Políticas de segurança unificadas
Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6-tuple (5-tuple com firewall do usuário) para detectar mudanças de aplicativos ao longo do tempo.
Visão geral das políticas unificadas
A partir do Junos OS Release 18.2R1, as políticas unificadas são suportadas em dispositivos da Série SRX, permitindo o controle granular e a aplicação de aplicativos dinâmicos de Camada 7 dentro da política de segurança.
Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como condições de correspondência como parte das condições de correspondência existentes de 5 tuple ou 6-tuple (5-tuple com firewall do usuário) para detectar mudanças de aplicativos ao longo do tempo. Se o tráfego corresponde à regra da política de segurança, uma ou mais ações definidas na política são aplicadas ao tráfego.
Ao adicionar aplicativos dinâmicos aos critérios de correspondência, o tráfego de dados é classificado com base nos resultados da inspeção de aplicativos de Camada 7. O AppID identifica aplicativos dinâmicos ou em tempo real de Camada 4 a Camada 7. Depois que um determinado aplicativo é identificado e a política de correspondência é encontrada, as ações são aplicadas de acordo com a política.
Configurar aplicativos dinâmicos como critérios de correspondência em uma política de segurança não é obrigatório.
Exemplos de configuração de aplicativos dinâmicos como condição de correspondência dentro de uma política de segurança são os seguintes:
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE
Exemplos de configuração de grupos dinâmicos de aplicativos como condição de correspondência dentro de uma política de segurança são os seguintes:
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping
Benefícios
Simplifica o gerenciamento de políticas de segurança baseadas em aplicativos na Camada 7.
Permite que seu dispositivo se adapte às mudanças dinâmicas de tráfego na rede.
Oferece maior controle e extensibilidade para gerenciar o tráfego dinâmico de aplicativos do que uma política de segurança tradicional.
Visão geral da configuração de políticas unificadas
As seções a seguir fornecem mais informações sobre políticas unificadas:
- Opções dinâmicas de configuração de aplicativos
- Portas e protocolos padrão como critérios de correspondência de aplicativos
- Ações de política padrão antes da identificação dinâmica de aplicativos
- Utilização de políticas globais com políticas unificadas
- Ações políticas unificadas
- Redirecionar perfil para rejeitar ação
- Perfil de proxy SSL para rejeitar ação
- Critérios e regras de correspondência para políticas unificadas
- Limitações à configuração de políticas unificadas
Opções dinâmicas de configuração de aplicativos
A Tabela 1 oferece opções para configurar uma política unificada com aplicativos dinâmicos.
Opções dinâmicas de configuração de aplicativos |
Descrição |
---|---|
Aplicativos dinâmicos ou grupos de aplicativos |
Especifique aplicativos dinâmicos ou um grupo dinâmico de aplicativos. Exemplos são os seguintes:
|
Qualquer |
Configurando o aplicativo dinâmico como |
Nenhum |
Configurar o aplicativo dinâmico ignora Ao atualizar a versão do Junos OS (onde os aplicativos dinâmicos não eram suportados), todas as políticas tradicionais existentes são consideradas políticas com o aplicativo dinâmico configurado como |
Aplicativo dinâmico não configurado |
Se um aplicativo dinâmico não estiver configurado dentro de uma política de segurança, a política é considerada uma política de segurança tradicional Esta política é semelhante a uma política com o aplicativo dinâmico configurado como |
A partir dos lançamentos do Junos OS 19.4R1 e 20.1R1, a política de segurança não aceita o uso de seguintes aplicativos como critérios de correspondência de aplicativos dinâmicos:
junos:HTTPS
junos:POP3S
junos:IMAPS
junos:SMTPS
Atualização de software para o Junos OS Versões 19.4R1 e 20.1R1 e versões posteriores falham durante a validação se alguma das políticas de segurança estiver configurada com junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS como aplicativos dinâmicos como critérios de correspondência.
Recomendamos que você use a opçãorequest system software validate package-name
antes de atualizar para os lançamentos mencionados acima.
Recomendamos que você remova qualquer configuração que inclua o junos:HTTPS de aplicativos dinâmicos, junos:IMAPS, junos:SMTPS ou junos:POP3S como critérios de correspondência em políticas de segurança.
Portas e protocolos padrão como critérios de correspondência de aplicativos
A partir do Junos OS Release 18.2R1, a opção junos-defaults
é introduzida na configuração da política de segurança como critérios de correspondência de aplicativos. O junos-defaults
grupo contém declarações pré-configuradas que incluem valores predefinidos para aplicativos comuns. Como os protocolos e portas padrão são herdados junos-defaults
, não há necessidade de configurar explicitamente as portas e protocolos, simplificando assim a configuração da política de segurança.
No exemplo a seguir, a política de segurança L7-test-policy usa junos:HTTP
como aplicativo dinâmico e herda portas TCP de destino: 80, 3128, 8000 e 8080 como critérios de correspondência de aplicativos.
set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP
Se o aplicativo não tiver portas e protocolos padrão, o aplicativo usará as portas e protocolos padrão do aplicativo dependente. Por exemplo, junos:FACEBOOK-CHAT usa protocolos e portas padrão de HTTP2, HTTPS e SPDY.
A opção junos-defaults
deve ser configurada junto com uma aplicação dinâmica. Se você configurar a opção junos-defaults
sem especificar nenhum aplicativo dinâmico, então uma mensagem de erro é exibida e a configuração falha. Use o show security policies detail
comando para validar a opção junos-defaults
.
Ações de política padrão antes da identificação dinâmica de aplicativos
Antes de um aplicativo ser identificado pela Identificação de Aplicativos (AppID), as pre-id-default-policy
opções são aplicadas à sessão. O valor do tempo de sessão, juntamente com o modo de registro de sessão necessário, são aplicados de acordo com a pre-id-default-policy
configuração. Se não houver configuração dentro da pre-id-default-policy
estrofe, os valores padrão de tempo de sessão são aplicados à sessão e nenhum log é gerado para o pre-id-default-policy
.
Recomendamos que os clientes implementem a set security policies pre-id-default-policy then log session-close
configuração, conforme mostrado abaixo, em seus próprios ambientes.
# show security policies pre-id-default-policy then { log { session-close; } }
Essa configuração garantirá que os logs de segurança sejam gerados pelo SRX se um fluxo não for capaz de deixar. pre-id-default-policy
Esses eventos geralmente são resultado de o JDPI ser incapaz de classificar adequadamente o tráfego, embora eles também possam indicar tentativas potenciais de escapar do mecanismo APPID.
Nas versões recentes do Junos OS, a configuração padrão de fábrica de um SRX inclui a session-close
configuração.
Configurar o registro de sessão emit para gerar pre-id-default-policy
uma grande quantidade de logs. Cada sessão que entrar no SRX que corresponda inicialmente à política pre-id-default gerará um evento. Recomendamos apenas o uso desta opção para fins de solução de problemas.
Utilização de políticas globais com políticas unificadas
As políticas de segurança baseadas em zonas são priorizadas em relação às políticas globais quando uma busca de políticas é implementada. A partir do Junos OS Release 18.2R1, se uma política unificada for configurada dentro das políticas de segurança baseadas em zonas, a busca por políticas globais não será realizada. Antes do Junos OS Release 18.2R1, se nenhuma política baseada em zona for combinada, uma busca de política global é realizada.
A partir do Junos OS Release 20.4R1, os dispositivos da Série SRX oferecem suporte a políticas unificadas em políticas de contexto de zona e de nível global ao mesmo tempo. Em versões anteriores, políticas unificadas apoiaram apenas políticas de contexto de zona.
Se a sessão corresponder a qualquer política unificada, seja em nível de zona ou em nível global, a política será adicionada à lista de correspondências de políticas em potencial. Se a sessão não corresponder a uma política em nível de zona, a próxima combinação de políticas ocorre em nível global. As políticas de nível global têm os mesmos critérios de correspondência que qualquer outra política de segurança (exemplo: endereço de origem, endereço de destino, aplicativo, aplicativo dinâmico e assim por diante).
Ações políticas unificadas
Em uma configuração unificada de políticas, especifique uma das seguintes ações:
Permissão — Permitir o tráfego.
Negar — Solte o tráfego e encerre a sessão.
Rejeite — notifique o cliente, solte o tráfego e encerre a sessão.
Redirecionar perfil para rejeitar ação
Políticas unificadas registram quedas e rejeitam ações. As políticas unificadas não notificam os clientes conectados para que abandonem e rejeitem ações. Os clientes não sabem que a página da web não é acessível e podem continuar suas tentativas de acessá-la.
A partir do Junos OS Release 18.2R1, um perfil de redirecionamento pode ser configurado dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negar ou rejeitar, você pode definir uma resposta na política unificada para notificar os clientes conectados.
Para fornecer uma explicação para a ação ou redirecionar o cliente para uma página web informativa, use a opção redirect-message
no nível da [edit security dynamic-application profile name]
hierarquia com o rejeitar ou negar ação em uma configuração de política unificada para exibir uma mensagem personalizada.
Ao configurar a opção de redirecionamento, você pode especificar a mensagem personalizada ou a URL para a qual o cliente é redirecionado.
Limitações para configurar um perfil de redirecionamento em políticas unificadas
Existem limitações para configurar um perfil de redirecionamento em políticas unificadas. Eles incluem:
O suporte para a ação de redirecionamento com mensagens de bloqueio com uma URL de redirecionamento não está disponível para aplicativos não-HTTP ou não-HTTPS.
Uma política unificada não verifica a validade e a acessibilidade de uma URL de redirecionamento configurada pelo usuário.
Para processamento claro de texto, pacotes HTTP fora de pedido ou solicitações de HTTP segmentadas, as ações de políticas disponíveis são rejeitadas ou negam. Um perfil de redirecionamento não está disponível.
O perfil de redirecionamento pode ser aplicado apenas em políticas unificadas. A ação de rejeição para políticas de segurança tradicionais não aceita uma ação de redirecionamento com perfis de mensagens em blocos ou um URL redirecionado.
Perfil de proxy SSL para rejeitar ação
A partir do Junos OS Release 18.2R1, você pode configurar um perfil de redirecionamento dentro de uma política unificada. Quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negar ou rejeitar, você pode aplicar um perfil de proxy SSL ao tráfego. O proxy SSL descriptografa a funcionalidade de identificação de tráfego e aplicativos que identifica o aplicativo. Em seguida, você pode tomar medidas para redirecionar ou derrubar o tráfego conforme a configuração.
Considere o seguinte exemplo:
Neste exemplo, você está rejeitando alguns dos aplicativos do Facebook, como chat, Farmville, e assim por diante na política 'policy-1'. Como o Facebook é um aplicativo criptografado, você precisa de proxy SSL para descriptografar o tráfego primeiro.
policy policy-1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:FACEBOOK-CHAT junos:FACEBOOK-FARMVILLE junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-SUPERPOKE junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-VIDEO ]; } then { reject { ssl-proxy { profile-name test; } } log { session-init; session-close; } } }
Neste exemplo, a política rejeita o tráfego criptografado do Facebook e aplica o perfil de proxy SSL configurado. O proxy SSL descriptografa o tráfego, e o JDPI identifica o aplicativo.
Agora, a política toma as seguintes ações com base em sua configuração:
Redireciona o acesso do cliente a outra URL e fecha a sessão original.
Notifica o cliente com mensagens de texto pré-definidas e encerra a sessão
Fecha a sessão apenas. No exemplo, a política encerra a sessão.
Critérios e regras de correspondência para políticas unificadas
- Correspondência implícita e explícita da política unificada
- Sobreposição de perfil para serviços de Camada 7
- Reencontro de políticas
Correspondência implícita e explícita da política unificada
A partir do Junos OS Release 18.2R1, o comando unified-policy-explicit-match
é introduzido no nível hierárquica [edit security policies]
. Este comando define o comportamento explícito e implícito de correspondência de políticas e é desativado por padrão.
Correspondência explícita — se um aplicativo dependente não tiver nenhuma política de correspondência, o tráfego será descartado se a correspondência explícita estiver ativada. Apenas as políticas de segurança que estão explicitamente configuradas para o aplicativo são aplicadas.
Correspondência implícita — se o aplicativo dependente não tiver nenhuma política de correspondência, então a política de segurança configurada para o aplicativo base é aplicada.
Por padrão, as políticas unificadas aplicam regras implícitas sobre aplicativos dependentes.
No exemplo mostrado na Tabela 2, a política unificada P3 está configurada para o tráfego FACEBOOK-ACCESS. HTTP é uma aplicação dependente do FACEBOOK-ACCESS e não tem nenhuma política de segurança explicitamente configurada para ele.
Aplicativo dinâmico |
Política configurada |
---|---|
HTTP |
Nenhum |
ACESSO AO FACEBOOK |
|
Os resultados para o comportamento implícito e explícito da correspondência são mostrados na Tabela 3.
Aplicativo identificado |
Política combinada |
Tipo de regra explícita ou implícita |
Resultado |
---|---|---|---|
Nenhum |
P3 |
Implícito (explícito não está habilitado) |
O aplicativo identificado é HTTP. Não há uma política de segurança compatível configurada para HTTP. A correspondência explícita não está habilitada (correspondência implícita), por isso o tráfego é processado até que o FACEBOOK-ACCESS seja identificado. A política de segurança configurada para o FACEBOOK-ACCESS (política P3) é aplicada. |
HTTP |
|||
ACESSO AO FACEBOOK |
|||
HTTP |
Nenhum |
Explícita |
O aplicativo identificado é HTTP. Não há uma política de correspondência disponível para HTTP. A correspondência explícita está ativada, portanto, nenhuma política de segurança é aplicada neste caso. |
Sobreposição de perfil para serviços de Camada 7
Embora use políticas unificadas, se os resultados do AppID ainda não tiverem identificado o aplicativo final, uma pesquisa de políticas pode devolver uma lista de políticas em vez de uma política fixa. Essas políticas são referidas como políticas de correspondência potenciais. Antes que a aplicação final seja identificada, um conflito pode ocorrer devido a várias correspondências de políticas.
Nesse caso, um perfil ou perfil padrão apropriado é aplicado a serviços como AppQoS, proxy SSL, UTM e IDP.
Reencontro de políticas
Quando a opção policy rematch
é ativada, a política unificada permite que o dispositivo reavaliar uma sessão ativa quando sua política de segurança associada for modificada.
A sessão permanece aberta se continuar a corresponder à política que permitiu a sessão inicialmente. A sessão se encerra se sua política associada for renomeada, desativada ou excluída. Use a opção extensive
para reavaliar uma sessão ativa quando sua política de segurança associada for renomeada, desativada ou excluída.
Se a vingança da política for configurada em uma política unificada antes de uma partida final, então o comportamento de vingança pode levar a um encerramento da sessão. Após a partida final, uma disputa política desencadeia outra pesquisa de política com base nos critérios de correspondência de 6 tuples e no aplicativo identificado final.
Configure policy-rematch
e as policy-rematch extensive
opções no nível de [edit security policies]
hierarquia.
Limitações à configuração de políticas unificadas
Existem limitações para configurar políticas unificadas. Eles incluem:
Uma sessão existente pode ser encerrada nos seguintes casos:
Quando há uma mudança na partida final para a política.
Quando uma nova política é inserida dentro das políticas existentes e se essa nova política for configurada com novos serviços.
Quando uma política de correspondência final permite novos serviços após a criação da sessão e antes da partida final.
A VPN baseada em políticas não tem suporte para políticas unificadas e só pode ser aplicada à política tradicional.
As ALGs são aplicadas em uma das seguintes condições:
A política de segurança tradicional está configurada.
A política unificada é configurada com aplicação dinâmica como nenhuma.
Configurar um aplicativo dinâmico com
junos:FTP
aciona um FTP ALG para oferecer suporte à digitalização de antivírus UTM. Veja como ativar a digitalização de antivírus FTP (procedimento de CLI)Uma política de segurança configurada com GPRS pode não funcionar se a política fizer parte de uma lista de correspondências em potencial.
Uma VPN em grupo e a autenticação do firewall do usuário podem ser aplicadas a uma política de segurança tradicional.
As informações finais de correspondência de políticas podem não estar disponíveis em logs de sessão para políticas que utilizam aplicativos dinâmicos.
Veja também
Exemplo: configure uma política unificada usando um perfil de mensagem de redirecionamento
Este exemplo descreve como configurar uma política unificada com um perfil de mensagem de redirecionamento. Neste exemplo, você configura um perfil de redirecionamento com um URL redirecionado. Você usa o perfil de redirecionamento como uma mensagem de bloqueio na política de tráfego nos aplicativos dinâmicos GMAIL e FACEBOOK-CHAT. Simultaneamente, você configura o aplicativo junos-defaults
para que a porta e o protocolo padrão dos aplicativos dinâmicos sejam herdados como critérios de correspondência de protocolo e porta de destino da política atual.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dispositivo da Série SRX executando o Junos OS Release 18.2R1. Este exemplo de configuração é testado com o junos OS versão 18.2R1.
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você define o perfil de redirecionamento como uma resposta quando uma política bloqueia o tráfego HTTP ou HTTPS com uma ação de negação ou rejeição. Por meio de um perfil de redirecionamento, você fornece uma explicação para a ação ou redireciona a solicitação do cliente para uma página web informativa quando a ação de rejeição ou negação é aplicada em uma política de segurança.
Para atingir esses objetivos, você executa as seguintes tarefas:
Configure o perfil de redirecionamento com um URL redirecionado, como http://abc.company.com/information/block-message e use-o na política como uma mensagem de bloco.
Configure os critérios
source-address
de correspondência da política de segurança edestination-address
com o valorany
.Configure o aplicativo com
junos-defaults
, para que a porta e o protocolo padrão sejamdynamic-application
herdados como critérios de correspondência de protocolo e porta de destino da política atual.Configure
dynamic-application
com[junos:GMAIL, junos:FACEBOOK-CHAT]
isso para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.
Configuração
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone trust set security zones security-zone untrust set security dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política unificada com um perfil de mensagem de redirecionamento:
Configure zonas de segurança.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Crie um perfil para redirecionar a mensagem.
[edit security] user@host# set dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message
Crie uma política de segurança com uma aplicação dinâmica como critérios de correspondência.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Defina a ação da política.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no e show security dynamic-application
comandosshow security policies
. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; } then { reject { profile profile1; } } } }
[edit]
user@host#
show security dynamic-application profile profile1 { redirect-message { type { redirect-url { content http://abc.company.com/information/block-message; } } } }
Se terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração unificada de políticas
Propósito
Verifique se a configuração unificada de políticas está correta.
Ação
A partir do modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança no dispositivo.
user@host>
show security policies
Default policy: deny-all
Pre ID default policy: permit-all
From zone: trust, To zone: untrust
Policy: p2, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:GMAIL, junos:FACEBOOK-CHAT
dynapp-redir-profile: profile1
A partir do modo operacional, entre no show security policies detail
comando para exibir um resumo detalhado de todas as políticas de segurança do dispositivo.
user@host>
show security policies detail
Default policy: deny-all
Pre ID default policy: permit-all
Policy: p2, action-type: reject, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [443-443]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [5432-5432]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [80-80]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [3128-3128]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8000-8000]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8080-8080]
IP protocol: 17, ALG: 0, Inactivity timeout: 60
Source port range: [0-0]
Destination port range: [1-65535]
Dynamic Application:
junos:GMAIL: 51
dynapp-redir-profile: profile1
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Significado
A saída exibe informações sobre todas as sessões de segurança ativas no momento no dispositivo. Verifique as seguintes informações:
Nome de política configurado
Endereços de origem e destino
Aplicativos configurados
Aplicativos dinâmicos configurados
Política rejeita ação
Configure uma categoria de URL com políticas unificadas
- Entender a categoria de URL com políticas unificadas
- Exemplo: configurar uma política unificada usando a categoria URL
Entender a categoria de URL com políticas unificadas
A partir do Junos OS Release 18.4R1, o recurso de políticas unificadas é aprimorado para incluir categorias de URL como critérios de correspondência para categoria de filtragem web. As categorias de URL podem ser configuradas para políticas unificadas com ou sem aplicação dinâmica. .
Quando a categoria URL está configurada quanto url-category any
a uma política, a política corresponde a todas as categorias de tráfego configuradas às políticas unificadas.
Quando a categoria de URL está configurada quanto url-category none
a uma política, a categoria de URL não é usada na configuração da política. A política unificada configurada com url-category none
é considerada a mais alta prioridade para a correspondência de políticas para um tráfego. Quando a categoria de URL para uma política não estiver configurada, ou quando você atualizar um dispositivo da versão anterior para a versão mais recente, a categoria de URL de todas as políticas é considerada como url-category none
.
Limitações da categoria de URL com políticas unificadas
O uso de categorias de URL em uma política unificada tem a seguinte limitação:
Apenas as portas que geralmente são usadas, como tráfegos HTTP e HTTPs, são suportadas por
url-category
. Assim, a busca de políticas oferece suporte aos tráfegos de HTTP e HTTPs.
Exemplo: configurar uma política unificada usando a categoria URL
Este exemplo descreve como configurar uma política unificada com uma categoria de URL.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dispositivo da Série SRX que executa o Junos OS Release 18.4R1. Este exemplo de configuração é testado com o junos OS versão 18.4R1.
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, a categoria de URL é adicionada à política de segurança como critério de correspondência para a categoria de filtragem web.
Para atingir esses objetivos, você executa as seguintes tarefas:
Configure os critérios
source-address
de correspondência da política de segurança edestination-address
com o valorany
.Configure o aplicativo com
junos-defaults
, para que a porta e o protocolo padrão sejamdynamic-application
herdados como critérios de correspondência de protocolo e porta de destino da política atual.Configure
dynamic-application
com[junos:GMAIL, junos:FACEBOOK-CHAT]
isso para que a política possa aplicar o perfil de mensagem de bloco nos aplicativos.Configure
url-category
comEnhanced_News_and_Media
critérios compatíveis para a categoria de filtragem da web.
Configuração
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Configuração rápida de CLI
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procedimento passo a passo
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política unificada com um perfil de mensagem de redirecionamento:
Configure zonas de segurança.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Crie uma política de segurança com uma categoria de URL como critério de correspondência.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Defina a ação da política.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no e show security dynamic-application
comandosshow security policies
. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; url-category Enhanced_News_and_Media; } then { reject { profile profile1; } } } }
Se terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração unificada de políticas
Propósito
Verifique se a configuração unificada de políticas está correta.
Ação
A partir do modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança no dispositivo.
user@host>
show security policies
Default policy: permit-all
Pre ID default policy: permit-all
From zone: untrust, To zone: internet
Policy: ip1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-dns-udp, junos-dns-tcp
Action: permit, log
Policy: ip2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-telnet, junos-dns-udp, junos-dns-tcp, junos-ftp, junos-http, junos-https
Action: permit, log
From zone: untrust, To zone: trust
Policy: up3, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source addresses: H1, H1_v6
Destination addresses: H0, H0_v6
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:HTTP, junos:GOOGLE-GEN, junos:YAHOO, junos:SSL
Url-category: Enhanced_Search_Engines_and_Portals, cust_white
Action: permit, log
Policy: up4, State: enabled, Index: 9, Scope Policy: 0, Sequence number: 2
Source addresses: as1
Destination addresses: as0
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:web, junos:FTP
Url-category: Enhanced_Private_IP_Addresses, cust_white
Action: permit, log
Significado
A saída exibe informações sobre todas as sessões de segurança ativas no momento no dispositivo. Verifique as seguintes informações:
Nome de política configurado
Endereços de origem e destino
Aplicativos configurados
Aplicativos dinâmicos configurados
Categoria de URL configurada
Política rejeita ação
Configure aplicativos em políticas unificadas
- Aplicativos em políticas unificadas
- Exemplo: configure uma política unificada usando aplicativos dinâmicos
Aplicativos em políticas unificadas
Começando no Junos OS Release 19.1R1, configurar a application
declaração no nível de [edit security policies from-zone zone-name to-zone zone-name policy policy-name match]
hierarquia é opcional se a dynamic-application
declaração estiver configurada no mesmo nível de hierarquia.
Em versão antes do Junos OS Release 19.1R1, é obrigatório configurar a application
declaração mesmo que a dynamic-application
declaração esteja configurada.
Quando a opção
application
é definida, a aplicação definida é usada.Quando a opção
application
não está definida e a opçãodynamic-application
é definida comoany
, então o aplicativoany
é adicionado implicitamente.Quando a opção
application
não está definida e a opçãodynamic-application
é definida (e não está configurada comoany
), a aplicaçãojunos-defaults
é adicionada implicitamente.
Exemplo: configure uma política unificada usando aplicativos dinâmicos
Este exemplo descreve como configurar uma política unificada usando aplicativos dinâmicos.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dispositivo da Série SRX que executa o Junos OS Release 19.1R1. Este exemplo de configuração é testado com o junos OS versão 19.1R1.
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, aplicativos dinâmicos são adicionados à política de segurança como critérios de correspondência.
Para atingir esses objetivos, realize as seguintes tarefas:
Configure os critérios
source-address
de correspondência da política de segurança edestination-address
com o valorany
.Configure
dynamic-application
com[junos:CNN, junos:BBC]
isso para que a política possa permitir os aplicativos junos:CNN e junos:BBC.
Configuração
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Configuração rápida de CLI
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p3 match source-address any set security policies from-zone trust to-zone untrust policy p3 match destination-address any set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC set security policies from-zone trust to-zone untrust policy p3 then permit
Procedimento passo a passo
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar uma política unificada usando aplicativos dinâmicos:
Configure zonas de segurança.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Crie uma política de segurança com uma aplicação dinâmica como critérios de correspondência.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 match source-address any user@host# set from-zone trust to-zone untrust policy p3 match destination-address any user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC
Defina a ação da política.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host#
show security policies from-zone trust to-zone untrust { policy p3 { match { source-address any; destination-address any; dynamic-application [ junos:CNN junos:BBC ]; } then { permit; } } }
Se terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração unificada de políticas
Propósito
Verifique se a configuração unificada de políticas está correta.
Ação
A partir do modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança no dispositivo.
user@host>
show security policies
Policy: p3, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:CNN, junos:BBC
Action: permit
A partir do modo operacional, entre no show security policies detail
comando para exibir um resumo detalhado de todas as políticas de segurança do dispositivo.
user@host>
show security policies detail
Default policy: permit-all
Pre ID default policy: permit-all
Policy: p3, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: TCP, ALG: 0, Inactivity timeout: 1800
Destination ports: 80, 443, 3128, 8000, 8080
Dynamic Application:
junos:BBC: 1754
junos:CNN: 988
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Significado
A saída exibe informações sobre todas as sessões de segurança ativas no momento no dispositivo. Verifique as seguintes informações:
Nome de política configurado
Endereços de origem e destino
Aplicativos configurados
Nota:O
Applications
campo é autopovoado e seu valorjunos-defaults
é adicionado implicitamente.Aplicativos dinâmicos configurados
Ação política
Configure microaplicação em políticas unificadas
A partir do Junos OS Release 19.2R1, você pode configurar microaplicação em uma política unificada. Microaplicaçãos são subfunções de um aplicativo. Micro-aplicativos permitem o controle granular de um aplicativo em um nível de subfunção em vez de bloquear ou permitir todo o aplicativo. Por padrão, a detecção de microaplicaçãos é desativada.
O módulo de identificação de aplicativos (AppID) detecta um aplicativo em um nível de subfunções em sua rede. As políticas de segurança utilizam as informações de identidade do aplicativo determinadas pelo módulo AppID. Após a identificação de um aplicativo específico, uma ação como permitir, negar, rejeitar ou redirecionar é aplicada ao tráfego de acordo com a política configurada no dispositivo. Você deve habilitar a detecção de micro-aplicativos para usá-los em uma política de segurança. Veja a ativação e a desativação da detecção de microa aplicativos.
Limitar o número de buscas de políticas
Para processar uma política, a busca da política deve devolver o estado de correspondência final para o aplicativo. Ao usar uma microaplicação, a classificação de aplicativos não chega ao estado de correspondência final porque a microaplicação muda constantemente para a sessão. Como a microaplicação muda de uma transação para outra, tenta-se um número ilimitado de buscas de políticas.
Use a unified-policy max-lookups
declaração no nível de [edit security policies]
hierarquia para limitar o número de buscas de políticas.
Configure microaplicação
Para permitir uma aplicação de nível base e todos os seus microaplicaçãos dependentes, você pode configurar uma política unificada especificando o aplicativo de nível base como critério de correspondência. Você não precisa especificar explicitamente cada aplicativo dependente como critério de correspondência para a política. Por exemplo, se você especificar o aplicativo junos-MODBUS de nível base como critério de correspondência em uma política unificada, então você não precisa configurar as microaplicaçãos do junos-MODBUS aplicativo (junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL) como critérios de correspondência para a política.
Se você quiser definir uma política unificada para controle de nível granular, então você deve especificar as micro-aplicações do aplicativo de nível base como critérios de correspondência para a política. Você não deve definir a aplicação de nível base como critérios de correspondência na política. Para configuração de políticas de nível mais granular, especifique junos:MODBUS-READ-COILS como critérios de correspondência em uma política unificada. Garanta que o aplicativo junos:MODBUS de nível base não seja definido como um critério correspondente na mesma política unificada.
Busca de políticas com microaplicações
A detecção de microaplicaçãos é desativada por padrão. Para usar microaplicações como critérios de correspondência para a pesquisa de políticas, você deve habilitar a detecção de microaplicações e especifique-as como critérios de correspondência para a política unificada. Se você não tiver habilitado a detecção de microaplicaçãos, o módulo de identificação de aplicativos (AppID) não detecta nenhuma microaplicação e considera o aplicativo de nível base como o critério final de correspondência. Por exemplo, considere o aplicativo junos-:MODBUS de nível base que tem duas microaplicaçãos junos:MODBUS-READ-COILS e junos:MODBUS-WRITE-SINGLE-COIL:
Se você não tiver habilitado a detecção de microaplicação, junos:MODBUS é considerado como o estado de correspondência final para a classificação AppID. Se você habilitar microa aplicativos, então você pode configurá-los em uma política unificada como qualquer outro aplicativo dinâmico pré-definido. Essa microaplicação é usada para a busca de políticas.
Se você tiver habilitado a detecção de microaplicaçãos, o módulo AppID considera junos:MODBUS o estado pré-jogo . Quando o módulo AppID detecta junos:MODBUS-READ-COILS ou junos:MODBUS-WRITE-SINGLE-COIL, o AppID considera esse resultado como o estado final da partida e prossegue com a busca de políticas usando este critério de correspondência.