Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas de segurança unificadas

Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6 tuple (5 tuple com firewall de usuário) para detectar alterações de aplicativos ao longo do tempo.

Visão geral das políticas unificadas

A partir do Junos OS Release 18.2R1, as políticas unificadas são suportadas em firewalls da Série SRX, permitindo o controle granular e a aplicação de aplicativos dinâmicos de Camada 7 dentro da política de segurança.

Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6 tuple (5 tuple com firewall de usuário) para detectar alterações de aplicativos ao longo do tempo. Se o tráfego corresponde à regra da política de segurança, uma ou mais ações definidas na política serão aplicadas ao tráfego.

Ao adicionar aplicativos dinâmicos aos critérios de correspondência, o tráfego de dados é classificado com base nos resultados da inspeção de aplicativos de Camada 7. O AppID identifica aplicativos dinâmicos ou em tempo real de Camada 4 a Camada 7. Após a identificação de um determinado aplicativo e a política de correspondência, as ações são aplicadas de acordo com a política.

A configuração de aplicativos dinâmicos como critérios de correspondência em uma política de segurança não é obrigatória.

Exemplos de configuração de aplicativos dinâmicos como condição de correspondência dentro de uma política de segurança são os seguintes:

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

Exemplos de configuração de grupos dinâmicos de aplicativos como condição de correspondência dentro de uma política de segurança são os seguintes:

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

Benefícios

  • Simplifica o gerenciamento de políticas de segurança baseadas em aplicativos na Camada 7.

  • Permite que seu dispositivo se adapte às mudanças dinâmicas de tráfego na rede.

  • Oferece maior controle e extensibilidade para gerenciar o tráfego dinâmico de aplicativos do que uma política de segurança tradicional.

Visão geral da configuração de políticas unificadas

As seções a seguir fornecem mais informações sobre políticas unificadas:

Opções dinâmicas de configuração de aplicativos

A Tabela 1 oferece opções para configurar uma política unificada com aplicativos dinâmicos.

Tabela 1: Opções dinâmicas de configuração de aplicativos

Opções dinâmicas de configuração de aplicativos

Descrição

Aplicativos dinâmicos ou grupos de aplicativos

Especifique aplicativos dinâmicos ou um grupo dinâmico de aplicativos.

Exemplos são os seguintes:

  • junos:FTP (aplicativo dinâmico)

  • junos:web:shopping (grupo dinâmico de aplicativos)

Qualquer

Configurando o aplicativo dinâmico conforme any instala a política com o aplicativo como um curinga (padrão). Se um aplicativo não puder ser especificado, configure any como o aplicativo padrão. O tráfego de dados que corresponde aos parâmetros em uma política unificada corresponde à política, independentemente do tipo de aplicativo.

Nenhum

Configurar o aplicativo dinâmico como none ignora os resultados de classificação do AppID e não usa o aplicativo dinâmico em buscas de políticas de segurança. Dentro da lista de políticas de correspondência em potencial, se houver alguma política configurada com um aplicativo dinâmico como none, essa política é compatível com a política final e é terminal. Se algum serviço de Camada 7 estiver configurado nesta política, a inspeção profunda de pacotes para o tráfego será realizada.

Ao atualizar a versão do Junos OS (onde os aplicativos dinâmicos não eram suportados), todas as políticas tradicionais existentes são consideradas políticas com o aplicativo dinâmico configurado como none.

Aplicativo dinâmico não configurado

Se um aplicativo dinâmico não estiver configurado dentro de uma política de segurança, a política é considerada uma política de segurança tradicional Esta política é semelhante a uma política com o aplicativo dinâmico configurado como none.

A partir dos versões Junos OS 19.4R1 e 20.1R1, a política de segurança não oferece suporte ao uso de aplicativos a seguir como critérios de correspondência de aplicativos dinâmicos:

  • junos:HTTPS

  • junos:POP3S

  • junos:IMAPS

  • junos:SMTPS

Upgrade de software para o Junos OS Versões 19.4R1 e 20.1R1 e versões posteriores falham durante a validação se alguma das políticas de segurança estiver configurada com junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS como aplicativos dinâmicos como critérios de correspondência.

Recomendamos que você use a opçãorequest system software validate package-name antes de atualizar para as versões mencionadas acima.

Recomendamos que você remova qualquer configuração que inclua o junos:HTTPS de aplicativo dinâmico, junos:IMAPS, junos:SMTPS ou junos:POP3S como critérios de correspondência em políticas de segurança.

Portas e protocolos padrão como critérios de correspondência de aplicativos

A partir do Junos OS Release 18.2R1, a opção junos-defaults é introduzida na configuração da política de segurança como critérios de correspondência de aplicativos. O junos-defaults grupo contém declarações pré-configuradas que incluem valores predefinidos para aplicativos comuns. Como os protocolos e portas padrão são herdados, não há necessidade de junos-defaultsconfigurar explicitamente as portas e protocolos, simplificando assim a configuração da política de segurança.

No exemplo a seguir, a política de segurança L7-test-policy usa junos:HTTP como aplicativo dinâmico e herda portas TCP de destino: 80, 3128, 8000 e 8080 como critérios de correspondência de aplicativos.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

Se o aplicativo não tiver portas e protocolos padrão, o aplicativo usará as portas e protocolos padrão do aplicativo dependente. Por exemplo, junos:FACEBOOK-CHAT usa protocolos e portas padrão de HTTP2, HTTPS e SPDY.

A opção junos-defaults deve ser configurada junto com um aplicativo dinâmico. Se você configurar a opção junos-defaults sem especificar qualquer aplicativo dinâmico, então uma mensagem de erro é exibida e a configuração se confirma. Use o show security policies detail comando para validar a opção junos-defaults .

Política de padrão pré-ID

Uma política unificada aproveita as informações do AppID para combinar com o aplicativo e agir conforme especificado na política. Antes de identificar o aplicativo final, a política não pode ser combinada com precisão.

A política de padrão pré-ID permite temporariamente que a sessão seja criada para que a DPI possa obter o pacote e realizar a identificação de aplicativos (AppID).

A partir do Junos OS Release 23.4R1, a política de padrão pré-ID ( pre-id-default-policy ) nega o fluxo antes de realizar a identificação de aplicativos (AppID) quando não há políticas potenciais para permitir o fluxo.

Quando o dispositivo recebe o primeiro pacote de um fluxo de tráfego, ele executa a correspondência básica de 5 tuples e verifica as políticas potenciais definidas para determinar como tratar o pacote. Se todas as políticas potenciais tiverem a ação como "negar", e a ação padrão da política também estiver definida para "negar", o dispositivo nega o tráfego e não realiza a identificação de aplicativos (AppID).

Se alguma política tiver ação que não seja "negar", o dispositivo realizará DPI para identificar o aplicativo.

O dispositivo verifica políticas potenciais no contexto da zona e no contexto global.

Ações de política padrão antes da identificação dinâmica de aplicativos

Antes que um aplicativo seja identificado pela Identificação de Aplicativos (AppID), as pre-id-default-policy opções são aplicadas à sessão. O valor do tempo limite da sessão, juntamente com o modo necessário de registro de sessão, são aplicados de acordo com a pre-id-default-policy configuração. Se não houver configuração dentro da pre-id-default-policy estrofe, os valores de tempo limite de sessão padrão serão aplicados à sessão e nenhum log será gerado para.pre-id-default-policy

Recomendamos que os clientes implementem a set security policies pre-id-default-policy then log session-close configuração, conforme mostrado abaixo, em seus próprios ambientes.

Essa configuração garantirá que os logs de segurança sejam gerados pelo SRX se um fluxo não puder sair. pre-id-default-policy Esses eventos geralmente são resultado da impossiência do JDPI de classificar adequadamente o tráfego, embora também possam indicar possíveis tentativas de escapar do mecanismo APPID.

Em versões recentes do Junos OS, a configuração padrão de fábrica de um SRX inclui a session-close configuração.

CUIDADO:

Configurar o registro de sessão emit para gerar pre-id-default-policy uma grande quantidade de logs. Cada sessão que entrar no SRX que corresponda inicialmente à política de pré-id-default gerará um evento. Recomendamos usar apenas essa opção para fins de solução de problemas.

Utilização de políticas globais com políticas unificadas

As políticas de segurança baseadas em zonas são priorizadas em relação às políticas globais quando uma pesquisa de políticas é implementada. A partir do Junos OS Release 18.2R1, se uma política unificada estiver configurada dentro das políticas de segurança baseadas em zona, a busca por políticas globais não será realizada. Antes do Junos OS Release 18.2R1, se nenhuma política baseada em zona for compatível, uma pesquisa de política global é realizada.

A partir do Junos OS Release 20.4R1, os firewalls da Série SRX oferecem suporte a políticas unificadas em políticas de contexto de zona e de nível global ao mesmo tempo. Em versões anteriores, políticas unificadas suportavam apenas políticas de contexto de zona.

Se a sessão corresponder a qualquer política unificada, seja em nível de zona ou em nível global, a política será adicionada à lista de correspondências de políticas em potencial. Se a sessão não corresponder a uma política no nível da zona, a próxima correspondência de política ocorre no nível global. As políticas de nível global têm os mesmos critérios de correspondência que qualquer outra política de segurança (exemplo: endereço de origem, endereço de destino, aplicativo, aplicativo dinâmico etc.).

Ações políticas unificadas

Em uma configuração de política unificada, especifique uma das seguintes ações:

  • Permissão — permitir o tráfego.

  • Negar — Solte o tráfego e encerre a sessão.

  • Rejeitar — Notifique o cliente, solte o tráfego e encerre a sessão.

Redirecionar perfil para rejeitar ação

Políticas unificadas registram quedas e rejeitam ações. As políticas unificadas não notificam os clientes conectados para quedas e rejeitam ações. Os clientes não sabem que a página da web não é acessível e podem continuar suas tentativas de acessá-la.

A partir do Junos OS Release 18.2R1, um perfil de redirecionamento pode ser configurado dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição, você pode definir uma resposta na política unificada para notificar os clientes conectados.

Para fornecer uma explicação para a ação ou redirecionar o cliente para uma página web informativa, use a opção redirect-message no [edit security dynamic-application profile name] nível hierárquico com a ação de rejeitar ou negar em uma configuração de política unificada para exibir uma mensagem personalizada.

Ao configurar a opção de redirecionamento, você pode especificar a mensagem personalizada ou a URL para a qual o cliente é redirecionado.

Limitações à configuração de um perfil de redirecionamento em políticas unificadas

Existem limitações para configurar um perfil de redirecionamento em políticas unificadas. Eles incluem:

  • O suporte para a ação de redirecionamento com mensagens de bloqueio com uma URL de redirecionamento não está disponível para aplicativos não-HTTP ou não-HTTPS.

  • Uma política unificada não verifica a validade e a acessibilidade de uma URL de redirecionamento configurada pelo usuário.

  • Para processamento claro de texto, pacotes HTTP fora de ordem ou solicitações de HTTP segmentadas, as ações políticas disponíveis são rejeitar ou negar. Um perfil de redirecionamento não está disponível.

  • O perfil de redirecionamento só pode ser aplicado em políticas unificadas. A ação de rejeição para políticas de segurança tradicionais não suporta uma ação de redirecionamento com perfis de mensagens em blocos ou um URL de redirecionamento.

Perfil de proxy SSL para ação de rejeição

A partir do Junos OS Release 18.2R1, você pode configurar um perfil de redirecionamento dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição, você pode aplicar um perfil de proxy SSL ao tráfego. O proxy SSL descriptografa a funcionalidade de identificação de tráfego e aplicativos que identifica o aplicativo. Em seguida, você pode agir para redirecionar ou soltar o tráfego conforme a configuração.

Considere o exemplo a seguir:

Neste exemplo, você está rejeitando alguns dos aplicativos do Facebook, como chat, Farmville, e assim por diante na política "política-1". Como o Facebook é um aplicativo criptografado, você precisa de proxy SSL para descriptografar o tráfego primeiro.

Neste exemplo, a política rejeita o tráfego criptografado do Facebook e aplica o perfil de proxy SSL configurado. O proxy SSL descriptografa o tráfego, e o JDPI identifica o aplicativo.

Agora, a política toma as seguintes ações com base em sua configuração:

  • Redireciona o acesso do cliente a outra URL e fecha a sessão original.

  • Notifica o cliente com mensagens de texto pré-definidas e encerra a sessão

  • Fecha apenas a sessão. No exemplo, a política encerra a sessão.

Critérios e regras de correspondência para políticas unificadas

Política unificada implícita e correspondência explícita

A partir do Junos OS Release 18.2R1, o comando unified-policy-explicit-match é introduzido no [edit security policies] nível hierárquicos. Este comando define o comportamento explícito e implícito de correspondência de políticas e é desativado por padrão.

  • Correspondência explícita — se um aplicativo dependente não tiver nenhuma política de correspondência, o tráfego será descartado se a correspondência explícita estiver habilitada. Apenas as políticas de segurança que estão explicitamente configuradas para o aplicativo são aplicadas.

  • Correspondência implícita — se o aplicativo dependente não tiver nenhuma política de correspondência, então a política de segurança configurada para o aplicativo base é aplicada.

Por padrão, as políticas unificadas aplicam regras implícitas sobre aplicativos dependentes.

No exemplo mostrado na Tabela 2, a política unificada P3 está configurada para o tráfego DE ACESSO do FACEBOOK. O HTTP é uma aplicação dependente do FACEBOOK-ACCESS e não tem nenhuma política de segurança explicitamente configurada para ele.

Tabela 2: Exemplo de uma correspondência de política explícita e implícita para um aplicativo dependente

Aplicativo dinâmico

Política configurada

HTTP

Nenhum

ACESSO AO FACEBOOK

P3

Os resultados do comportamento implícito e explícito da correspondência são mostrados na Tabela 3.

Tabela 3: Exemplo de correspondência de políticas (Critérios implícitos e explícitos de correspondência)

Aplicativo identificado

Política combinada

Tipo de regra explícito ou implícito

Resultado

Nenhum

P3

Implícito (explícito não está habilitado)

O aplicativo identificado é HTTP. Não há nenhuma política de segurança correspondente configurada para HTTP. A correspondência explícita não está habilitada (correspondência implícita), de modo que o tráfego é processado ainda mais até que o FACEBOOK-ACCESS seja identificado. A política de segurança configurada para ACESSO ao FACEBOOK (política P3) é aplicada.

HTTP

ACESSO AO FACEBOOK

HTTP

Nenhum

Explícita

O aplicativo identificado é HTTP. Não há política de correspondência disponível para HTTP. A correspondência explícita está habilitada, portanto, nenhuma política de segurança é aplicada neste caso.

Sobreposição de perfil para serviços de camada 7

Ao usar políticas unificadas, se os resultados do AppID ainda não tiverem identificado o aplicativo final, uma pesquisa de políticas pode devolver uma lista de políticas em vez de uma política fixa. Essas políticas são referidas como políticas compatíveis em potencial. Antes que o aplicativo final seja identificado, um conflito pode ocorrer devido a várias correspondências de políticas.

Neste caso, um perfil ou perfil padrão apropriado é aplicado a serviços como AppQoS, proxy SSL, Segurança de conteúdo e IDP.

Ressarço de políticas

Quando a opção policy rematch é habilitada, a política unificada permite que o dispositivo reavaliar uma sessão ativa quando sua política de segurança associada for modificada.

A sessão permanece aberta se continuar a corresponder à política que permitiu a sessão inicialmente. A sessão se encerra se sua política associada for renomeada, desativada ou excluída. Use a opção extensive de reavaliar uma sessão ativa quando sua política de segurança associada for renomeada, desativada ou excluída.

Se a política for configurada em uma política unificada antes de uma partida final, então o comportamento de vingança pode levar a um encerramento da sessão. Após a partida final, uma desativação da política desencadeia outra pesquisa de política com base nos critérios de correspondência de 6 tuple e no aplicativo identificado final.

Configure policy-rematch e as policy-rematch extensive opções no nível de [edit security policies] hierarquia.

Limitações à configuração de políticas unificadas

Existem limitações para configurar políticas unificadas. Eles incluem:

  • Uma sessão existente pode ser encerrada nos seguintes casos:

    • Quando há uma mudança na partida final para a política.

    • Quando uma nova política é inserida dentro das políticas existentes e se essa nova política estiver configurada com novos serviços.

    • Quando uma política final de partidas permite novos serviços após a sessão ser criada e antes da partida final.

  • A VPN baseada em políticas não é suportada para políticas unificadas e pode ser aplicada apenas à política tradicional.

  • O processamento de tráfego ALG nas políticas unificadas não envolve funções ALG.
  • As ALGs são aplicadas quando correspondentes às políticas de segurança tradicionais.
    • As políticas que utilizam uma condição compatível dynamic-application as none são tratadas como políticas tradicionais.
  • O FTP é uma exceção ao suporte alg em políticas unificadas que permitem a digitalização de arquivos FTP para O Antivírus de segurança de conteúdo.
  • Uma política de segurança configurada com GPRS pode não funcionar se a política fizer parte de uma lista de correspondências em potencial.

  • Uma VPN em grupo e a autenticação do firewall do usuário podem ser aplicadas a uma política de segurança tradicional.

  • As informações finais de correspondência de políticas podem não estar disponíveis em logs de sessão para políticas que utilizam aplicativos dinâmicos.

Exemplo: configure uma política unificada usando um perfil de mensagem de redirecionamento

Este exemplo descreve como configurar uma política unificada com um perfil de mensagem de redirecionamento. Neste exemplo, você configura um perfil de redirecionamento com uma URL de redirecionamento. Você usa o perfil de redirecionamento como uma mensagem de bloqueio na política de tráfego nos aplicativos dinâmicos GMAIL e FACEBOOK-CHAT. Simultaneamente, você configura o aplicativo junos-defaults para que a porta e o protocolo padrão dos aplicativos dinâmicos sejam herdados como critérios de correspondência de protocolo e porta de destino da política atual.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Firewall da Série SRX executando o Junos OS Release 18.2R1. Este exemplo de configuração é testado com o junos OS versão 18.2R1.

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você define o perfil de redirecionamento como uma resposta quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição. Por meio de um perfil de redirecionamento, você fornece uma explicação para a ação ou redireciona a solicitação do cliente para uma página web informativa quando a ação de rejeição ou negação é aplicada em uma política de segurança.

Para atingir esses objetivos, você executa as seguintes tarefas:

  • Configure o perfil de redirecionamento com uma URL de redirecionamento, como http://abc.company.com/information/block-message e use-o na política como uma mensagem de bloco.

  • Configure os critérios source-address de correspondência da política de segurança com destination-address o valor any.

  • Configure o aplicativo com junos-defaults, para que a porta e o protocolo padrão sejam herdados como critérios de correspondência de protocolo e porta de dynamic-application destino da política atual.

  • Configure dynamic-application com [junos:GMAIL, junos:FACEBOOK-CHAT] para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar uma política unificada com um perfil de mensagem de redirecionamento:

  1. Configure zonas de segurança.

  2. Crie um perfil para redirecionar a mensagem.

  3. Crie uma política de segurança com um aplicativo dinâmico conforme os critérios de correspondência.

  4. Definir a ação da política.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security dynamic-application os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração de políticas unificadas

Propósito

Verifique se a configuração unificada de políticas está correta.

Ação

Desde o modo operacional, entre no show security policies comando para exibir um resumo de todas as políticas de segurança no dispositivo.

Desde o modo operacional, entre no show security policies detail comando para exibir um resumo detalhado de todas as políticas de segurança no dispositivo.

Significado

A saída exibe informações sobre todas as sessões de segurança ativas no dispositivo no momento. Verifique as seguintes informações:

  • Nome da política configurado

  • Endereços de origem e destino

  • Aplicativos configurados

  • Aplicativos dinâmicos configurados

  • Política rejeitar ação

Configure uma categoria de URL com políticas unificadas

Entender a categoria de URL com políticas unificadas

A partir do Junos OS Release 18.4R1, o recurso de políticas unificadas é aprimorado para incluir categorias de URL como critérios de correspondência para categoria de filtragem web. As categorias de URL podem ser configuradas para políticas unificadas com ou sem aplicação dinâmica. .

Quando a categoria de URL está configurada quanto url-category any a uma política, a política corresponde a todas as categorias de tráfego configuradas às políticas unificadas.

Quando a categoria de URL está configurada quanto url-category none a uma política, a categoria de URL não é usada na configuração da política. A política unificada configurada com url-category none é considerada como a maior prioridade para a correspondência de políticas para um tráfego. Quando a categoria de URL para uma política não estiver configurada, ou quando você atualizar um dispositivo da versão anterior para a versão mais recente, a categoria de URL de todas as políticas é considerada como url-category none.

Limitações da categoria de URL com políticas unificadas

Usar categorias de URL em uma política unificada tem a seguinte limitação:

  • Apenas as portas que geralmente são usadas, como tráfegos HTTP e HTTPs, são suportadas por url-category. Dessa forma, a busca por políticas oferece suporte aos tráfegos de HTTP e HTTPs.

Exemplo: configuração de uma política unificada usando categoria de URL

Este exemplo descreve como configurar uma política unificada com uma categoria de URL.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Firewall da Série SRX executando o Junos OS Release 18.4R1. Este exemplo de configuração é testado com o junos OS versão 18.4R1.

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, a categoria URL é adicionada à política de segurança como critério de correspondência para a categoria de filtragem web.

Para atingir esses objetivos, você executa as seguintes tarefas:

  • Configure os critérios source-address de correspondência da política de segurança com destination-address o valor any.

  • Configure o aplicativo com junos-defaults, para que a porta e o protocolo padrão sejam herdados como critérios de correspondência de protocolo e porta de dynamic-application destino da política atual.

  • Configure dynamic-application com [junos:GMAIL, junos:FACEBOOK-CHAT] para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.

  • Configure url-category com Enhanced_News_and_Media critérios compatíveis para a categoria de filtragem da web.

Configuração

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Configuração rápida da CLI
Procedimento passo a passo
Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar uma política unificada com um perfil de mensagem de redirecionamento:

  1. Configure zonas de segurança.

  2. Crie uma política de segurança com uma categoria de URL conforme os critérios de correspondência.

  3. Definir a ação da política.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security dynamic-application os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração de políticas unificadas
Propósito

Verifique se a configuração unificada de políticas está correta.

Ação

Desde o modo operacional, entre no show security policies comando para exibir um resumo de todas as políticas de segurança no dispositivo.

Significado

A saída exibe informações sobre todas as sessões de segurança ativas no dispositivo no momento. Verifique as seguintes informações:

  • Nome da política configurado

  • Endereços de origem e destino

  • Aplicativos configurados

  • Aplicativos dinâmicos configurados

  • Categoria de URL configurada

  • Política rejeitar ação

Configure aplicativos em políticas unificadas

Aplicativos em políticas unificadas

A partir do Junos OS Release 19.1R1, configurar a application declaração no nível de [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] hierarquia é opcional se a dynamic-application declaração estiver configurada no mesmo nível de hierarquia.

Em versões antes do Junos OS Release 19.1R1, é obrigatório configurar a application declaração mesmo que a dynamic-application declaração esteja configurada.

  • Quando a opção application é definida, então o aplicativo definido é usado.

  • Quando a opção application não é definida e a opção dynamic-application é definida como any, então o aplicativo any é adicionado implicitamente.

  • Quando a opção application não é definida e a opção dynamic-application é definida (e não está configurada como any), então o aplicativo junos-defaults é adicionado implicitamente.

Exemplo: configure uma política unificada usando aplicativos dinâmicos

Este exemplo descreve como configurar uma política unificada usando aplicativos dinâmicos.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Firewall da Série SRX executando o Junos OS Release 19.1R1. Este exemplo de configuração é testado com o junos OS versão 19.1R1.

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, aplicativos dinâmicos são adicionados à política de segurança como critérios de correspondência.

Para atingir esses objetivos, execute as seguintes tarefas:

  • Configure os critérios source-address de correspondência da política de segurança com destination-address o valor any.

  • Configure dynamic-application com [junos:CNN, junos:BBC] isso para que a política possa permitir os aplicativos junos:CNN e junos:BBC.

Configuração

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Configuração rápida da CLI
Procedimento passo a passo
Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar uma política unificada usando aplicativos dinâmicos:

  1. Configure zonas de segurança.

  2. Crie uma política de segurança com um aplicativo dinâmico conforme os critérios de correspondência.

  3. Definir a ação da política.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração de políticas unificadas
Propósito

Verifique se a configuração unificada de políticas está correta.

Ação

Desde o modo operacional, entre no show security policies comando para exibir um resumo de todas as políticas de segurança no dispositivo.

Desde o modo operacional, entre no show security policies detail comando para exibir um resumo detalhado de todas as políticas de segurança no dispositivo.

Significado

A saída exibe informações sobre todas as sessões de segurança ativas no dispositivo no momento. Verifique as seguintes informações:

  • Nome da política configurado

  • Endereços de origem e destino

  • Aplicativos configurados

    Nota:

    O Applications campo é autopovoado e seu valor junos-defaults é adicionado implicitamente.

  • Aplicativos dinâmicos configurados

  • Ação de política

Configure microa aplicativos em políticas unificadas

A partir do Junos OS Release 19.2R1, você pode configurar micro-aplicativos em uma política unificada. Micro-aplicativos são subfunções de um aplicativo. Micro-aplicativos permitem o controle granular de um aplicativo em um nível de subfunção em vez de bloquear ou permitir todo o aplicativo. Por padrão, a detecção de micro-aplicativos é desativada.

O módulo de identificação de aplicativos (AppID) detecta um aplicativo em um nível abaixo da função em sua rede. As políticas de segurança aproveitam as informações de identidade do aplicativo determinadas pelo módulo AppID. Após a identificação de um aplicativo específico, uma ação como permissão, negação, rejeição ou redirecionamento é aplicada ao tráfego de acordo com a política configurada no dispositivo. Você deve permitir a detecção de micro-aplicativos para usá-los em uma política de segurança. Veja a ativação e a desativação da detecção de micro-aplicativos.

Limite o número de buscas de políticas

Para processar uma política, a busca da política deve devolver o estado final da correspondência para o aplicativo. Ao usar uma microaplicação, a classificação do aplicativo não chega ao estado final da partida porque a microaplicação muda constantemente para a sessão. Como o microaplicacional muda de uma transação para outra, uma quantidade ilimitada de pesquisas de políticas é tentada.

Use a unified-policy max-lookups declaração no nível de [edit security policies] hierarquia para limitar o número de buscas de políticas.

Configure micro-aplicativos

Para permitir um aplicativo de nível base e todos os seus micro-aplicativos dependentes, você pode configurar uma política unificada especificando o aplicativo de nível base como um critério de correspondência. Você não precisa especificar explicitamente cada aplicativo dependente como critérios de correspondência para a política. Por exemplo, se você especificar o aplicativo junos-MODBUS de nível base como critério de correspondência em uma política unificada, então você não precisa configurar as micro-aplicações do junos-MODBUS aplicativo (junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL) como critérios de correspondência para a política.

Se você quiser definir uma política unificada para controle de nível granular, então você deve especificar as micro-aplicações do aplicativo de nível base como critérios de correspondência para a política. Você não deve definir o aplicativo de nível base como critérios de correspondência na política. Para uma configuração de política de nível mais granular, especifique junos:MODBUS-READ-COILS como critérios de correspondência em uma política unificada. Certifique-se de que o aplicativo junos:MODBUS de nível base não seja definido como um critério correspondente na mesma política unificada.

Busca de políticas com microaplicações

A detecção de micro-aplicativos é desativada por padrão. Para usar microaplicações como critérios correspondentes para a pesquisa de políticas, você deve permitir a detecção de microaplicações e depois especifique-as como critérios de correspondência para a política unificada. Se você não tiver habilitado a detecção de micro-aplicativos, o módulo de identificação de aplicativos (AppID) não detecta nenhuma microaplicação e considera o aplicativo de nível base como o critério final de correspondência. Por exemplo, considere o aplicativo junos-:MODBUS de nível base que tem duas microaplicaçãos junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL:

  • Se você não tiver habilitado a detecção de micro-aplicativos, junos:MODBUS é considerado como o estado de correspondência final para a classificação appID. Se você habilitar micro-aplicativos, então você pode configurá-los em uma política unificada como qualquer outro aplicativo dinâmico pré-definido. Este microaplicaenciamento é usado para a busca de políticas.

  • Se você tiver habilitado a detecção de micro-aplicativos, o módulo AppID considera junos:MODBUS o estado pré-jogo . Quando o módulo AppID detecta junos:MODBUS-READ-COILS ou junos:MODBUS-WRITE-SINGLE-COIL, o AppID considera esse resultado como o estado final da partida e prossegue com a busca de políticas usando este critério de correspondência.