido de forma predeterminada. Política de no coincidencias de permit-mailtráfico.

Dado que Junos OS realiza una búsqueda de políticas a partir de la parte superior de la lista, cuando encuentra una coincidencia para el tráfico recibido, no se ve más abajo en la lista de políticas. Para corregir el ejemplo anterior, simplemente puede invertir el orden de las políticas, poniendo primero la más específica:

En los casos en que hay docenas o cientos de políticas, el eclipsamiento de una política por otra puede no ser tan fácil de detectar. Para comprobar si se están siguiendo las directivas, introduzca cualquiera de los siguientes comandos:

Este comando notifica las políticas de shadowing y shadowed. Entonces es responsabilidad del administrador corregir la situación.

Nota:

El concepto de seguimiento de políticas se refiere a la situación en la que una política superior en la lista de políticas siempre surte efecto antes que una política posterior. Dado que la búsqueda de directiva siempre usa la primera directiva que encuentra que coincide con la tupla de cinco partes de la zona de origen y destino, la dirección de origen y destino y el tipo de aplicación, si se aplica otra directiva a la misma tupla (o a un subconjunto de la tupla), la búsqueda de directiva utiliza la primera directiva de la lista y nunca llega a la segunda.