Políticas de segurança unificadas
Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6 tuple (5 tuple com firewall de usuário) para detectar alterações de aplicativos ao longo do tempo.
Visão geral das políticas unificadas
A partir do Junos OS Release 18.2R1, as políticas unificadas são suportadas em firewalls da Série SRX, permitindo o controle granular e a aplicação de aplicativos dinâmicos de Camada 7 dentro da política de segurança.
Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6 tuple (5 tuple com firewall de usuário) para detectar alterações de aplicativos ao longo do tempo. Se o tráfego corresponde à regra da política de segurança, uma ou mais ações definidas na política serão aplicadas ao tráfego.
Ao adicionar aplicativos dinâmicos aos critérios de correspondência, o tráfego de dados é classificado com base nos resultados da inspeção de aplicativos de Camada 7. O AppID identifica aplicativos dinâmicos ou em tempo real de Camada 4 a Camada 7. Após a identificação de um determinado aplicativo e a política de correspondência, as ações são aplicadas de acordo com a política.
A configuração de aplicativos dinâmicos como critérios de correspondência em uma política de segurança não é obrigatória.
Exemplos de configuração de aplicativos dinâmicos como condição de correspondência dentro de uma política de segurança são os seguintes:
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE
Exemplos de configuração de grupos dinâmicos de aplicativos como condição de correspondência dentro de uma política de segurança são os seguintes:
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping
Benefícios
Simplifica o gerenciamento de políticas de segurança baseadas em aplicativos na Camada 7.
Permite que seu dispositivo se adapte às mudanças dinâmicas de tráfego na rede.
Oferece maior controle e extensibilidade para gerenciar o tráfego dinâmico de aplicativos do que uma política de segurança tradicional.
Visão geral da configuração de políticas unificadas
As seções a seguir fornecem mais informações sobre políticas unificadas:
- Opções dinâmicas de configuração de aplicativos
- Portas e protocolos padrão como critérios de correspondência de aplicativos
- Política de padrão pré-ID
- Ações de política padrão antes da identificação dinâmica de aplicativos
- Utilização de políticas globais com políticas unificadas
- Ações políticas unificadas
- Redirecionar perfil para rejeitar ação
- Perfil de proxy SSL para ação de rejeição
- Critérios e regras de correspondência para políticas unificadas
- Limitações à configuração de políticas unificadas
Opções dinâmicas de configuração de aplicativos
A Tabela 1 oferece opções para configurar uma política unificada com aplicativos dinâmicos.
Opções dinâmicas de configuração de aplicativos |
Descrição |
---|---|
Aplicativos dinâmicos ou grupos de aplicativos |
Especifique aplicativos dinâmicos ou um grupo dinâmico de aplicativos. Exemplos são os seguintes:
|
Qualquer |
Configurando o aplicativo dinâmico conforme |
Nenhum |
Configurar o aplicativo dinâmico como Ao atualizar a versão do Junos OS (onde os aplicativos dinâmicos não eram suportados), todas as políticas tradicionais existentes são consideradas políticas com o aplicativo dinâmico configurado como |
Aplicativo dinâmico não configurado |
Se um aplicativo dinâmico não estiver configurado dentro de uma política de segurança, a política é considerada uma política de segurança tradicional Esta política é semelhante a uma política com o aplicativo dinâmico configurado como |
A partir dos versões Junos OS 19.4R1 e 20.1R1, a política de segurança não oferece suporte ao uso de aplicativos a seguir como critérios de correspondência de aplicativos dinâmicos:
-
junos:HTTPS
-
junos:POP3S
-
junos:IMAPS
-
junos:SMTPS
Upgrade de software para o Junos OS Versões 19.4R1 e 20.1R1 e versões posteriores falham durante a validação se alguma das políticas de segurança estiver configurada com junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS como aplicativos dinâmicos como critérios de correspondência.
Recomendamos que você use a opçãorequest system software validate package-name
antes de atualizar para as versões mencionadas acima.
Recomendamos que você remova qualquer configuração que inclua o junos:HTTPS de aplicativo dinâmico, junos:IMAPS, junos:SMTPS ou junos:POP3S como critérios de correspondência em políticas de segurança.
Portas e protocolos padrão como critérios de correspondência de aplicativos
A partir do Junos OS Release 18.2R1, a opção junos-defaults
é introduzida na configuração da política de segurança como critérios de correspondência de aplicativos. O junos-defaults
grupo contém declarações pré-configuradas que incluem valores predefinidos para aplicativos comuns. Como os protocolos e portas padrão são herdados, não há necessidade de junos-defaults
configurar explicitamente as portas e protocolos, simplificando assim a configuração da política de segurança.
No exemplo a seguir, a política de segurança L7-test-policy usa junos:HTTP
como aplicativo dinâmico e herda portas TCP de destino: 80, 3128, 8000 e 8080 como critérios de correspondência de aplicativos.
set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP
Se o aplicativo não tiver portas e protocolos padrão, o aplicativo usará as portas e protocolos padrão do aplicativo dependente. Por exemplo, junos:FACEBOOK-CHAT usa protocolos e portas padrão de HTTP2, HTTPS e SPDY.
A opção junos-defaults
deve ser configurada junto com um aplicativo dinâmico. Se você configurar a opção junos-defaults
sem especificar qualquer aplicativo dinâmico, então uma mensagem de erro é exibida e a configuração se confirma. Use o show security policies detail
comando para validar a opção junos-defaults
.
Política de padrão pré-ID
Uma política unificada aproveita as informações do AppID para combinar com o aplicativo e agir conforme especificado na política. Antes de identificar o aplicativo final, a política não pode ser combinada com precisão.
A política de padrão pré-ID permite temporariamente que a sessão seja criada para que a DPI possa obter o pacote e realizar a identificação de aplicativos (AppID).
A partir do Junos OS Release 23.4R1, a política de padrão pré-ID ( pre-id-default-policy
) nega o fluxo antes de realizar a identificação de aplicativos (AppID) quando não há políticas potenciais para permitir o fluxo.
Quando o dispositivo recebe o primeiro pacote de um fluxo de tráfego, ele executa a correspondência básica de 5 tuples e verifica as políticas potenciais definidas para determinar como tratar o pacote. Se todas as políticas potenciais tiverem a ação como "negar", e a ação padrão da política também estiver definida para "negar", o dispositivo nega o tráfego e não realiza a identificação de aplicativos (AppID).
Se alguma política tiver ação que não seja "negar", o dispositivo realizará DPI para identificar o aplicativo.
O dispositivo verifica políticas potenciais no contexto da zona e no contexto global.
Ações de política padrão antes da identificação dinâmica de aplicativos
Antes que um aplicativo seja identificado pela Identificação de Aplicativos (AppID), as pre-id-default-policy
opções são aplicadas à sessão. O valor do tempo limite da sessão, juntamente com o modo necessário de registro de sessão, são aplicados de acordo com a pre-id-default-policy
configuração. Se não houver configuração dentro da pre-id-default-policy
estrofe, os valores de tempo limite de sessão padrão serão aplicados à sessão e nenhum log será gerado para.pre-id-default-policy
Recomendamos que os clientes implementem a set security policies pre-id-default-policy then log session-close
configuração, conforme mostrado abaixo, em seus próprios ambientes.
# show security policies pre-id-default-policy then { log { session-close; } }
Essa configuração garantirá que os logs de segurança sejam gerados pelo SRX se um fluxo não puder sair. pre-id-default-policy
Esses eventos geralmente são resultado da impossiência do JDPI de classificar adequadamente o tráfego, embora também possam indicar possíveis tentativas de escapar do mecanismo APPID.
Em versões recentes do Junos OS, a configuração padrão de fábrica de um SRX inclui a session-close
configuração.
Configurar o registro de sessão emit para gerar pre-id-default-policy
uma grande quantidade de logs. Cada sessão que entrar no SRX que corresponda inicialmente à política de pré-id-default gerará um evento. Recomendamos usar apenas essa opção para fins de solução de problemas.
Utilização de políticas globais com políticas unificadas
As políticas de segurança baseadas em zonas são priorizadas em relação às políticas globais quando uma pesquisa de políticas é implementada. A partir do Junos OS Release 18.2R1, se uma política unificada estiver configurada dentro das políticas de segurança baseadas em zona, a busca por políticas globais não será realizada. Antes do Junos OS Release 18.2R1, se nenhuma política baseada em zona for compatível, uma pesquisa de política global é realizada.
A partir do Junos OS Release 20.4R1, os firewalls da Série SRX oferecem suporte a políticas unificadas em políticas de contexto de zona e de nível global ao mesmo tempo. Em versões anteriores, políticas unificadas suportavam apenas políticas de contexto de zona.
Se a sessão corresponder a qualquer política unificada, seja em nível de zona ou em nível global, a política será adicionada à lista de correspondências de políticas em potencial. Se a sessão não corresponder a uma política no nível da zona, a próxima correspondência de política ocorre no nível global. As políticas de nível global têm os mesmos critérios de correspondência que qualquer outra política de segurança (exemplo: endereço de origem, endereço de destino, aplicativo, aplicativo dinâmico etc.).
Ações políticas unificadas
Em uma configuração de política unificada, especifique uma das seguintes ações:
-
Permissão — permitir o tráfego.
-
Negar — Solte o tráfego e encerre a sessão.
-
Rejeitar — Notifique o cliente, solte o tráfego e encerre a sessão.
Redirecionar perfil para rejeitar ação
Políticas unificadas registram quedas e rejeitam ações. As políticas unificadas não notificam os clientes conectados para quedas e rejeitam ações. Os clientes não sabem que a página da web não é acessível e podem continuar suas tentativas de acessá-la.
A partir do Junos OS Release 18.2R1, um perfil de redirecionamento pode ser configurado dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição, você pode definir uma resposta na política unificada para notificar os clientes conectados.
Para fornecer uma explicação para a ação ou redirecionar o cliente para uma página web informativa, use a opção redirect-message
no [edit security dynamic-application profile name]
nível hierárquico com a ação de rejeitar ou negar em uma configuração de política unificada para exibir uma mensagem personalizada.
Ao configurar a opção de redirecionamento, você pode especificar a mensagem personalizada ou a URL para a qual o cliente é redirecionado.
Limitações à configuração de um perfil de redirecionamento em políticas unificadas
Existem limitações para configurar um perfil de redirecionamento em políticas unificadas. Eles incluem:
-
O suporte para a ação de redirecionamento com mensagens de bloqueio com uma URL de redirecionamento não está disponível para aplicativos não-HTTP ou não-HTTPS.
-
Uma política unificada não verifica a validade e a acessibilidade de uma URL de redirecionamento configurada pelo usuário.
-
Para processamento claro de texto, pacotes HTTP fora de ordem ou solicitações de HTTP segmentadas, as ações políticas disponíveis são rejeitar ou negar. Um perfil de redirecionamento não está disponível.
-
O perfil de redirecionamento só pode ser aplicado em políticas unificadas. A ação de rejeição para políticas de segurança tradicionais não suporta uma ação de redirecionamento com perfis de mensagens em blocos ou um URL de redirecionamento.
Perfil de proxy SSL para ação de rejeição
A partir do Junos OS Release 18.2R1, você pode configurar um perfil de redirecionamento dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição, você pode aplicar um perfil de proxy SSL ao tráfego. O proxy SSL descriptografa a funcionalidade de identificação de tráfego e aplicativos que identifica o aplicativo. Em seguida, você pode agir para redirecionar ou soltar o tráfego conforme a configuração.
Considere o exemplo a seguir:
Neste exemplo, você está rejeitando alguns dos aplicativos do Facebook, como chat, Farmville, e assim por diante na política "política-1". Como o Facebook é um aplicativo criptografado, você precisa de proxy SSL para descriptografar o tráfego primeiro.
policy policy-1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:FACEBOOK-CHAT junos:FACEBOOK-FARMVILLE junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-SUPERPOKE junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-VIDEO ]; } then { reject { ssl-proxy { profile-name test; } } log { session-init; session-close; } } }
Neste exemplo, a política rejeita o tráfego criptografado do Facebook e aplica o perfil de proxy SSL configurado. O proxy SSL descriptografa o tráfego, e o JDPI identifica o aplicativo.
Agora, a política toma as seguintes ações com base em sua configuração:
-
Redireciona o acesso do cliente a outra URL e fecha a sessão original.
-
Notifica o cliente com mensagens de texto pré-definidas e encerra a sessão
-
Fecha apenas a sessão. No exemplo, a política encerra a sessão.
Critérios e regras de correspondência para políticas unificadas
- Política unificada implícita e correspondência explícita
- Sobreposição de perfil para serviços de camada 7
- Ressarço de políticas
Política unificada implícita e correspondência explícita
A partir do Junos OS Release 18.2R1, o comando unified-policy-explicit-match
é introduzido no [edit security policies]
nível hierárquicos. Este comando define o comportamento explícito e implícito de correspondência de políticas e é desativado por padrão.
-
Correspondência explícita — se um aplicativo dependente não tiver nenhuma política de correspondência, o tráfego será descartado se a correspondência explícita estiver habilitada. Apenas as políticas de segurança que estão explicitamente configuradas para o aplicativo são aplicadas.
-
Correspondência implícita — se o aplicativo dependente não tiver nenhuma política de correspondência, então a política de segurança configurada para o aplicativo base é aplicada.
Por padrão, as políticas unificadas aplicam regras implícitas sobre aplicativos dependentes.
No exemplo mostrado na Tabela 2, a política unificada P3 está configurada para o tráfego DE ACESSO do FACEBOOK. O HTTP é uma aplicação dependente do FACEBOOK-ACCESS e não tem nenhuma política de segurança explicitamente configurada para ele.
Aplicativo dinâmico |
Política configurada |
---|---|
HTTP |
Nenhum |
ACESSO AO FACEBOOK |
|
Os resultados do comportamento implícito e explícito da correspondência são mostrados na Tabela 3.
Aplicativo identificado |
Política combinada |
Tipo de regra explícito ou implícito |
Resultado |
---|---|---|---|
Nenhum |
P3 |
Implícito (explícito não está habilitado) |
O aplicativo identificado é HTTP. Não há nenhuma política de segurança correspondente configurada para HTTP. A correspondência explícita não está habilitada (correspondência implícita), de modo que o tráfego é processado ainda mais até que o FACEBOOK-ACCESS seja identificado. A política de segurança configurada para ACESSO ao FACEBOOK (política P3) é aplicada. |
HTTP |
|||
ACESSO AO FACEBOOK |
|||
HTTP |
Nenhum |
Explícita |
O aplicativo identificado é HTTP. Não há política de correspondência disponível para HTTP. A correspondência explícita está habilitada, portanto, nenhuma política de segurança é aplicada neste caso. |
Sobreposição de perfil para serviços de camada 7
Ao usar políticas unificadas, se os resultados do AppID ainda não tiverem identificado o aplicativo final, uma pesquisa de políticas pode devolver uma lista de políticas em vez de uma política fixa. Essas políticas são referidas como políticas compatíveis em potencial. Antes que o aplicativo final seja identificado, um conflito pode ocorrer devido a várias correspondências de políticas.
Neste caso, um perfil ou perfil padrão apropriado é aplicado a serviços como AppQoS, proxy SSL, Segurança de conteúdo e IDP.
Ressarço de políticas
Quando a opção policy rematch
é habilitada, a política unificada permite que o dispositivo reavaliar uma sessão ativa quando sua política de segurança associada for modificada.
A sessão permanece aberta se continuar a corresponder à política que permitiu a sessão inicialmente. A sessão se encerra se sua política associada for renomeada, desativada ou excluída. Use a opção extensive
de reavaliar uma sessão ativa quando sua política de segurança associada for renomeada, desativada ou excluída.
Se a política for configurada em uma política unificada antes de uma partida final, então o comportamento de vingança pode levar a um encerramento da sessão. Após a partida final, uma desativação da política desencadeia outra pesquisa de política com base nos critérios de correspondência de 6 tuple e no aplicativo identificado final.
Configure policy-rematch
e as policy-rematch extensive
opções no nível de [edit security policies]
hierarquia.
Limitações à configuração de políticas unificadas
Existem limitações para configurar políticas unificadas. Eles incluem:
-
Uma sessão existente pode ser encerrada nos seguintes casos:
-
Quando há uma mudança na partida final para a política.
-
Quando uma nova política é inserida dentro das políticas existentes e se essa nova política estiver configurada com novos serviços.
-
Quando uma política final de partidas permite novos serviços após a sessão ser criada e antes da partida final.
-
-
A VPN baseada em políticas não é suportada para políticas unificadas e pode ser aplicada apenas à política tradicional.
- O processamento de tráfego ALG nas políticas unificadas não envolve funções ALG.
- As ALGs são aplicadas quando correspondentes às políticas de segurança tradicionais.
- As políticas que utilizam uma condição compatível
dynamic-application as none
são tratadas como políticas tradicionais.
- As políticas que utilizam uma condição compatível
- O FTP é uma exceção ao suporte alg em políticas unificadas que permitem a digitalização de arquivos FTP para O Antivírus de segurança de conteúdo.
- Requer uso de
dynamic-application any
oudynamic-application junos:FTP
. - Veja como ativar a digitalização de antivírus FTP (procedimento CLI)
- Requer uso de
-
Uma política de segurança configurada com GPRS pode não funcionar se a política fizer parte de uma lista de correspondências em potencial.
-
Uma VPN em grupo e a autenticação do firewall do usuário podem ser aplicadas a uma política de segurança tradicional.
-
As informações finais de correspondência de políticas podem não estar disponíveis em logs de sessão para políticas que utilizam aplicativos dinâmicos.
Veja também
Exemplo: configure uma política unificada usando um perfil de mensagem de redirecionamento
Este exemplo descreve como configurar uma política unificada com um perfil de mensagem de redirecionamento. Neste exemplo, você configura um perfil de redirecionamento com uma URL de redirecionamento. Você usa o perfil de redirecionamento como uma mensagem de bloqueio na política de tráfego nos aplicativos dinâmicos GMAIL e FACEBOOK-CHAT. Simultaneamente, você configura o aplicativo junos-defaults
para que a porta e o protocolo padrão dos aplicativos dinâmicos sejam herdados como critérios de correspondência de protocolo e porta de destino da política atual.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX executando o Junos OS Release 18.2R1. Este exemplo de configuração é testado com o junos OS versão 18.2R1.
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você define o perfil de redirecionamento como uma resposta quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição. Por meio de um perfil de redirecionamento, você fornece uma explicação para a ação ou redireciona a solicitação do cliente para uma página web informativa quando a ação de rejeição ou negação é aplicada em uma política de segurança.
Para atingir esses objetivos, você executa as seguintes tarefas:
Configure o perfil de redirecionamento com uma URL de redirecionamento, como http://abc.company.com/information/block-message e use-o na política como uma mensagem de bloco.
Configure os critérios
source-address
de correspondência da política de segurança comdestination-address
o valorany
.Configure o aplicativo com
junos-defaults
, para que a porta e o protocolo padrão sejam herdados como critérios de correspondência de protocolo e porta dedynamic-application
destino da política atual.Configure
dynamic-application
com[junos:GMAIL, junos:FACEBOOK-CHAT]
para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone trust set security zones security-zone untrust set security dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar uma política unificada com um perfil de mensagem de redirecionamento:
Configure zonas de segurança.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Crie um perfil para redirecionar a mensagem.
[edit security] user@host# set dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message
Crie uma política de segurança com um aplicativo dinâmico conforme os critérios de correspondência.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Definir a ação da política.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show security dynamic-application
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; } then { reject { profile profile1; } } } }
[edit]
user@host#
show security dynamic-application profile profile1 { redirect-message { type { redirect-url { content http://abc.company.com/information/block-message; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração de políticas unificadas
Propósito
Verifique se a configuração unificada de políticas está correta.
Ação
Desde o modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança no dispositivo.
user@host>
show security policies
Default policy: deny-all
Pre ID default policy: permit-all
From zone: trust, To zone: untrust
Policy: p2, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:GMAIL, junos:FACEBOOK-CHAT
dynapp-redir-profile: profile1
Desde o modo operacional, entre no show security policies detail
comando para exibir um resumo detalhado de todas as políticas de segurança no dispositivo.
user@host>
show security policies detail
Default policy: deny-all
Pre ID default policy: permit-all
Policy: p2, action-type: reject, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [443-443]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [5432-5432]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [80-80]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [3128-3128]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8000-8000]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8080-8080]
IP protocol: 17, ALG: 0, Inactivity timeout: 60
Source port range: [0-0]
Destination port range: [1-65535]
Dynamic Application:
junos:GMAIL: 51
dynapp-redir-profile: profile1
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Significado
A saída exibe informações sobre todas as sessões de segurança ativas no dispositivo no momento. Verifique as seguintes informações:
Nome da política configurado
Endereços de origem e destino
Aplicativos configurados
Aplicativos dinâmicos configurados
Política rejeitar ação
Configure uma categoria de URL com políticas unificadas
- Entender a categoria de URL com políticas unificadas
- Exemplo: configuração de uma política unificada usando categoria de URL
Entender a categoria de URL com políticas unificadas
A partir do Junos OS Release 18.4R1, o recurso de políticas unificadas é aprimorado para incluir categorias de URL como critérios de correspondência para categoria de filtragem web. As categorias de URL podem ser configuradas para políticas unificadas com ou sem aplicação dinâmica. .
Quando a categoria de URL está configurada quanto url-category any
a uma política, a política corresponde a todas as categorias de tráfego configuradas às políticas unificadas.
Quando a categoria de URL está configurada quanto url-category none
a uma política, a categoria de URL não é usada na configuração da política. A política unificada configurada com url-category none
é considerada como a maior prioridade para a correspondência de políticas para um tráfego. Quando a categoria de URL para uma política não estiver configurada, ou quando você atualizar um dispositivo da versão anterior para a versão mais recente, a categoria de URL de todas as políticas é considerada como url-category none
.
Limitações da categoria de URL com políticas unificadas
Usar categorias de URL em uma política unificada tem a seguinte limitação:
Apenas as portas que geralmente são usadas, como tráfegos HTTP e HTTPs, são suportadas por
url-category
. Dessa forma, a busca por políticas oferece suporte aos tráfegos de HTTP e HTTPs.
Exemplo: configuração de uma política unificada usando categoria de URL
Este exemplo descreve como configurar uma política unificada com uma categoria de URL.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX executando o Junos OS Release 18.4R1. Este exemplo de configuração é testado com o junos OS versão 18.4R1.
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, a categoria URL é adicionada à política de segurança como critério de correspondência para a categoria de filtragem web.
Para atingir esses objetivos, você executa as seguintes tarefas:
Configure os critérios
source-address
de correspondência da política de segurança comdestination-address
o valorany
.Configure o aplicativo com
junos-defaults
, para que a porta e o protocolo padrão sejam herdados como critérios de correspondência de protocolo e porta dedynamic-application
destino da política atual.Configure
dynamic-application
com[junos:GMAIL, junos:FACEBOOK-CHAT]
para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.Configure
url-category
comEnhanced_News_and_Media
critérios compatíveis para a categoria de filtragem da web.
Configuração
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Configuração rápida da CLI
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procedimento passo a passo
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar uma política unificada com um perfil de mensagem de redirecionamento:
Configure zonas de segurança.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Crie uma política de segurança com uma categoria de URL conforme os critérios de correspondência.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Definir a ação da política.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show security dynamic-application
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; url-category Enhanced_News_and_Media; } then { reject { profile profile1; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração de políticas unificadas
Propósito
Verifique se a configuração unificada de políticas está correta.
Ação
Desde o modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança no dispositivo.
user@host>
show security policies
Default policy: permit-all
Pre ID default policy: permit-all
From zone: untrust, To zone: internet
Policy: ip1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-dns-udp, junos-dns-tcp
Action: permit, log
Policy: ip2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-telnet, junos-dns-udp, junos-dns-tcp, junos-ftp, junos-http, junos-https
Action: permit, log
From zone: untrust, To zone: trust
Policy: up3, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source addresses: H1, H1_v6
Destination addresses: H0, H0_v6
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:HTTP, junos:GOOGLE-GEN, junos:YAHOO, junos:SSL
Url-category: Enhanced_Search_Engines_and_Portals, cust_white
Action: permit, log
Policy: up4, State: enabled, Index: 9, Scope Policy: 0, Sequence number: 2
Source addresses: as1
Destination addresses: as0
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:web, junos:FTP
Url-category: Enhanced_Private_IP_Addresses, cust_white
Action: permit, log
Significado
A saída exibe informações sobre todas as sessões de segurança ativas no dispositivo no momento. Verifique as seguintes informações:
Nome da política configurado
Endereços de origem e destino
Aplicativos configurados
Aplicativos dinâmicos configurados
Categoria de URL configurada
Política rejeitar ação
Configure aplicativos em políticas unificadas
- Aplicativos em políticas unificadas
- Exemplo: configure uma política unificada usando aplicativos dinâmicos
Aplicativos em políticas unificadas
A partir do Junos OS Release 19.1R1, configurar a application
declaração no nível de [edit security policies from-zone zone-name to-zone zone-name policy policy-name match]
hierarquia é opcional se a dynamic-application
declaração estiver configurada no mesmo nível de hierarquia.
Em versões antes do Junos OS Release 19.1R1, é obrigatório configurar a application
declaração mesmo que a dynamic-application
declaração esteja configurada.
Quando a opção
application
é definida, então o aplicativo definido é usado.Quando a opção
application
não é definida e a opçãodynamic-application
é definida comoany
, então o aplicativoany
é adicionado implicitamente.Quando a opção
application
não é definida e a opçãodynamic-application
é definida (e não está configurada comoany
), então o aplicativojunos-defaults
é adicionado implicitamente.
Exemplo: configure uma política unificada usando aplicativos dinâmicos
Este exemplo descreve como configurar uma política unificada usando aplicativos dinâmicos.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Firewall da Série SRX executando o Junos OS Release 19.1R1. Este exemplo de configuração é testado com o junos OS versão 19.1R1.
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, aplicativos dinâmicos são adicionados à política de segurança como critérios de correspondência.
Para atingir esses objetivos, execute as seguintes tarefas:
Configure os critérios
source-address
de correspondência da política de segurança comdestination-address
o valorany
.Configure
dynamic-application
com[junos:CNN, junos:BBC]
isso para que a política possa permitir os aplicativos junos:CNN e junos:BBC.
Configuração
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Configuração rápida da CLI
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p3 match source-address any set security policies from-zone trust to-zone untrust policy p3 match destination-address any set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC set security policies from-zone trust to-zone untrust policy p3 then permit
Procedimento passo a passo
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar uma política unificada usando aplicativos dinâmicos:
Configure zonas de segurança.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Crie uma política de segurança com um aplicativo dinâmico conforme os critérios de correspondência.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 match source-address any user@host# set from-zone trust to-zone untrust policy p3 match destination-address any user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC
Definir a ação da política.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p3 { match { source-address any; destination-address any; dynamic-application [ junos:CNN junos:BBC ]; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração de políticas unificadas
Propósito
Verifique se a configuração unificada de políticas está correta.
Ação
Desde o modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança no dispositivo.
user@host>
show security policies
Policy: p3, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:CNN, junos:BBC
Action: permit
Desde o modo operacional, entre no show security policies detail
comando para exibir um resumo detalhado de todas as políticas de segurança no dispositivo.
user@host>
show security policies detail
Default policy: permit-all
Pre ID default policy: permit-all
Policy: p3, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: TCP, ALG: 0, Inactivity timeout: 1800
Destination ports: 80, 443, 3128, 8000, 8080
Dynamic Application:
junos:BBC: 1754
junos:CNN: 988
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Significado
A saída exibe informações sobre todas as sessões de segurança ativas no dispositivo no momento. Verifique as seguintes informações:
Nome da política configurado
Endereços de origem e destino
Aplicativos configurados
Nota:O
Applications
campo é autopovoado e seu valorjunos-defaults
é adicionado implicitamente.Aplicativos dinâmicos configurados
Ação de política
Configure microa aplicativos em políticas unificadas
A partir do Junos OS Release 19.2R1, você pode configurar micro-aplicativos em uma política unificada. Micro-aplicativos são subfunções de um aplicativo. Micro-aplicativos permitem o controle granular de um aplicativo em um nível de subfunção em vez de bloquear ou permitir todo o aplicativo. Por padrão, a detecção de micro-aplicativos é desativada.
O módulo de identificação de aplicativos (AppID) detecta um aplicativo em um nível abaixo da função em sua rede. As políticas de segurança aproveitam as informações de identidade do aplicativo determinadas pelo módulo AppID. Após a identificação de um aplicativo específico, uma ação como permissão, negação, rejeição ou redirecionamento é aplicada ao tráfego de acordo com a política configurada no dispositivo. Você deve permitir a detecção de micro-aplicativos para usá-los em uma política de segurança. Veja a ativação e a desativação da detecção de micro-aplicativos.
Limite o número de buscas de políticas
Para processar uma política, a busca da política deve devolver o estado final da correspondência para o aplicativo. Ao usar uma microaplicação, a classificação do aplicativo não chega ao estado final da partida porque a microaplicação muda constantemente para a sessão. Como o microaplicacional muda de uma transação para outra, uma quantidade ilimitada de pesquisas de políticas é tentada.
Use a unified-policy max-lookups
declaração no nível de [edit security policies]
hierarquia para limitar o número de buscas de políticas.
Configure micro-aplicativos
Para permitir um aplicativo de nível base e todos os seus micro-aplicativos dependentes, você pode configurar uma política unificada especificando o aplicativo de nível base como um critério de correspondência. Você não precisa especificar explicitamente cada aplicativo dependente como critérios de correspondência para a política. Por exemplo, se você especificar o aplicativo junos-MODBUS de nível base como critério de correspondência em uma política unificada, então você não precisa configurar as micro-aplicações do junos-MODBUS aplicativo (junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL) como critérios de correspondência para a política.
Se você quiser definir uma política unificada para controle de nível granular, então você deve especificar as micro-aplicações do aplicativo de nível base como critérios de correspondência para a política. Você não deve definir o aplicativo de nível base como critérios de correspondência na política. Para uma configuração de política de nível mais granular, especifique junos:MODBUS-READ-COILS como critérios de correspondência em uma política unificada. Certifique-se de que o aplicativo junos:MODBUS de nível base não seja definido como um critério correspondente na mesma política unificada.
Busca de políticas com microaplicações
A detecção de micro-aplicativos é desativada por padrão. Para usar microaplicações como critérios correspondentes para a pesquisa de políticas, você deve permitir a detecção de microaplicações e depois especifique-as como critérios de correspondência para a política unificada. Se você não tiver habilitado a detecção de micro-aplicativos, o módulo de identificação de aplicativos (AppID) não detecta nenhuma microaplicação e considera o aplicativo de nível base como o critério final de correspondência. Por exemplo, considere o aplicativo junos-:MODBUS de nível base que tem duas microaplicaçãos junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL:
Se você não tiver habilitado a detecção de micro-aplicativos, junos:MODBUS é considerado como o estado de correspondência final para a classificação appID. Se você habilitar micro-aplicativos, então você pode configurá-los em uma política unificada como qualquer outro aplicativo dinâmico pré-definido. Este microaplicaenciamento é usado para a busca de políticas.
Se você tiver habilitado a detecção de micro-aplicativos, o módulo AppID considera junos:MODBUS o estado pré-jogo . Quando o módulo AppID detecta junos:MODBUS-READ-COILS ou junos:MODBUS-WRITE-SINGLE-COIL, o AppID considera esse resultado como o estado final da partida e prossegue com a busca de políticas usando este critério de correspondência.