Agendamento de políticas de segurança
O agendador é um recurso de segurança que permite que uma política seja ativada por uma duração especificada. Você pode definir os agendadores para um único (não recorrente) ou slot de tempo recorrente dentro do qual uma política está ativa. Você pode criar agendadores independentemente de uma política, o que significa que um agendador não pode ser usado por nenhuma política.
Visão geral dos agendadores de políticas de segurança
Os agendadores são recursos poderosos que permitem que uma política seja ativada por uma duração especificada. Você pode definir os agendadores para um único (não recorrente) ou slot de tempo recorrente dentro do qual uma política está ativa. Você pode criar agendadores independentemente de uma política, o que significa que um agendador não pode ser usado por nenhuma política. No entanto, se você deseja que uma política esteja ativa dentro de um horário agendado, então você deve primeiro criar um agendador.
Quando um agendador acaba, a política associada é desativada. Todas as sessões associadas à política são posteriormente cronometradas apenas se a política-ressarcimento for usada
Se uma política contém uma referência a um agendador, o cronograma determina quando a política está ativa, ou seja, quando ela pode ser usada como uma possível correspondência para o tráfego. Os agendadores permitem que você restrinja o acesso a um recurso por um período de tempo ou remova uma restrição.
As seguintes diretrizes se aplicam aos agendadores:
Um agendador pode ter várias políticas associadas a ele; no entanto, uma política não pode ser associada a vários agendadores.
Uma política está ativa durante o tempo em que o agendador a que se refere também está ativo.
Quando um agendador está desativado, a política não está disponível para a busca de políticas.
Um agendador pode ser configurado como um dos seguintes:
O agendador pode estar ativo por um único slot de tempo, conforme especificado por uma data e hora de início, além de uma data e hora de parada.
O agendador pode ser ativo para sempre (recorrente), mas conforme especificado pela programação diária. A programação em um dia específico (horário) tem prioridade na programação diária.
O agendador pode estar ativo dentro de um slot de tempo conforme especificado pelo cronograma da semana.
O agendador pode ter uma combinação de dois slots de tempo (diário e timelot).
Exemplo: configuração de agendadores para uma agenda diária, excluindo um dia
Este exemplo mostra como configurar os agendadores para verificações de correspondência de pacotes todos os dias, das 8h às 17h, exceto domingo.
Requisitos
Antes de começar:
Entenda os agendadores de políticas de segurança. Veja a visão geral das políticas de segurança.
Configure zonas de segurança antes de aplicar essa configuração.
Visão geral
Os agendadores são recursos poderosos que permitem que uma política seja ativada por uma duração especificada. Você pode definir os agendadores para um único (não recorrente) ou slot de tempo recorrente dentro do qual uma política está ativa. Se você deseja que uma política esteja ativa dentro de um horário agendado, então você deve primeiro criar um agendador.
Para configurar um agendador, você insira um nome significativo e um horário de início e parada para o agendador. Você também pode anexar comentários.
Neste exemplo, você:
Especifique o agendador, sch1, que permite que uma política, que se refere a ela, seja usada para verificações de correspondência de pacotes todos os dias, das 8:00 às 17:00, exceto domingo.
Nota:Use o formato de 24 horas (hh:mm) para especificar as horas e minutos para o tempo diário.
Crie uma política, e especifique as condições e ações de correspondência a serem tomadas no tráfego que correspondam às condições especificadas. e vincular os agendadores à política para permitir o acesso durante os dias especificados.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit]
hierarquia.
set schedulers scheduler sch1 daily start-time 08:00 stop-time 17:00 set schedulers scheduler sch1 sunday exclude set security policies from-zone green to-zone red policy abc match source-address any set security policies from-zone green to-zone red policy abc match destination-address any set security policies from-zone green to-zone red policy abc match application any set security policies from-zone green to-zone red policy abc then permit set security policies from-zone green to-zone red policy abc scheduler-name sch1 set security policies default-policy permit-all
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar um agendador:
Definir um agendador.
[edit schedulers ] user@host# set scheduler sch1 daily start-time 08:00 stop-time 17:00 user@host# set scheduler sch1 sunday exclude
Especifique as condições de correspondência para a política.
[edit security policies from-zone green to-zone red policy abc] user@host# set match source-address any destination-address any application any
Especifique a ação.
[edit security policies from-zone green to-zone red policy abc] user@host# set then permit
Associe o agendador à política.
[edit security policies from-zone green to-zone red policy abc ] user@host# set scheduler-name sch1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show schedulers
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] [user@host]show schedulers scheduler sch1 { daily { start-time 08:00 stop-time 17:00; sunday exclude; } [edit] [user@host]show security policies from-zone green to-zone red { policy abc { match { source-address any; destination-address any; application any; } then { permit; } scheduler-name sch1; } } default-policy { permit-all; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificar se os agendadores estão ativos
Propósito
Verifique se os agendadores estão habilitados ou não.
Ação
A partir do modo operacional, entre no show schedulers
comando.
Verificação de políticas agendadas
Propósito
Exibir informações sobre políticas de segurança programadas.
Ação
Use o show schedulers
comando CLI para exibir informações sobre os agendadores configurados no sistema. Se um agendador específico for identificado, informações detalhadas serão exibidas apenas para esse agendador.
user@host# show schedulers
scheduler sche1 {
/* This is sched1 */
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
}
scheduler sche2 {
daily {
all-day;
}
sunday {
start-time 16:00 stop-time 17:00;
}
friday {
exclude;
}
}
scheduler sche3 {
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
daily {
start-time 10:00 stop-time 17:00
}
sunday {
start-time 12:00 stop-time 14:00;
start-time 16:00 stop-time 17:00;
}
monday {
all-day;
}
friday {
exclude;
}
}
Significado
A saída exibe informações sobre os agendadores configurados no sistema. Verifique as seguintes informações:
Os agendadores diários (recorrentes) e únicos (não recorrentes) são configurados corretamente.
Os agendadores estão ativos se as políticas estiverem associadas.