Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
list Table of Contents
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Reordenación de las políticas de seguridad

date_range 13-Nov-24

Reordenar la política de seguridad permite mover las políticas después de que se hayan creado. Junos OS proporciona instrucciones CLI y comandos para comprobar que el orden de las políticas en la lista de políticas y cambiar el orden si es necesario.

Ver y cambiar el orden de las políticas de seguridad

Las políticas de seguridad se ejecutan en el orden en que aparecen en el archivo de configuración, debe tener en cuenta lo siguiente:

  • El orden de las políticas es importante.
  • Las nuevas políticas van al final de la lista de políticas.
  • La última política es la política predeterminada, que tiene la acción predeterminada de denegar todo el tráfico.

Cuando haya configurado el número de directivas de seguridad, es posible que una directiva eclipse o haga sombra a otra directiva. En tal caso:

  • Puede ver la lista de políticas ocultas en la lista de políticas mediante el show security shadow-policies comando.
  • Puede cambiar el orden de las directivas y poner la directiva más específica antes que otra mediante la insert instrucción y before .

Considere los siguientes ejemplos:

Ejemplo 1

content_copy zoom_out_map
[edit]
user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all 
user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all 
user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any
user@host# set security policies from-zone trust to-zone untrust match destination-address any 
user@host# set security policies from-zone trust to-zone untrust match application any
user@host# set security policies from-zone trust to-zone untrust set then permit
user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any
user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any
user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any
user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny

Ejemplo 2

content_copy zoom_out_map
[edit]
user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all 
user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all 
user@host# set security address-book book1 address mail-untrust 192.0.2.1/24  
user@host# set security address-book book1 attach zone untrust
user@host# set security address-book book2 address mail-trust 192.168.1.1/24
user@host# set security address-book book2 attach zone trust
user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust
user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust 
user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail 
user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit 

En los ejemplos 1 y 2, donde la directiva permit-mail se configura después de la directiva permit-all de zona trust a zona untrust. Todo el tráfico procedente de la zona untrust coincide con la primera política permit-all y está permitido de forma predeterminada. Política de no coincidencias de permit-mailtráfico.

Dado que Junos OS realiza una búsqueda de políticas a partir de la parte superior de la lista, cuando encuentra una coincidencia para el tráfico recibido, no se ve más abajo en la lista de políticas. Para corregir el ejemplo anterior, simplemente puede invertir el orden de las políticas, poniendo primero la más específica:

content_copy zoom_out_map
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all

En los casos en que hay docenas o cientos de políticas, el eclipsamiento de una política por otra puede no ser tan fácil de detectar. Para comprobar si se están siguiendo las directivas, introduzca cualquiera de los siguientes comandos:

content_copy zoom_out_map
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
content_copy zoom_out_map
[edit]
user@host# run show security shadow-policies logical-system lsys-name global

Este comando notifica las políticas de shadowing y shadowed. Entonces es responsabilidad del administrador corregir la situación.

Nota:

El concepto de seguimiento de políticas se refiere a la situación en la que una política superior en la lista de políticas siempre surte efecto antes que una política posterior. Dado que la búsqueda de directiva siempre usa la primera directiva que encuentra que coincide con la tupla de cinco partes de la zona de origen y destino, la dirección de origen y destino y el tipo de aplicación, si se aplica otra directiva a la misma tupla (o a un subconjunto de la tupla), la búsqueda de directiva utiliza la primera directiva de la lista y nunca llega a la segunda.

external-footer-nav