Reordenación de las políticas de seguridad
Reordenar la política de seguridad permite mover las políticas después de que se hayan creado. Junos OS proporciona instrucciones CLI y comandos para comprobar que el orden de las políticas en la lista de políticas y cambiar el orden si es necesario.
Ver y cambiar el orden de las políticas de seguridad
Las políticas de seguridad se ejecutan en el orden en que aparecen en el archivo de configuración, debe tener en cuenta lo siguiente:
- El orden de las políticas es importante.
- Las nuevas políticas van al final de la lista de políticas.
- La última política es la política predeterminada, que tiene la acción predeterminada de denegar todo el tráfico.
Cuando haya configurado el número de directivas de seguridad, es posible que una directiva eclipse o haga sombra a otra directiva. En tal caso:
- Puede ver la lista de políticas ocultas en la lista de políticas mediante el
show security shadow-policiescomando. - Puede cambiar el orden de las directivas y poner la directiva más específica antes que otra mediante la
insertinstrucción ybefore.
Considere los siguientes ejemplos:
Ejemplo 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Ejemplo 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
En los ejemplos 1 y 2, donde la directiva permit-mail se configura después de la directiva permit-all de zona trust a zona untrust. Todo el tráfico procedente de la zona untrust coincide con la primera política permit-all y está permitido de forma predeterminada. Política de no coincidencias de permit-mailtráfico.
Dado que Junos OS realiza una búsqueda de políticas a partir de la parte superior de la lista, cuando encuentra una coincidencia para el tráfico recibido, no se ve más abajo en la lista de políticas. Para corregir el ejemplo anterior, simplemente puede invertir el orden de las políticas, poniendo primero la más específica:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
En los casos en que hay docenas o cientos de políticas, el eclipsamiento de una política por otra puede no ser tan fácil de detectar. Para comprobar si se están siguiendo las directivas, introduzca cualquiera de los siguientes comandos:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Este comando notifica las políticas de shadowing y shadowed. Entonces es responsabilidad del administrador corregir la situación.
El concepto de seguimiento de políticas se refiere a la situación en la que una política superior en la lista de políticas siempre surte efecto antes que una política posterior. Dado que la búsqueda de directiva siempre usa la primera directiva que encuentra que coincide con la tupla de cinco partes de la zona de origen y destino, la dirección de origen y destino y el tipo de aplicación, si se aplica otra directiva a la misma tupla (o a un subconjunto de la tupla), la búsqueda de directiva utiliza la primera directiva de la lista y nunca llega a la segunda.