Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar políticas de aplicación en firewalls serie SRX

Las políticas de aplicación son políticas de seguridad en el diseño de garantía de WAN de Juniper, donde se define qué red y los usuarios pueden acceder a qué aplicaciones, y según qué política de direccionamiento del tráfico. Para definir políticas de aplicación, debe crear redes, aplicaciones y perfiles de dirección de tráfico. A continuación, utilice estos detalles como criterios coincidentes para permitir el acceso a aplicaciones o destinos, o bloquear el acceso desde ellas.

En el portal de nube de Juniper Mist™, la configuración Redes o usuarios determina la zona de origen. La configuración Aplicaciones + dirección del tráfico determina la zona de destino. Las rutas de dirección del tráfico determinan la zona de destino en los firewalls serie SRX de Juniper Networks®, por lo que asegúrese de asignar perfiles de dirección de tráfico a las políticas de aplicación.

Notas sobre las políticas de aplicación:

  • Puede definir políticas de aplicación de una de tres maneras: a nivel de la organización, dentro de una plantilla de borde WAN o dentro de un perfil de concentrador.

  • Cuando define una política de aplicación en el nivel de la organización, puede importar y usar la política en varias plantillas de borde WAN o en perfiles de concentrador. Es decir, puede seguir el modelo "definir una vez, usar varias veces".

  • Cuando se define una política de aplicación directamente dentro de un perfil de borde o hub de WAN, el alcance de la política está limitado solo a esa plantilla de borde wan o perfil de concentrador. No puede volver a usar la política en otras plantillas o perfiles.

  • Mist evalúa y aplica políticas en el orden de su aparición en la lista de políticas.

Configurar políticas de aplicación

Para configurar las políticas de aplicación:

  1. En el portal de nube de Juniper Mist, seleccione Organización > WAN > Política de aplicación para crear una política a nivel de organización.
    Si desea crear la política en una plantilla de borde WAN o en un nivel de perfil de concentrador, seleccione Organización > WAN > plantillas de borde wan o perfil de concentrador y seleccione la plantilla o el perfil necesarios.
  2. Desplácese hacia abajo hasta la sección Políticas de aplicación y haga clic en Agregar política de aplicación.
    Nota:

    Puede importar una política global en la plantilla de borde wan o en el perfil de concentrador haciendo clic en la opción Importar política de aplicación .

    El portal de nube de Juniper Mist muestra las políticas importados en gris para diferenciarse de las políticas locales definidas en la plantilla o el perfil.
  3. Haga clic en el nuevo campo en la columna Nombre , asigne un nombre a la política y, a continuación, haga clic en la marca azul para aplicar los cambios.

    En la siguiente figura (Figura 1) se muestran las opciones disponibles para usted cuando se configura una política de aplicación.

    Figura 1: Opciones de configuración de la política de aplicación Application Policy Configuration Options
    La siguiente tabla ( Cuadro 1) explica las opciones de configuración disponibles para una política de aplicación.
    Tabla 1: Opciones de políticas de aplicación
    Descripción de campo
    No.

    Abreviatura de número. Esta entrada indica la posición de la política de aplicación. Mist evalúa y aplica políticas según su posición, es decir, el orden en que se enumeran en este campo.

    Nombre Nombre de la política de aplicación. Puede usar hasta 32 caracteres para dar nombre a la aplicación, incluidos alfanuméricos, guiones y guiones.
    Red/usuario

    Redes y usuarios de la red. Las redes son fuentes de la solicitud en su red. Puede seleccionar una red de la lista disponible de redes. Si ha asociado un usuario a la red, el portal de Mist muestra el detalle como user.network formato en el menú desplegable.
    Acción

    Acciones de política. Seleccione una de estas acciones de política:

    • Conceder

    • Bloquear
    Aplicación /destino

    Punto final de destino. Las aplicaciones determinan los destinos utilizados en una política

    Puede seleccionar aplicaciones de la lista de aplicaciones ya definidas.
    IDP

    (Opcional) Perfiles de detección y prevención de intrusiones (IDP). Seleccione uno de los perfiles de IDP:

    • Estándar: el perfil estándar es el perfil predeterminado y representa el conjunto de firmas y reglas de IDP recomendadas por Juniper Networks. Las acciones incluyen:

      Cierre la conexión TCP del cliente y del servidor.

      Soltar paquetes actuales y todos los paquetes subsiguientes

    • Estricto: el perfil estricto contiene un conjunto de firmas y reglas de IDP similares al del perfil estándar. Sin embargo, cuando el sistema detecta un ataque, el perfil bloquea activamente cualquier tráfico malicioso u otros ataques detectados en la red.

    • Alerta

      — El perfil de alerta solo genera alertas y no realiza ninguna acción adicional. Los perfiles de alertas son adecuados solo para ataques de baja gravedad. La firma de IDP y las reglas son las mismas que en el perfil estándar.
    • Ninguno: no se aplica ningún perfil de IDP.

    El perfil de IDP que aplica en la política de aplicación realiza una inspección de tráfico para detectar y evitar intrusiones en el tráfico permitido.
    Direccionamiento del tráfico

    Perfiles que dirigen el tráfico. El perfil de dirección del tráfico define la ruta o rutas de tráfico.

    Los perfiles de dirección son necesarios para implementar la política en el dispositivo radial de borde WAN o en un dispositivo concentrador.
    Nota:

    Los campos No. (número de pedido) y Dirección de tráfico no están disponibles para las políticas de aplicación a nivel de organización. Cuando se define una política de aplicación directamente dentro de un perfil de borde o hub de WAN, debe especificar el número de orden y las opciones de dirección del tráfico.

  4. Complete la configuración según los detalles disponibles en la tabla 2.
    Dirección de
    Tabla 2: Ejemplos de política de aplicación
    S.No. destino de la acción de la red de nombre de la regla
    1 ZDM radial a centro TODO. SPOKE-LAN1 Pasar HUB1-LAN1 HUB-LAN
    2 Hub-DMZ-to-spokes HUB1-LAN1 Pasar SPOKE-LAN1 Superposición
    3 Radio a radio en el centro de operaciones TODO. SPOKE-LAN1 Pasar SPOKE-LAN1 Superposición
    4 ZDM hub a Internet HUB1-LAN1 Pasar CUALQUIER LBO
    5 Spokes-Traffic-CBO-on-Hub TODO. SPOKE-LAN1 Pasar CUALQUIER LBO
  5. Haga clic en Guardar.

    La Figura 2 muestra la lista de políticas de aplicación recién creadas.

    Figura 2: Resumen de las políticas de Application Policies Summary aplicación

Reordenar y eliminar políticas de aplicaciones

La política de aplicación de reordenamiento le permite mover las políticas después de crearse.

Mist evalúa las políticas y ejecuta políticas en el orden de su aparición en la lista de políticas, debe tener en cuenta lo siguiente:

  • El orden de las políticas es importante. Dado que la evaluación de políticas comienza desde la parte superior de la lista,

  • Las nuevas políticas van al final de la lista de políticas.

Seleccione una política y utilice flecha arriba o flecha abajo para cambiar el orden. Puede cambiar el orden de la política en cualquier momento.

Figura 3: Cambiar el orden de la Changing Policy Order política

Para eliminar una política de aplicación, seleccione la política de aplicación que desea eliminar y, a continuación, haga clic en Eliminar que aparece en la parte superior derecha del panel.

Uso de las mismas direcciones IP y prefijos en redes y aplicaciones

En la configuración de las políticas de aplicación, la red o los usuarios pertenecen a la zona de origen y las aplicaciones/destino pertenecen a la zona de destino.

Puede usar las mismas direcciones IP y prefijos tanto para redes como para aplicaciones cuando los define para diferentes propósitos; es decir, actúan como origen en una política y como destino en otra.

Considere las políticas de la figura 4.

Figura 4: Detalles de las políticas de aplicación Application Policies Details

Aquí, tiene una red o usuarios SPOKE-LAN1 que tiene una dirección IP 192.168.200.0/24 para una interfaz LAN radial. La captura de pantalla muestra que las siguientes políticas utilizan la misma red de diferentes maneras:

  • Radio a radio vía hub: esta política permite el tráfico de radio a radio entrante y saliente a través de un hub. Aquí, definimos SPOKE-LAN1 como una red y como una aplicación.

  • ZDM radial a hub: esta política permite el tráfico de radio a concentrador. Aquí, definimos SPOKE-LAN1 como una red.

  • Hub-DMZ-to-spoke: esta política permite el tráfico concentrador a radio. Aquí, definimos SPOKE-LAN1 como una aplicación.

Ver también