Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas de segurança unificadas

Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6-tuple (5-tuple com firewall do usuário) para detectar mudanças de aplicativos ao longo do tempo.

Visão geral das políticas unificadas

A partir do Junos OS Release 18.2R1, as políticas unificadas são suportadas em dispositivos da Série SRX, permitindo o controle granular e a aplicação de aplicativos dinâmicos de Camada 7 dentro da política de segurança.

Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6-tuple (5-tuple com firewall do usuário) para detectar mudanças de aplicativos ao longo do tempo. Se o tráfego corresponde à regra da política de segurança, uma ou mais ações definidas na política são aplicadas ao tráfego.

Ao adicionar aplicativos dinâmicos aos critérios de correspondência, o tráfego de dados é classificado com base nos resultados da inspeção de aplicativos de Camada 7. O AppID identifica aplicativos dinâmicos ou em tempo real de Camada 4 a Camada 7. Depois que um determinado aplicativo é identificado e a política de correspondência é encontrada, as ações são aplicadas de acordo com a política.

Configurar aplicativos dinâmicos como critérios de correspondência em uma política de segurança não é obrigatório.

Exemplos de configuração de aplicativos dinâmicos como condição de correspondência dentro de uma política de segurança são os seguintes:

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

Exemplos de configuração de grupos dinâmicos de aplicativos como condição de correspondência dentro de uma política de segurança são os seguintes:

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

Benefícios

  • Simplifica o gerenciamento de políticas de segurança baseadas em aplicativos na Camada 7.

  • Permite que seu dispositivo se adapte às mudanças dinâmicas de tráfego na rede.

  • Oferece maior controle e extensibilidade para gerenciar o tráfego dinâmico de aplicativos do que uma política de segurança tradicional.

Visão geral da configuração de políticas unificadas

As seções a seguir fornecem mais informações sobre políticas unificadas:

Opções dinâmicas de configuração de aplicativos

A Tabela 1 oferece opções para configurar uma política unificada com aplicativos dinâmicos.

Tabela 1: Opções dinâmicas de configuração de aplicativos

Opções dinâmicas de configuração de aplicativos

Descrição

Aplicativos dinâmicos ou grupos de aplicativos

Especifique aplicativos dinâmicos ou um grupo dinâmico de aplicativos.

Exemplos são os seguintes:

  • junos:FTP (aplicativo dinâmico)

  • junos:web:shopping (grupo dinâmico de aplicativos)

Qualquer

Configurando o aplicativo dinâmico como any instala a política com o aplicativo como um wildcard (padrão). Se um aplicativo não puder ser especificado, configure any como o aplicativo padrão. O tráfego de dados que corresponde aos parâmetros em uma política unificada corresponde à política, independentemente do tipo de aplicativo.

Nenhum

Configurar o aplicativo dinâmico ignora none os resultados de classificação do AppID e não usa o aplicativo dinâmico em buscas de políticas de segurança. Dentro da lista de políticas de correspondência em potencial, se houver alguma política configurada com um aplicativo dinâmico como none, essa política é compatível com a política final e é terminal. Se algum serviço de Camada 7 estiver configurado nesta política, será realizada uma inspeção profunda de pacotes para o tráfego.

Ao atualizar a versão do Junos OS (onde os aplicativos dinâmicos não eram suportados), todas as políticas tradicionais existentes são consideradas políticas com o aplicativo dinâmico configurado como none.

Aplicativo dinâmico não configurado

Se um aplicativo dinâmico não estiver configurado dentro de uma política de segurança, a política é considerada uma política de segurança tradicional Esta política é semelhante a uma política com o aplicativo dinâmico configurado como none.

A partir dos lançamentos do Junos OS 19.4R1 e 20.1R1, a política de segurança não aceita o uso de seguintes aplicativos como critérios de correspondência de aplicativos dinâmicos:

  • junos:HTTPS

  • junos:POP3S

  • junos:IMAPS

  • junos:SMTPS

Atualização de software para o Junos OS Versões 19.4R1 e 20.1R1 e versões posteriores falham durante a validação se alguma das políticas de segurança estiver configurada com junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS como aplicativos dinâmicos como critérios de correspondência.

Recomendamos que você use a opçãorequest system software validate package-name antes de atualizar para os lançamentos mencionados acima.

Recomendamos que você remova qualquer configuração que inclua o junos:HTTPS de aplicativos dinâmicos, junos:IMAPS, junos:SMTPS ou junos:POP3S como critérios de correspondência em políticas de segurança.

Portas e protocolos padrão como critérios de correspondência de aplicativos

A partir do Junos OS Release 18.2R1, a opção junos-defaults é introduzida na configuração da política de segurança como critérios de correspondência de aplicativos. O junos-defaults grupo contém declarações pré-configuradas que incluem valores predefinidos para aplicativos comuns. Como os protocolos e portas padrão são herdados junos-defaults, não há necessidade de configurar explicitamente as portas e protocolos, simplificando assim a configuração da política de segurança.

No exemplo a seguir, a política de segurança L7-test-policy usa junos:HTTP como aplicativo dinâmico e herda portas TCP de destino: 80, 3128, 8000 e 8080 como critérios de correspondência de aplicativos.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

Se o aplicativo não tiver portas e protocolos padrão, o aplicativo usará as portas e protocolos padrão do aplicativo dependente. Por exemplo, junos:FACEBOOK-CHAT usa protocolos e portas padrão de HTTP2, HTTPS e SPDY.

A opção junos-defaults deve ser configurada junto com uma aplicação dinâmica. Se você configurar a opção junos-defaults sem especificar nenhum aplicativo dinâmico, então uma mensagem de erro é exibida e a configuração falha. Use o show security policies detail comando para validar a opção junos-defaults .

Ações de política padrão antes da identificação dinâmica de aplicativos

Antes de um aplicativo ser identificado pela Identificação de Aplicativos (AppID), as pre-id-default-policy opções são aplicadas à sessão. O valor do tempo de sessão, juntamente com o modo de registro de sessão necessário, são aplicados de acordo com a pre-id-default-policy configuração. Se não houver configuração dentro da pre-id-default-policy estrofe, os valores padrão de tempo de sessão são aplicados à sessão e nenhum log é gerado para o pre-id-default-policy.

Recomendamos que os clientes implementem a set security policies pre-id-default-policy then log session-close configuração, conforme mostrado abaixo, em seus próprios ambientes.

Essa configuração garantirá que os logs de segurança sejam gerados pelo SRX se um fluxo não for capaz de deixar. pre-id-default-policy Esses eventos geralmente são resultado de o JDPI ser incapaz de classificar adequadamente o tráfego, embora eles também possam indicar tentativas potenciais de escapar do mecanismo APPID.

Nas versões recentes do Junos OS, a configuração padrão de fábrica de um SRX inclui a session-close configuração.

CUIDADO:

Configurar o registro de sessão emit para gerar pre-id-default-policy uma grande quantidade de logs. Cada sessão que entrar no SRX que corresponda inicialmente à política pre-id-default gerará um evento. Recomendamos apenas o uso desta opção para fins de solução de problemas.

Utilização de políticas globais com políticas unificadas

As políticas de segurança baseadas em zonas são priorizadas em relação às políticas globais quando uma busca de políticas é implementada. A partir do Junos OS Release 18.2R1, se uma política unificada for configurada dentro das políticas de segurança baseadas em zonas, a busca por políticas globais não será realizada. Antes do Junos OS Release 18.2R1, se nenhuma política baseada em zona for combinada, uma busca de política global é realizada.

A partir do Junos OS Release 20.4R1, os dispositivos da Série SRX oferecem suporte a políticas unificadas em políticas de contexto de zona e de nível global ao mesmo tempo. Em versões anteriores, políticas unificadas apoiaram apenas políticas de contexto de zona.

Se a sessão corresponder a qualquer política unificada, seja em nível de zona ou em nível global, a política será adicionada à lista de correspondências de políticas em potencial. Se a sessão não corresponder a uma política em nível de zona, a próxima combinação de políticas ocorre em nível global. As políticas de nível global têm os mesmos critérios de correspondência que qualquer outra política de segurança (exemplo: endereço de origem, endereço de destino, aplicativo, aplicativo dinâmico e assim por diante).

Ações políticas unificadas

Em uma configuração unificada de políticas, especifique uma das seguintes ações:

  • Permissão — Permitir o tráfego.

  • Negar — Solte o tráfego e encerre a sessão.

  • Rejeite — notifique o cliente, solte o tráfego e encerre a sessão.

Redirecionar perfil para rejeitar ação

Políticas unificadas registram quedas e rejeitam ações. As políticas unificadas não notificam os clientes conectados para que abandonem e rejeitem ações. Os clientes não sabem que a página da web não é acessível e podem continuar suas tentativas de acessá-la.

A partir do Junos OS Release 18.2R1, um perfil de redirecionamento pode ser configurado dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negar ou rejeitar, você pode definir uma resposta na política unificada para notificar os clientes conectados.

Para fornecer uma explicação para a ação ou redirecionar o cliente para uma página web informativa, use a opção redirect-message no nível da [edit security dynamic-application profile name] hierarquia com o rejeitar ou negar ação em uma configuração de política unificada para exibir uma mensagem personalizada.

Ao configurar a opção de redirecionamento, você pode especificar a mensagem personalizada ou a URL para a qual o cliente é redirecionado.

Limitações para configurar um perfil de redirecionamento em políticas unificadas

Existem limitações para configurar um perfil de redirecionamento em políticas unificadas. Eles incluem:

  • O suporte para a ação de redirecionamento com mensagens de bloqueio com uma URL de redirecionamento não está disponível para aplicativos não-HTTP ou não-HTTPS.

  • Uma política unificada não verifica a validade e a acessibilidade de uma URL de redirecionamento configurada pelo usuário.

  • Para processamento claro de texto, pacotes HTTP fora de pedido ou solicitações de HTTP segmentadas, as ações de políticas disponíveis são rejeitadas ou negam. Um perfil de redirecionamento não está disponível.

  • O perfil de redirecionamento pode ser aplicado apenas em políticas unificadas. A ação de rejeição para políticas de segurança tradicionais não aceita uma ação de redirecionamento com perfis de mensagens em blocos ou um URL redirecionado.

Perfil de proxy SSL para rejeitar ação

A partir do Junos OS Release 18.2R1, você pode configurar um perfil de redirecionamento dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negar ou rejeitar, você pode aplicar um perfil de proxy SSL ao tráfego. O proxy SSL descriptografa a funcionalidade de identificação de tráfego e aplicativos que identifica o aplicativo. Em seguida, você pode tomar medidas para redirecionar ou derrubar o tráfego conforme a configuração.

Considere o seguinte exemplo:

Neste exemplo, você está rejeitando alguns dos aplicativos do Facebook, como chat, Farmville, e assim por diante na política 'policy-1'. Como o Facebook é um aplicativo criptografado, você precisa de proxy SSL para descriptografar o tráfego primeiro.

Neste exemplo, a política rejeita o tráfego criptografado do Facebook e aplica o perfil de proxy SSL configurado. O proxy SSL descriptografa o tráfego, e o JDPI identifica o aplicativo.

Agora, a política toma as seguintes ações com base em sua configuração:

  • Redireciona o acesso do cliente a outra URL e fecha a sessão original.

  • Notifica o cliente com mensagens de texto pré-definidas e encerra a sessão

  • Fecha a sessão apenas. No exemplo, a política encerra a sessão.

Critérios e regras de correspondência para políticas unificadas

Correspondência implícita e explícita da política unificada

A partir do Junos OS Release 18.2R1, o comando unified-policy-explicit-match é introduzido no nível hierárquica [edit security policies] . Este comando define o comportamento explícito e implícito de correspondência de políticas e é desativado por padrão.

  • Correspondência explícita — se um aplicativo dependente não tiver nenhuma política de correspondência, o tráfego será descartado se a correspondência explícita estiver ativada. Apenas as políticas de segurança que estão explicitamente configuradas para o aplicativo são aplicadas.

  • Correspondência implícita — se o aplicativo dependente não tiver nenhuma política de correspondência, então a política de segurança configurada para o aplicativo base é aplicada.

Por padrão, as políticas unificadas aplicam regras implícitas sobre aplicativos dependentes.

No exemplo mostrado na Tabela 2, a política unificada P3 está configurada para o tráfego FACEBOOK-ACCESS. HTTP é uma aplicação dependente do FACEBOOK-ACCESS e não tem nenhuma política de segurança explicitamente configurada para ele.

Tabela 2: Exemplo de uma correspondência de política explícita e implícita para um aplicativo dependente

Aplicativo dinâmico

Política configurada

HTTP

Nenhum

ACESSO AO FACEBOOK

P3

Os resultados para o comportamento implícito e explícito da correspondência são mostrados na Tabela 3.

Tabela 3: Exemplo de correspondência de políticas (critérios implícitos e explícitos de correspondência)

Aplicativo identificado

Política combinada

Tipo de regra explícita ou implícita

Resultado

Nenhum

P3

Implícito (explícito não está habilitado)

O aplicativo identificado é HTTP. Não há uma política de segurança compatível configurada para HTTP. A correspondência explícita não está habilitada (correspondência implícita), por isso o tráfego é processado até que o FACEBOOK-ACCESS seja identificado. A política de segurança configurada para o FACEBOOK-ACCESS (política P3) é aplicada.

HTTP

ACESSO AO FACEBOOK

HTTP

Nenhum

Explícita

O aplicativo identificado é HTTP. Não há uma política de correspondência disponível para HTTP. A correspondência explícita está ativada, portanto, nenhuma política de segurança é aplicada neste caso.

Sobreposição de perfil para serviços de Camada 7

Embora use políticas unificadas, se os resultados do AppID ainda não tiverem identificado o aplicativo final, uma pesquisa de políticas pode devolver uma lista de políticas em vez de uma política fixa. Essas políticas são referidas como políticas de correspondência potenciais. Antes que a aplicação final seja identificada, um conflito pode ocorrer devido a várias correspondências de políticas.

Nesse caso, um perfil ou perfil padrão apropriado é aplicado a serviços como AppQoS, proxy SSL, UTM e IDP.

Reencontro de políticas

Quando a opção policy rematch é ativada, a política unificada permite que o dispositivo reavaliar uma sessão ativa quando sua política de segurança associada for modificada.

A sessão permanece aberta se continuar a corresponder à política que permitiu a sessão inicialmente. A sessão se encerra se sua política associada for renomeada, desativada ou excluída. Use a opção extensive para reavaliar uma sessão ativa quando sua política de segurança associada for renomeada, desativada ou excluída.

Se a vingança da política for configurada em uma política unificada antes de uma partida final, então o comportamento de vingança pode levar a um encerramento da sessão. Após a partida final, uma disputa política desencadeia outra pesquisa de política com base nos critérios de correspondência de 6 tuples e no aplicativo identificado final.

Configure policy-rematch e as policy-rematch extensive opções no nível de [edit security policies] hierarquia.

Limitações à configuração de políticas unificadas

Existem limitações para configurar políticas unificadas. Eles incluem:

  • Uma sessão existente pode ser encerrada nos seguintes casos:

    • Quando há uma mudança na partida final para a política.

    • Quando uma nova política é inserida dentro das políticas existentes e se essa nova política for configurada com novos serviços.

    • Quando uma política de correspondência final permite novos serviços após a criação da sessão e antes da partida final.

  • A VPN baseada em políticas não tem suporte para políticas unificadas e só pode ser aplicada à política tradicional.

  • As ALGs são aplicadas em uma das seguintes condições:

    • A política de segurança tradicional está configurada.

    • A política unificada é configurada com aplicação dinâmica como nenhuma.

    Configurar um aplicativo dinâmico com junos:FTP aciona um FTP ALG para oferecer suporte à digitalização de antivírus UTM. Veja como ativar a digitalização de antivírus FTP (procedimento de CLI)

  • Uma política de segurança configurada com GPRS pode não funcionar se a política fizer parte de uma lista de correspondências em potencial.

  • Uma VPN em grupo e a autenticação do firewall do usuário podem ser aplicadas a uma política de segurança tradicional.

  • As informações finais de correspondência de políticas podem não estar disponíveis em logs de sessão para políticas que utilizam aplicativos dinâmicos.

Exemplo: configure uma política unificada usando um perfil de mensagem de redirecionamento

Este exemplo descreve como configurar uma política unificada com um perfil de mensagem de redirecionamento. Neste exemplo, você configura um perfil de redirecionamento com um URL redirecionado. Você usa o perfil de redirecionamento como uma mensagem de bloqueio na política de tráfego nos aplicativos dinâmicos GMAIL e FACEBOOK-CHAT. Simultaneamente, você configura o aplicativo junos-defaults para que a porta e o protocolo padrão dos aplicativos dinâmicos sejam herdados como critérios de correspondência de protocolo e porta de destino da política atual.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dispositivo da Série SRX executando o Junos OS Release 18.2R1. Este exemplo de configuração é testado com o junos OS versão 18.2R1.

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você define o perfil de redirecionamento como uma resposta quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição. Por meio de um perfil de redirecionamento, você fornece uma explicação para a ação ou redireciona a solicitação do cliente para uma página web informativa quando a ação de rejeição ou negação é aplicada em uma política de segurança.

Para atingir esses objetivos, você executa as seguintes tarefas:

  • Configure o perfil de redirecionamento com um URL redirecionado, como http://abc.company.com/information/block-message e use-o na política como uma mensagem de bloco.

  • Configure os critérios source-address de correspondência da política de segurança e destination-address com o valor any.

  • Configure o aplicativo com junos-defaults, para que a porta e o protocolo padrão sejam dynamic-application herdados como critérios de correspondência de protocolo e porta de destino da política atual.

  • Configure dynamic-application com [junos:GMAIL, junos:FACEBOOK-CHAT] isso para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política unificada com um perfil de mensagem de redirecionamento:

  1. Configure zonas de segurança.

  2. Crie um perfil para redirecionar a mensagem.

  3. Crie uma política de segurança com uma aplicação dinâmica como critérios de correspondência.

  4. Defina a ação da política.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security dynamic-application comandosshow security policies. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração unificada de políticas

Propósito

Verifique se a configuração unificada de políticas está correta.

Ação

A partir do modo operacional, entre no show security policies comando para exibir um resumo de todas as políticas de segurança no dispositivo.

A partir do modo operacional, entre no show security policies detail comando para exibir um resumo detalhado de todas as políticas de segurança do dispositivo.

Significado

A saída exibe informações sobre todas as sessões de segurança ativas no momento no dispositivo. Verifique as seguintes informações:

  • Nome de política configurado

  • Endereços de origem e destino

  • Aplicativos configurados

  • Aplicativos dinâmicos configurados

  • Política rejeita ação

Configure uma categoria de URL com políticas unificadas

Entender a categoria de URL com políticas unificadas

A partir do Junos OS Release 18.4R1, o recurso de políticas unificadas é aprimorado para incluir categorias de URL como critérios de correspondência para categoria de filtragem web. As categorias de URL podem ser configuradas para políticas unificadas com ou sem aplicação dinâmica. .

Quando a categoria URL está configurada quanto url-category any a uma política, a política corresponde a todas as categorias de tráfego configuradas às políticas unificadas.

Quando a categoria de URL está configurada quanto url-category none a uma política, a categoria de URL não é usada na configuração da política. A política unificada configurada com url-category none é considerada a mais alta prioridade para a correspondência de políticas para um tráfego. Quando a categoria de URL para uma política não estiver configurada, ou quando você atualizar um dispositivo da versão anterior para a versão mais recente, a categoria de URL de todas as políticas é considerada como url-category none.

Limitações da categoria de URL com políticas unificadas

O uso de categorias de URL em uma política unificada tem a seguinte limitação:

  • Apenas as portas que geralmente são usadas, como tráfegos HTTP e HTTPs, são suportadas por url-category. Assim, a busca de políticas oferece suporte aos tráfegos de HTTP e HTTPs.

Exemplo: configurar uma política unificada usando a categoria URL

Este exemplo descreve como configurar uma política unificada com uma categoria de URL.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dispositivo da Série SRX que executa o Junos OS Release 18.4R1. Este exemplo de configuração é testado com o junos OS versão 18.4R1.

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, a categoria de URL é adicionada à política de segurança como critério de correspondência para a categoria de filtragem web.

Para atingir esses objetivos, você executa as seguintes tarefas:

  • Configure os critérios source-address de correspondência da política de segurança e destination-address com o valor any.

  • Configure o aplicativo com junos-defaults, para que a porta e o protocolo padrão sejam dynamic-application herdados como critérios de correspondência de protocolo e porta de destino da política atual.

  • Configure dynamic-application com [junos:GMAIL, junos:FACEBOOK-CHAT] isso para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.

  • Configure url-category com Enhanced_News_and_Media critérios compatíveis para a categoria de filtragem da web.

Configuração

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Configuração rápida de CLI
Procedimento passo a passo
Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política unificada com um perfil de mensagem de redirecionamento:

  1. Configure zonas de segurança.

  2. Crie uma política de segurança com uma categoria de URL como critério de correspondência.

  3. Defina a ação da política.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security dynamic-application comandosshow security policies. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração unificada de políticas
Propósito

Verifique se a configuração unificada de políticas está correta.

Ação

A partir do modo operacional, entre no show security policies comando para exibir um resumo de todas as políticas de segurança no dispositivo.

Significado

A saída exibe informações sobre todas as sessões de segurança ativas no momento no dispositivo. Verifique as seguintes informações:

  • Nome de política configurado

  • Endereços de origem e destino

  • Aplicativos configurados

  • Aplicativos dinâmicos configurados

  • Categoria de URL configurada

  • Política rejeita ação

Configure aplicativos em políticas unificadas

Aplicativos em políticas unificadas

Começando no Junos OS Release 19.1R1, configurar a application declaração no nível de [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] hierarquia é opcional se a dynamic-application declaração estiver configurada no mesmo nível de hierarquia.

Em versão antes do Junos OS Release 19.1R1, é obrigatório configurar a application declaração mesmo que a dynamic-application declaração esteja configurada.

  • Quando a opção application é definida, a aplicação definida é usada.

  • Quando a opção application não está definida e a opção dynamic-application é definida como any, então o aplicativo any é adicionado implicitamente.

  • Quando a opção application não está definida e a opção dynamic-application é definida (e não está configurada como any), a aplicação junos-defaults é adicionada implicitamente.

Exemplo: configure uma política unificada usando aplicativos dinâmicos

Este exemplo descreve como configurar uma política unificada usando aplicativos dinâmicos.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dispositivo da Série SRX que executa o Junos OS Release 19.1R1. Este exemplo de configuração é testado com o junos OS versão 19.1R1.

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, aplicativos dinâmicos são adicionados à política de segurança como critérios de correspondência.

Para atingir esses objetivos, realize as seguintes tarefas:

  • Configure os critérios source-address de correspondência da política de segurança e destination-address com o valor any.

  • Configure dynamic-application com [junos:CNN, junos:BBC] isso para que a política possa permitir os aplicativos junos:CNN e junos:BBC.

Configuração

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Configuração rápida de CLI
Procedimento passo a passo
Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar uma política unificada usando aplicativos dinâmicos:

  1. Configure zonas de segurança.

  2. Crie uma política de segurança com uma aplicação dinâmica como critérios de correspondência.

  3. Defina a ação da política.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração unificada de políticas
Propósito

Verifique se a configuração unificada de políticas está correta.

Ação

A partir do modo operacional, entre no show security policies comando para exibir um resumo de todas as políticas de segurança no dispositivo.

A partir do modo operacional, entre no show security policies detail comando para exibir um resumo detalhado de todas as políticas de segurança do dispositivo.

Significado

A saída exibe informações sobre todas as sessões de segurança ativas no momento no dispositivo. Verifique as seguintes informações:

  • Nome de política configurado

  • Endereços de origem e destino

  • Aplicativos configurados

    Nota:

    O Applications campo é autopovoado e seu valor junos-defaults é adicionado implicitamente.

  • Aplicativos dinâmicos configurados

  • Ação política

Configure microaplicação em políticas unificadas

A partir do Junos OS Release 19.2R1, você pode configurar microaplicação em uma política unificada. Microaplicaçãos são subfunções de um aplicativo. Micro-aplicativos permitem o controle granular de um aplicativo em um nível de subfunção em vez de bloquear ou permitir todo o aplicativo. Por padrão, a detecção de microaplicaçãos é desativada.

O módulo de identificação de aplicativos (AppID) detecta um aplicativo em um nível de subfunções em sua rede. As políticas de segurança utilizam as informações de identidade do aplicativo determinadas pelo módulo AppID. Após a identificação de um aplicativo específico, uma ação como permitir, negar, rejeitar ou redirecionar é aplicada ao tráfego de acordo com a política configurada no dispositivo. Você deve habilitar a detecção de micro-aplicativos para usá-los em uma política de segurança. Veja a ativação e a desativação da detecção de microa aplicativos.

Limitar o número de buscas de políticas

Para processar uma política, a busca da política deve devolver o estado de correspondência final para o aplicativo. Ao usar uma microaplicação, a classificação de aplicativos não chega ao estado de correspondência final porque a microaplicação muda constantemente para a sessão. Como a microaplicação muda de uma transação para outra, tenta-se um número ilimitado de buscas de políticas.

Use a unified-policy max-lookups declaração no nível de [edit security policies] hierarquia para limitar o número de buscas de políticas.

Configure microaplicação

Para permitir uma aplicação de nível base e todos os seus microaplicaçãos dependentes, você pode configurar uma política unificada especificando o aplicativo de nível base como critério de correspondência. Você não precisa especificar explicitamente cada aplicativo dependente como critério de correspondência para a política. Por exemplo, se você especificar o aplicativo junos-MODBUS de nível base como critério de correspondência em uma política unificada, então você não precisa configurar as microaplicaçãos do junos-MODBUS aplicativo (junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL) como critérios de correspondência para a política.

Se você quiser definir uma política unificada para controle de nível granular, então você deve especificar as micro-aplicações do aplicativo de nível base como critérios de correspondência para a política. Você não deve definir a aplicação de nível base como critérios de correspondência na política. Para configuração de políticas de nível mais granular, especifique junos:MODBUS-READ-COILS como critérios de correspondência em uma política unificada. Garanta que o aplicativo junos:MODBUS de nível base não seja definido como um critério correspondente na mesma política unificada.

Busca de políticas com microaplicações

A detecção de microaplicaçãos é desativada por padrão. Para usar microaplicações como critérios de correspondência para a pesquisa de políticas, você deve habilitar a detecção de microaplicações e especifique-as como critérios de correspondência para a política unificada. Se você não tiver habilitado a detecção de microaplicaçãos, o módulo de identificação de aplicativos (AppID) não detecta nenhuma microaplicação e considera o aplicativo de nível base como o critério final de correspondência. Por exemplo, considere o aplicativo junos-:MODBUS de nível base que tem duas microaplicaçãos junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL:

  • Se você não tiver habilitado a detecção de microaplicação, junos:MODBUS é considerado como o estado de correspondência final para a classificação AppID. Se você habilitar microa aplicativos, então você pode configurá-los em uma política unificada como qualquer outro aplicativo dinâmico pré-definido. Essa microaplicação é usada para a busca de políticas.

  • Se você tiver habilitado a detecção de microaplicaçãos, o módulo AppID considera junos:MODBUS o estado pré-jogo . Quando o módulo AppID detecta junos:MODBUS-READ-COILS ou junos:MODBUS-WRITE-SINGLE-COIL, o AppID considera esse resultado como o estado final da partida e prossegue com a busca de políticas usando este critério de correspondência.