Criação de regras unificadas de políticas de firewall
Use a página Criar regras para configurar regras de firewall que controlam o tráfego de trânsito dentro de um contexto (zona de origem para zona de destino). O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas.
O Security Director permite que um dispositivo tenha uma política específica do dispositivo e faça parte de várias políticas de grupo. As regras para um dispositivo são atualizadas nesta ordem:
Regras dentro de políticas aplicadas antes de 'políticas específicas do dispositivo'
Regras dentro de políticas específicas do dispositivo
Regras dentro de políticas aplicadas após 'políticas específicas do dispositivo'
Regras dentro de políticas aplicadas antes que "Políticas específicas de dispositivos" priorizem e não possam ser anuladas. No entanto, você pode substituir as regras dentro das políticas aplicadas após "políticas específicas do dispositivo", adicionando uma regra principal nas políticas específicas do dispositivo. Em um cenário empresarial, as regras "comuns devem ser aplicadas" podem ser atribuídas a um dispositivo a partir das políticas aplicadas antes de "Políticas específicas do dispositivo", e as regras "comuns e agradáveis de ter" podem ser atribuídas a um dispositivo a partir das políticas aplicadas após "políticas específicas do dispositivo".
Uma exceção pode ser adicionada por dispositivo em "Políticas específicas do dispositivo". Para obter uma lista completa de regras aplicadas a um dispositivo, selecione Configurar > política de firewall > dispositivos. Selecione um dispositivo para visualizar regras associadas a esse dispositivo.
Para configurar uma regra de política unificada de firewall:
Configuração |
Diretriz |
---|---|
General Information |
|
Nome da regra |
Insira uma série única de caracteres alfanuméricos, cólons, períodos, traços e sublinhados. Não são permitidos espaços; o comprimento máximo é de 63 caracteres. |
Descrição |
Insira uma descrição das regras da política; o comprimento máximo é de 1024 caracteres. Os comentários inseridos neste campo são enviados ao dispositivo. |
Identify the traffic that the rule applies to |
|
(Fonte) Zona |
Para dispositivos da Série SRX, especifique uma zona de origem (da zona) para definir o contexto da política. As políticas de zona são aplicadas no tráfego que entra em uma zona de segurança (zona de origem) para outra zona de segurança (zona de destino). Essa combinação de uma zona de origem e uma zona de destino é chamada de contexto. A partir do Junos Space Security Director Release 16.2 para roteadores da Série MX, o campo da zona de origem funciona como uma interface de entrada de onde o pacote entra. A direção da correspondência é a entrada, se o pacote estiver entrando na interface. A direção da correspondência é a saída, se o pacote estiver saindo da interface. Configure a chave de entrada selecionando o valor agregado de multisserviços (AMS). A partir do Junos Space Security Director Release 16.2, zonas polimórficas podem ser usadas como zona de origem e zona de destino, quando você atribui dispositivos da Série SRX e roteadores da Série MX à mesma política de grupo. |
(Fonte) Endereço(es) |
Digite um ou mais nomes de endereços ou nomes de configuração de endereços. Clique em Selecionar para adicionar endereços de origem. Na página de endereço fonte:
|
(Fonte) ID do usuário |
Especifique a identidade de origem (usuários e funções) a ser usada como critério de correspondência para a política. Você pode ter regras de política diferentes com base em funções de usuário e grupos de usuários. Clique em Selecionar para especificar as identidades de origem para permitir ou negar. Na página de ID do usuário, você pode selecionar uma identidade de usuário da lista disponível ou adicionar uma nova identidade clicando em Adicionar nova ID do usuário. Para excluir uma identidade de usuário do banco de dados do Security Director, clique em Excluir a ID do usuário e selecionar um valor da lista de quedas, que não está configurada em nenhuma política. Se você tentar excluir uma identidade de usuário configurada em uma política, uma mensagem com sua ID de referência e ID do usuário será exibida.
Nota:
Os IDs do usuário que são criados apenas no Security Director são exibidos na lista de quedas. |
(Fonte) Perfil do usuário final |
Selecione um perfil de usuário final da lista. A regra da política de firewall é aplicada a ela. Quando o tráfego do dispositivo A chega a um dispositivo da Série SRX, a Série SRX obtém o endereço IP do dispositivo A do primeiro pacote de tráfego e o usa para pesquisar na tabela de autenticação de identidade do dispositivo uma entrada de identidade de dispositivo correspondente. Em seguida, ele combina esse perfil de identidade do dispositivo com uma política de segurança cujo campo de perfil de usuário final especifica o nome do perfil de identidade do dispositivo. Se uma correspondência for encontrada, a política de segurança é aplicada à emissão de tráfego do dispositivo A. |
(Destino) Zona |
Para dispositivos da Série SRX, especifique uma zona de destino (para zona) para definir o contexto da política. As políticas de zona são aplicadas no tráfego que entra em uma zona de segurança (zona de origem) para outra zona de segurança (zona de destino). Essa combinação de uma zona de origem e uma zona de destino é chamada de contexto. A partir do Junos Space Security Director Release 16.2 para roteadores da Série MX, este campo funciona como uma interface de saída de onde o pacote entra. A direção da correspondência é a entrada, se o pacote estiver entrando na interface. A direção da correspondência é a saída, se o pacote estiver saindo da interface. Configure a chave de saída selecionando o valor agregado de multisserviços (AMS). Zonas polimórficas podem ser usadas como zona de origem e zona de destino, quando você atribui dispositivos da Série SRX e roteadores da Série MX à mesma política de grupo. |
(Destino) Endereço(es) |
Selecione um ou mais nomes de endereços ou conjuntos de endereços. Clique em Selecionar para adicionar endereços de destino. Na página de endereço de destino:
|
(Destino) Categoria DE URL |
Selecione uma ou mais categoria de URL predefinida ou personalizada como critério de correspondência. A categoria URL é suportada em dispositivos que executam o Junos OS Release 18.4R3 e posteriores. Clique em Selecionar para selecionar uma categoria de URL. Selecione uma ou mais categorias de URL predefinidas ou personalizadas da lista Disponível e mova-as para a lista selecionada. Clique em OK. |
Assinatura de aplicativo |
Configure o aplicativo dinâmico com um dos seguintes valores:
|
(Protocolos de serviço) Serviços |
Selecione um ou mais nomes de serviço (aplicativo). Selecione o Inclua Qualquer Serviço para desabilitar qualquer opção no construtor de lista de serviços. Selecione Incluir serviços específicos para permitir ou negar serviços da coluna de construtor de lista de serviços disponível. Clique em Adicionar um novo serviço para criar um serviço. Veja a criação de serviços e grupos de serviços. Selecione Padrão para ter o valor do serviço como padrão junos. Quando o usuário configura um valor para um aplicativo dinâmico que não seja Nenhum, o valor padrão do serviço é padrão. |
Advanced Security |
|
Ação de regra |
A ação se aplica a todo tráfego que corresponda aos critérios especificados.
|
Redirecionamento do perfil |
Selecione o perfil de redirecionamento da lista. Este campo só é exibido quando a ação é Negar e redirecionar. |
Segurança avançada |
As políticas de firewall fornecem uma camada central de segurança que garante que o tráfego de rede fique restrito apenas ao que uma política determina por meio de seus critérios de correspondência. Quando a política tradicional não for suficiente, selecione componentes de identificação de aplicativos para criar um perfil avançado de segurança para a política:
Nota:
Para o uso de opções avançadas de segurança, a ação de regra deve ser permissão.
|
Perfilamento de ameaças |
O Juniper ATP Cloud Adaptive Threat Profiling permite que dispositivos da Série SRX gerem, propagam e consumam feeds de ameaças com base em sua própria detecção avançada e eventos compatíveis com políticas. A partir do Junos Space Security Director Release 21.2, você pode configurar uma política de firewall com endereços de origem e destino como tipos de ameaças, que injeta o endereço IP de origem e o endereço IP de destino no feed de ameaças selecionado quando o tráfego corresponde à regra. O feed de ameaças pode ser alavancado por outros dispositivos como um grupo dinâmico de endereços (DAG). Adicione IP de origem ao Feed — selecione um feed de segurança da lista. O endereço IP de origem é adicionado ao feed de ameaças quando o tráfego corresponde à regra. Adicione IP de destino ao feed — selecione um feed de segurança da lista. O endereço IP de destino é adicionado ao feed de ameaças quando o tráfego corresponde à regra.
Nota:
Para usar esses campos, primeiro inscreva os dispositivos na ATP Cloud e depois configure o Policy Enforcer para exibir feeds na lista de quedas. |
Rule Options |
|
Perfil |
Selecione um perfil padrão ou um perfil personalizado, ou você pode herdar um perfil de política de outra política. O perfil da política especifica as configurações básicas de uma política de segurança. Veja a criação de perfis de políticas de firewall. |
Agenda |
Os cronogramas de políticas permitem que você defina quando uma política está ativa e, portanto, são um critério implícito de correspondência. Você pode definir o dia da semana e a hora do dia em que a política está ativa. Por exemplo, você pode definir uma política de segurança que abre ou fecha o acesso com base no horário comercial. Vários agendadores podem ser aplicados a políticas diferentes, mas apenas um agendador pode estar ativo por política. Selecione um cronograma pré-economizado e as opções de programação são povoadas com os dados da agenda selecionada. Clique em Adicionar novo para criar outro cronograma. |
Automated Rule Analysis and Placement |
|
Análise de regras |
Selecione esta opção se quiser analisar regras para evitar anomalias.
Nota:
Todas as regras com aplicativo dinâmico "Nenhum" são avaliadas primeiro. Para ver o relatório de análise, clique em Ver relatório de análise. |
Rule Placement |
|
Localização/sequência |
Exibe o número da sequência e a ordem em que a regra é colocada. Para ver a colocação de regras em uma política, clique em Visualizar o posicionamento dentro da política. |