Visão geral das políticas de firewall
O Security Director oferece a você dois tipos de políticas de firewall:
Política do dispositivo — tipo de política de firewall criada por dispositivo. Esse tipo de política é usada quando você deseja empurrar uma configuração única de política de firewall por dispositivo. Você pode criar regras de dispositivo para uma política de firewall de dispositivo.
O Security Director vê um sistema lógico ou um sistema de locatário como qualquer outro dispositivo de segurança, e ele assume a propriedade da configuração de segurança do sistema lógico ou sistema de locatário. No Security Director, cada sistema lógico ou sistema de locatário é gerenciado como um dispositivo de segurança exclusivo.
Durante uma atribuição de dispositivo para uma política de dispositivo, apenas dispositivos do domínio atual estão listados.
Nota:Se o Security Director descobrir o sistema lógico raiz, o root lsys descobre todos os outros usuários lsys dentro do dispositivo.
O Security Director permite que um dispositivo tenha uma política de especificação de dispositivo e faça parte de várias políticas de grupo. As regras para um dispositivo são atualizadas na ordem a seguir:
Regras dentro de políticas aplicadas antes de 'políticas específicas do dispositivo'
Regras dentro de políticas específicas do dispositivo
Regras dentro de políticas aplicadas após 'políticas específicas do dispositivo'
Regras dentro de políticas aplicadas antes que "Políticas específicas de dispositivos" priorizem e não possam ser anuladas. No entanto, você pode substituir as regras dentro das políticas aplicadas após "políticas específicas do dispositivo", adicionando uma regra principal nas políticas específicas do dispositivo. Em um cenário empresarial, as regras "comuns devem ser aplicadas" podem ser atribuídas a um dispositivo a partir das políticas aplicadas antes de "Políticas específicas do dispositivo", e as regras "comuns e agradáveis de ter" podem ser atribuídas a um dispositivo a partir das políticas aplicadas após "políticas específicas do dispositivo".
Nota:Uma exceção pode ser adicionada por dispositivo em "Políticas específicas do dispositivo". Para obter uma lista completa de regras aplicadas a um dispositivo, selecione Configure > Política de Firewall > Dispositivos. Selecione um dispositivo para visualizar regras associadas a esse dispositivo.
Toda política de dispositivos permite que as regras sejam aplicadas globalmente a todos os dispositivos gerenciados pelo Security Director. Toda política de dispositivos faz parte do domínio global e é visível em todos os domínios de crianças se o pai da visualização estiver habilitado.
Grupo — tipo de política de firewall compartilhada com vários dispositivos. Esse tipo de política é usada quando você deseja atualizar uma configuração de política de firewall específica para um grande conjunto de dispositivos. Você pode selecionar a colocação de políticas para ser antes de um dispositivo específico ou depois do dispositivo específico. Quando uma política de firewall de grupo é atualizada nos dispositivos, as regras são atualizadas na ordem a seguir:
Regras dentro de políticas aplicadas antes de 'políticas específicas do dispositivo'
Regras dentro de políticas específicas do dispositivo
Regras dentro de políticas aplicadas após 'políticas específicas do dispositivo'
Durante uma atribuição de dispositivo para uma política de grupo, estão listados apenas dispositivos dos domínios atual e infantil (com visualização dos pais habilitados). Os dispositivos no domínio infantil com vista para os pais desativados não estão listados. Nem todas as políticas de grupo do domínio global são visíveis no domínio infantil. As políticas de grupo do domínio global (incluindo todas as políticas de dispositivo) não são visíveis para o domínio infantil, se a visão do pai desse domínio infantil for desabilitada. Apenas as políticas de grupo do domínio global, que tem dispositivos do domínio infantil atribuídos a ele, são visíveis no domínio infantil. Se houver uma política de grupo no domínio global com dispositivos de D1 e domínios globais atribuídos a ele, apenas essa política de grupo do domínio global é visível no domínio D1, juntamente com apenas os dispositivos de domínio D1. Nenhum outro dispositivo, que é a política de exceção de dispositivos, do domínio global é visível no domínio D1.
Você não pode editar uma política de grupo do domínio global do domínio infantil. Isso também vale para a política de todos os dispositivos. A modificação da política, a exclusão da política, o gerenciamento de um instantâneo, a política de instantâneos e a aquisição do bloqueio de políticas também não são permitidos. Da mesma forma, você não pode realizar essas ações na política de exceção de dispositivos do domínio D1 do domínio global. Você pode priorizar políticas de grupo do domínio atual. As políticas de grupo dos outros domínios não estão listadas.
Políticas de grupo aplicadas antes (Pré) ou depois de (Post) Políticas específicas do dispositivo via Security Director:
Funciona separadamente para políticas baseadas em global e baseadas em zonas.
Não altere a ordem de precedência da política Junos-SRX conforme indicado na visão geral da ordem de políticas.
As configurações básicas de uma política de firewall são obtidas a partir do perfil da política. As configurações básicas incluem opções de log, esquemas de autenticação de firewall e opções de redirecionamento de tráfego.
As políticas de firewall são exibidas em uma visão tabular. Você pode selecionar uma política e aplicar regras em linha ou usando o ícone +. Para obter mais informações, veja Criando regras de política de firewall.
A partir do Junos Space Security Director Release 19.3R1, você pode atribuir a política de IPS à regra padrão da política de firewall. O CLI é gerado para a política IPS, juntamente com a política de firewall padrão (à qual a política de IPS é atribuída) para dispositivos com o Junos OS Release 18.2 em diante. Como o nome da política de IPS é usado diretamente na regra da política de firewall, a declaração [editar o nome da política ativa de política de segurança] é preterida no Junos OS Release 18.2 em diante. Você pode importar e converter a CLI de política ativa predeprecada em uma nova CLI do Security Director. Você pode importar a política IPS para a política ativa predeprecada para o Junos OS versão 18.2 e posterior. Após a importação da política de IPS, as regras associadas à política de firewall para o dispositivo são atualizadas com detalhes da política de IPS. Na atualização posterior do Security Director, você pode ver as novas CLIs de política de firewall, em visualização, para anexar O IDP e o mesmo pode ser atualizado para o dispositivo.
Em um dispositivo com o Junos OS Release 18.2, você deve atribuir a mesma política de IPS a todas as regras da política de firewall, caso contrário, o comprometimento falha.
Em um dispositivo com o Junos OS Release 18.3 em diante, você pode atribuir políticas de IPS diferentes às regras da política de firewall. Você deve definir uma política de IDP padrão, caso contrário, o comprometimento falha.