Agregar una regla

Usted está aquí: Políticas y objetos de seguridad > Políticas de seguridad.

Nota:

Para hacer referencia a las directivas de UTM y los perfiles de AppQoS en una regla de política de seguridad, cree políticas de UTM y perfiles de AppQoS antes de crear o editar reglas de políticas de seguridad si es necesario. Para crear directivas de UTM, vaya a Servicios de seguridad > Directivas de UTM > UTM y, para crear perfiles de AppQoS, vaya a QoS de red > aplicación.

Para agregar una regla:

Haga clic en el icono Agregar (+) en la parte superior derecha de la página Políticas de seguridad.

Aparecerán los campos editables en línea.
Complete la configuración de acuerdo con las directrices proporcionadas en la Tabla 1.
Haga clic en el icono de marca en el lado derecho de la fila una vez que haya terminado con la configuración.

Nota:
Desplácese hacia atrás en la barra horizontal si la marca en línea y los iconos de cancelación no están disponibles al crear una nueva regla.
Haga clic en Guardar para guardar los cambios o haga clic en Descartar para descartarlos.

Nota:
Debe realizar los pasos 3 y 4 antes de realizar cualquier otra acción en la interfaz de usuario de J-Web.

Tabla 1: Campos en la página Políticas de seguridad
Campo	Acción
Nombre de la regla	Escriba un nombre para la nueva regla o política.
Descripción de la regla	Escriba una descripción para la política de seguridad.
Política global	Active esta opción para especificar que la directiva definida es una directiva global y que las zonas no son necesarias.
Zona de origen	Para agregar fuentes: Haga clic en +. Aparecerá la página Seleccionar orígenes. Introduzca los siguientes datos: Zona: seleccione la zona de origen de la lista a la que desea asociar la regla. Direcciones: seleccione cualquiera o Específica. Nota: A partir de Juons OS versión 21.4R1, puede seleccionar las fuentes IP para definir los criterios coincidentes de una política. Además, puede ver el tipo de origen (Dirección, Grupo de direcciones, Comodín, Rango, fuentes IP) en la nueva columna Tipo. Las fuentes solo se muestran si se ha inscrito en ATP Cloud de Juniper. También puede descargar las fuentes con el comando `request services security-intelligence download`. Para seleccionar una dirección o fuente IP específica, seleccione las direcciones o fuentes IP en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. Puede seleccionar Excluir seleccionados para excluir sólo la dirección seleccionada de la lista. Para crear una nueva dirección, haga clic en +. Aparecerá la página Crear dirección. Para obtener más información sobre los campos, consulte la Tabla 2. Identidad de origen: seleccione la identidad de usuario en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado. Para crear una identidad de origen, haga clic en +. Escriba un nuevo nombre de usuario o identidad en la página Crear identidad de origen y haga clic en Aceptar. Fuente de identidad de origen: a partir de la versión 21.4R1 de Juons OS, puede seleccionar la fuente de amenazas de identidad de usuario para definir los criterios coincidentes de una política. Seleccione la fuente de amenazas de identidad de usuario en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. El recuento máximo de fuentes de amenazas de identidad de usuario es 1024. Es decir, la suma de la fuente de identidad de origen y la fuente de identidad de destino por política. Nota: Las fuentes solo se muestran si se ha inscrito en ATP Cloud de Juniper. También puede descargar las fuentes con el comando `request services security-intelligence download`.
Zona de destino	Para agregar un destino: Haga clic en +. Aparecerá la página Seleccionar destino. Introduzca los siguientes datos: Zona: seleccione la zona de destino de la lista a la que desea asociar la regla. Direcciones: seleccione cualquiera o Específica. Nota: A partir de Juons OS versión 21.4R1, puede seleccionar las fuentes IP para definir los criterios coincidentes de una política. Además, puede ver el tipo de origen (Dirección, Grupo de direcciones, Comodín, Rango, fuentes IP) en la nueva columna Tipo. Las fuentes solo se muestran si se ha inscrito en ATP Cloud de Juniper. También puede descargar las fuentes con el comando `request services security-intelligence download`. Para seleccionar una dirección o fuente IP específica, seleccione las direcciones o fuentes IP en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. Puede seleccionar Excluir seleccionados para excluir sólo la dirección seleccionada de la lista. Para crear una nueva dirección, haga clic en +. Para obtener más información sobre los campos, consulte la Tabla 2. Aplicaciones dinámicas: seleccione Cualquiera, Específico o Ninguno. Nota: La opción Aplicaciones dinámicas no es compatible con los inquilinos. Para seleccionar una aplicación específica, selecciónela en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. Nota: La casilla de verificación Seleccionar todo sólo está disponible cuando se buscan aplicaciones dinámicas específicas. Para crear una nueva aplicación, haga clic en +. Aparecerá la página Crear firma de aplicación. Para obtener más información sobre los campos, consulte Agregar firmas de aplicación. Nota: Para los sistemas lógicos, no se puede crear una aplicación dinámica en línea. Servicios: seleccione Cualquiera, Específico o Ninguno. Para seleccionar un servicio específico, selecciónelo en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverlo a la columna Seleccionado. Para crear un nuevo servicio, haga clic en +. Aparecerá la página Crear servicio. Para obtener más información sobre los campos, consulte la Tabla 3. Categoría de URL: seleccione cualquiera, Específica o Ninguna para que coincida con los criterios de una categoría de filtrado web. Para seleccionar una categoría de dirección URL específica, selecciónela en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. Nota: Esta opción no está disponible para sistemas lógicos ni inquilinos. Fuente de identidad de destino: a partir de la versión 21.4R1 de Juons OS, puede seleccionar la fuente de amenazas de identidad de usuario para definir los criterios coincidentes de una política. Seleccione la fuente de amenazas de identidad de usuario en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. El recuento máximo de fuentes de amenazas de identidad de usuario es 1024. Es decir, la suma de la fuente de identidad de origen y la fuente de identidad de destino por política. Nota: Las fuentes solo se muestran si se ha inscrito en ATP Cloud de Juniper. También puede descargar las fuentes con el comando `request services security-intelligence download`.
Acción	Seleccione una acción para realizar cuando el tráfico coincida con los criterios: Permitir: permite que el paquete pase a través del firewall. Denegar: bloquee y suelte el paquete, pero no envíe la notificación al origen. Rechazar: bloquee y suelte el paquete y envíe un aviso al host de origen.
Servicios avanzados Haga clic en +. Aparecerá la página Seleccionar servicios avanzados. Nota: Cuando la acción es Rechazar: Solo puede configurar las opciones Proxy SSL y Perfil de redireccionamiento. Sólo puede configurar la opción Proxy SSL si la aplicación dinámica es Ninguna. La opción Seguridad avanzada no se admite para sistemas lógicos ni inquilinos. Cuando la acción es Permitir: Para los sistemas lógicos, solo se admiten IPS, la política IPS, UTM, la política de prevención de amenazas, el perfil de redireccionamiento ICAP y las opciones AppQOS. Para los sistemas de inquilinos, solo se admiten la directiva de prevención de amenazas y AppQOS.
Proxy SSL	Seleccione la directiva de proxy SSL que desea asociar a esta regla en la lista.
UTM	Seleccione la directiva UTM que desea asociar a esta regla en la lista. La lista muestra todas las políticas de UTM disponibles. Si desea crear una nueva directiva de UTM, haga clic en Agregar nuevo. Aparecerá la página Crear directivas de UTM. Para obtener más información sobre cómo crear una nueva directiva UTM, consulte Agregar una directiva UTM.
Política de IPS	Seleccione la política IPS de la lista.
Política de prevención de amenazas	Seleccione la directiva de prevención de amenazas configurada de la lista.
Perfil de redireccionamiento ICAP	Seleccione el nombre del perfil de redireccionamiento ICAP configurado de la lista.
IPsec VPN	Seleccione el túnel VPN IPsec de la lista. Nota: Si selecciona Aplicaciones dinámicas en el destino, no se admite la opción VPN IPsec.
Nombre de directiva de emparejamiento	Escriba el nombre de la política con la misma VPN IPsec en la dirección opuesta para crear una política de par. Nota: Si selecciona Aplicaciones dinámicas en el destino, no se admite la opción Emparejar nombre de directiva.
Perfil QoS de la aplicación	Seleccione el perfil de AppQoS configurado de la lista. Si desea crear un nuevo perfil de AppQoS, haga clic en Agregar nuevo. Aparecerá la página Agregar perfil de AppQoS. Para obtener más información sobre cómo crear un nuevo perfil de AppQoS, consulte Agregar un perfil de QoS de aplicación.
Generación de perfiles de amenazas	A partir de Juons OS versión 21.4R1, puede habilitar esta opción para generar fuentes de generación de perfiles de amenazas. Nota: Las fuentes solo se muestran si se ha inscrito en ATP Cloud de Juniper. También puede descargar las fuentes con el comando `request services security-intelligence download`. Puede agregar direcciones de origen y destino, e identidades de origen y destino a las fuentes de amenazas. Una vez generadas las fuentes, puede configurar otras directivas de seguridad para que las usen de manera que coincidan con el tráfico designado y realicen acciones de directiva. Agregar IP de origen al feed: seleccione la fuente de amenazas de la lista para agregarla a la dirección IP de origen. Agregar identidad de origen al feed: seleccione la fuente de amenazas de la lista para agregarla a la identidad del usuario de origen. Agregar IP de destino al feed: seleccione la fuente de amenazas de la lista para agregarla a la dirección IP de destino. Agregar identidad de destino al feed: seleccione la fuente de amenazas de la lista para agregarla a la identidad del usuario de destino.
Captura de paquetes	Habilite esta opción para capturar tráfico de aplicaciones desconocido específico de una regla de política de seguridad. De forma predeterminada, esta opción está deshabilitada. Una vez habilitado, puede ver los detalles del archivo de captura de paquetes (PCAP) o descargar el archivo PCAP en la página Monitor > Registrar > sesiones .
Opciones de reglas Haga clic en Opciones de reglas. Aparecerá la página SELECCIONAR OPCIONES DE REGLA.
Registro
Inicio de sesión	Active esta opción para registrar un evento cuando se cree una sesión.
Cierre de sesión	Active esta opción para registrar un evento cuando se cierre la sesión.
Contar	Active esta opción para recopilar estadísticas del número de paquetes, bytes y sesiones que pasan por el firewall con esta directiva. Especifica los recuentos estadísticos. Se activa una alarma cuando el tráfico supera los umbrales de bytes y paquetes especificados. Nota: Los campos de umbral de alarma se desactivan si Activar recuento no está habilitado.
Autenticación Nota: Si selecciona Aplicaciones dinámicas en el destino, no se admite la opción Autenticación. Esta opción no se admite para sistemas lógicos ni sistemas inquilinos.
Inserción de la entrada de autenticación en JIMS	Active esta opción para insertar entradas de autenticación desde la autenticación de firewall, que están en estado de éxito de autenticación, a Juniper Identity Management Server (JIMS). Esto permitirá que el firewall de la serie SRX consulte JIMS para obtener mapeo de IP/usuario e información del dispositivo. Esta no es una opción obligatoria. Puede seleccionarlo cuando al menos un dominio esté configurado en Active Directory local o configurar la administración de identidades.
Tipo	Seleccione el tipo de autenticación de firewall en la lista. Las opciones disponibles son: Ninguna, Paso a través, Firewall de usuario y Autenticación web.
Perfil de acceso	Seleccione un perfil de acceso de la lista. Nota: Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web.
Nombre del cliente	Escriba el nombre de usuario del cliente o el nombre del grupo de usuarios del cliente. Nota: Esta opción no se admite si selecciona el tipo de autenticación como User-firewall.
Dominio	Seleccione un nombre de dominio que debe estar en un nombre de cliente de la lista. Nota: Esta opción sólo se admite si selecciona el tipo de autenticación como User-firewall.
Redireccionamiento web (http)	Active esta opción para redirigir las solicitudes HTTP al servidor web interno del dispositivo enviando una respuesta HTTP de redirección al sistema cliente para volver a conectarse al servidor web para la autenticación de usuarios. Nota: Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web.
Portal cautivo	Active esta opción para redirigir una solicitud HTTP o HTTPS de cliente al servidor web HTTPS interno del dispositivo. Las solicitudes de cliente HTTPS se redirigen cuando se configura el perfil de terminación SSL. Nota: Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web.
Interfaz	Seleccione una interfaz para el servidor web donde se redirige la solicitud HTTP o HTTPS del cliente. Nota: No puede editarlo una vez creada la directiva. Para editar la interfaz, vaya a Interfaces de conectividad > conectividad de red >.
Dirección IPv4	Introduzca la dirección IPv4 del servidor web donde se redirige la solicitud HTTP o HTTPS del cliente. Nota: No puede editarlo una vez creada la directiva. Para editar la interfaz, vaya a Interfaces de conectividad > conectividad de red >.
Perfil de terminación SSL	Seleccione un perfil de terminación SSL de la lista que contiene la configuración de conexión terminada SSL. La terminación SSL es un proceso en el que el firewall de la serie SRX actúa como un servidor proxy SSL y finaliza la sesión SSL desde el cliente. Para agregar un nuevo perfil de terminación SSL: Haga clic en Agregar. Aparecerá la página Crear perfil de terminación SSL. Introduzca los siguientes datos: Nombre: introduzca el nombre del perfil de terminación SSL; Máximo de 63 caracteres. Certificado de servidor: seleccione un certificado de servidor de la lista que se utilice para autenticar la identidad del servidor. Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Agregar un certificado de dispositivo. Para importar un certificado, haga clic en Importar. Para obtener más información sobre la importación de un certificado de dispositivo, consulte Importar un certificado de dispositivo.
Navegador de solo autenticación	Active esta opción para eliminar el tráfico HTTP que no sea del navegador para permitir que el portal cautivo se presente a los usuarios no autenticados que solicitan acceso mediante un navegador. Nota: Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web.
Agentes de usuario	Introduzca un valor de agente de usuario que se utiliza para comprobar que el tráfico del explorador del usuario es tráfico HTTP/HTTPS. Nota: Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web.
Configuración avanzada
Traducción de direcciones de destino	Seleccione de la lista la acción que desea realizar en una traducción de direcciones de destino. Las opciones disponibles son: Ninguno, Drop Translated y Drop Untranslated.
Opciones de redireccionamiento	Seleccione una acción de redireccionamiento de la lista. Las opciones disponibles son: Ninguno, Redirección Wx y Redirección inversa Wx. Nota: Esta opción no es compatible con SRX5000 línea de dispositivos.
Opciones de sesión TCP
Comprobación del número de secuencia	Habilite o deshabilite la comprobación de números de secuencia en segmentos TCP durante las inspecciones de estado en el nivel de regla de directiva. De forma predeterminada, la comprobación se realiza a nivel global. Para evitar errores de confirmación, desactive la comprobación de número de secuencia en Opciones globales > flujo > sesión TCP.
Comprobación del indicador SYN	Habilite o deshabilite la comprobación del bit TCP SYN antes de crear una sesión en el nivel de regla de directiva. De forma predeterminada, la comprobación se realiza a nivel global. Para evitar errores de confirmación, desactive la comprobación de indicadores SYN en Opciones globales > flujo > sesión TCP.
Horario
Horario	Haga clic en Programar y seleccione una de las programaciones configuradas de la lista. Para agregar una nueva programación, haga clic en Agregar nueva programación. Aparecerá la página Agregar nueva programación. Para obtener más información sobre cómo crear una nueva programación, consulte la tabla 4.

Tabla 2: Campos en la página Crear dirección
Campo	Acción
Nombre	Escriba un nombre para la dirección. El nombre debe ser una cadena única que debe comenzar con un carácter alfanumérico y puede incluir dos puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres.
Tipo de IP	Seleccione IPv4 o IPv6.
IPv4
Dirección IPv4	Introduzca una dirección IPv4 válida.
Subred	Introduzca una máscara de subred para la dirección IPv4.
IPv6
Dirección IPv6	Introduzca una dirección IPv6 válida.
Prefijo de subred	Introduzca un prefijo de subred para la dirección IPv6.

Tabla 3: Campos en la página Crear servicio
Campo	Acción
Configuración global
Nombre	Escriba un nombre único para la aplicación.
Descripción	Introduzca la descripción de la aplicación.
Protocolo de aplicación	Seleccione una opción de la lista para el protocolo de aplicación.
Hacer coincidir el protocolo IP	Seleccione una opción de la lista para que coincida con el protocolo IP.
Puerto de origen	Seleccione una opción de la lista para puerto de origen.
Puerto de destino	Seleccione una opción de la lista para el puerto de destino.
Tipo de ICMP	Seleccione una opción de la lista para Tipo de mensaje ICMP.
Código ICMP	Seleccione una opción de la lista para el código de mensaje ICMP.
Números de programa RPC	Escriba un valor para los números de programa RPC. El formato del valor debe ser W o X-Y. Donde, W, X e Y son enteros entre 0 y 65535.
Tiempo de espera de inactividad	Seleccione una opción de la lista para el tiempo de espera de inactividad específico de la aplicación.
UUID	Introduzca un valor para los objetos RPC de DCE. Nota: El formato del valor debe ser 12345678-1234-1234-1234-123456789012.
Grupo de aplicaciones personalizadas	Seleccione un nombre de conjunto de aplicaciones de la lista.
Términos Haga clic en +. Aparecerá la página Crear término.
Nombre	Escriba un nombre para el término.
ALG	Seleccione una opción de la lista para ALG.
Hacer coincidir el protocolo IP	Seleccione una opción de la lista para que coincida con el protocolo IP.
Puerto de origen	Seleccione una opción de la lista para puerto de origen.
Puerto de destino	Seleccione una opción de la lista para el puerto de destino.
Tipo de ICMP	Seleccione una opción de la lista para Tipo de mensaje ICMP.
Código ICMP	Seleccione una opción de la lista para el código de mensaje ICMP.
Números de programa RPC	Escriba un valor para los números de programa RPC. Nota: El formato del valor debe ser W o X-Y. Donde, W, X e Y son enteros entre 0 y 65535.
Tiempo de espera de inactividad	Seleccione una opción de la lista para el tiempo de espera de inactividad específico de la aplicación.
UUID	Introduzca un valor para los objetos RPC de DCE. Nota: El formato del valor debe ser 12345678-1234-1234-1234-123456789012.

Tabla 4: Campos en la página Agregar nueva programación
Campo	Acción
Nombre	Escriba el nombre de la programación.
Descripción	Introduzca una descripción para la programación.
Repite	Seleccione una opción de la lista para repetir la programación: Nunca Diario Semanal
Todo el día	Active esta opción para programar un evento para todo un día. Esta opción solo está disponible para la programación de tipo Nunca y Repetición diaria.
Fecha de inicio	Seleccione la fecha de inicio programada en el formato AAAA-MM-DD. Esta opción solo está disponible para la programación de tipo No repetir nunca.
Fecha de finalización	Seleccione la fecha de finalización programada en el formato AAAA-MM-DD. Esta opción solo está disponible para la programación de tipo No repetir nunca.
Hora de inicio	Introduzca la hora de inicio de la programación en formato HH:MM:SS 24 horas. Esta opción solo está disponible para la programación de tipo de repetición diaria.
Tiempo de parada	Introduzca la hora de finalización de la programación en formato HH:MM:SS de 24 horas. Esta opción solo está disponible para la programación de tipo de repetición diaria.
Repita el	Seleccione los días y la hora en los que desea repetir el horario. Para establecer la hora de los días seleccionados: Haga clic en Establecer hora o Establecer hora en días seleccionados. Aparecerá la página Establecer tiempo en días seleccionados. Introduzca los siguientes datos: Nombre: muestra los días seleccionados. Todo el día: activa esta opción para que el evento se ejecute durante todo el día. Hora de inicio: introduzca la hora de inicio en formato HH:MM:SS 24 horas. Tiempo de parada: introduzca el tiempo de detención en formato HH:MM:SS de 24 horas. Haga clic en Aceptar para guardar los cambios. Esta opción solo está disponible para la programación de tipo de repetición semanal.
Criterios de programación	Seleccione cualquiera de las siguientes opciones: La programación nunca se detiene: la programación puede estar activa para siempre (recurrente), pero solo según lo especificado por la programación diaria o semanal. Programar ventana de especificación: la programación puede estar activa durante un único intervalo de tiempo, según lo especificado por una fecha de inicio y una fecha de finalización. Introduzca los siguientes datos: Inicio de programación: introduzca la fecha de inicio de la programación en el formato AAAA-MM-DD. La programación finaliza: introduzca la fecha de inicio de la programación en el formato AAAA-MM-DD. Esta opción solo está disponible para la programación de tipo de repetición diaria y semanal.

Agregar una regla

Documentación relacionada