Reordenación de las políticas de seguridad
Reordenar la política de seguridad permite mover las políticas después de que se hayan creado. Junos OS ofrece una herramienta para comprobar que el orden de las políticas de la lista de políticas es válido.
Descripción del orden de las políticas de seguridad
Junos OS ofrece una herramienta para comprobar que el orden de las políticas de la lista de políticas es válido.
Es posible que una política eclipse, o ensombrezca, a otra política. Considere los siguientes ejemplos:
Ejemplo 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Ejemplo 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
En los ejemplos 1 y 2, donde la directiva permit-mail se configura después de la directiva permit-all de zona trust a zona untrust. Todo el tráfico procedente de la zona untrust coincide con la primera política permit-all y está permitido de forma predeterminada. Política de no coincidencias de permit-mailtráfico.
Dado que Junos OS realiza una búsqueda de políticas a partir de la parte superior de la lista, cuando encuentra una coincidencia para el tráfico recibido, no se ve más abajo en la lista de políticas. Para corregir el ejemplo anterior, simplemente puede invertir el orden de las políticas, poniendo primero la más específica:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
En los casos en que hay docenas o cientos de políticas, el eclipsamiento de una política por otra puede no ser tan fácil de detectar. Para comprobar si se están siguiendo las directivas, introduzca cualquiera de los siguientes comandos:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Este comando notifica las políticas de shadowing y shadowed. Entonces es responsabilidad del administrador corregir la situación.
El concepto de seguimiento de políticas se refiere a la situación en la que una política superior en la lista de políticas siempre surte efecto antes que una política posterior. Dado que la búsqueda de directiva siempre usa la primera directiva que encuentra que coincide con la tupla de cinco partes de la zona de origen y destino, la dirección de origen y destino y el tipo de aplicación, si se aplica otra directiva a la misma tupla (o a un subconjunto de la tupla), la búsqueda de directiva utiliza la primera directiva de la lista y nunca llega a la segunda.
Ver también
Ejemplo: reordenación de políticas de seguridad
En este ejemplo se muestra cómo mover las políticas después de haberlas creado.
Requisitos
Antes de empezar:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure la libreta de direcciones y cree direcciones para usarlas en la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Visión general
Para reordenar las políticas para corregir el sombreado, simplemente puede invertir el orden de las políticas, poniendo primero la más específica.
Configuración
Procedimiento
Procedimiento paso a paso
Para reordenar las políticas existentes:
Reordene dos directivas existentes escribiendo el siguiente comando:
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security policies comando.