Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Reordenación de las políticas de seguridad

Reordenar la política de seguridad permite mover las políticas después de que se hayan creado. Junos OS ofrece una herramienta para comprobar que el orden de las políticas de la lista de políticas es válido.

Descripción del orden de las políticas de seguridad

Junos OS ofrece una herramienta para comprobar que el orden de las políticas de la lista de políticas es válido.

Es posible que una política eclipse, o ensombrezca, a otra política. Considere los siguientes ejemplos:

Ejemplo 1

Ejemplo 2

En los ejemplos 1 y 2, donde la directiva permit-mail se configura después de la directiva permit-all de zona trust a zona untrust. Todo el tráfico procedente de la zona untrust coincide con la primera política permit-all y está permitido de forma predeterminada. Política de no coincidencias de permit-mailtráfico.

Dado que Junos OS realiza una búsqueda de políticas a partir de la parte superior de la lista, cuando encuentra una coincidencia para el tráfico recibido, no se ve más abajo en la lista de políticas. Para corregir el ejemplo anterior, simplemente puede invertir el orden de las políticas, poniendo primero la más específica:

En los casos en que hay docenas o cientos de políticas, el eclipsamiento de una política por otra puede no ser tan fácil de detectar. Para comprobar si se están siguiendo las directivas, introduzca cualquiera de los siguientes comandos:

Este comando notifica las políticas de shadowing y shadowed. Entonces es responsabilidad del administrador corregir la situación.

Nota:

El concepto de seguimiento de políticas se refiere a la situación en la que una política superior en la lista de políticas siempre surte efecto antes que una política posterior. Dado que la búsqueda de directiva siempre usa la primera directiva que encuentra que coincide con la tupla de cinco partes de la zona de origen y destino, la dirección de origen y destino y el tipo de aplicación, si se aplica otra directiva a la misma tupla (o a un subconjunto de la tupla), la búsqueda de directiva utiliza la primera directiva de la lista y nunca llega a la segunda.

Ejemplo: reordenación de políticas de seguridad

En este ejemplo se muestra cómo mover las políticas después de haberlas creado.

Requisitos

Antes de empezar:

Visión general

Para reordenar las políticas para corregir el sombreado, simplemente puede invertir el orden de las políticas, poniendo primero la más específica.

Configuración

Procedimiento

Procedimiento paso a paso

Para reordenar las políticas existentes:

  1. Reordene dos directivas existentes escribiendo el siguiente comando:

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security policies comando.