防火墙策略概述
Contrail 服务编排 (CSO) 提供创建、修改和删除与防火墙策略关联的防火墙策略意图的功能。防火墙策略显示为 基于意图的策略。防火墙策略意图控制从意图中定义的端点派生的上下文中的传输流量。基于意图的防火墙策略可以将传输层(第 4 层)和应用层(第 7 层)防火墙构造合并到单个意图中。底层系统会自动分析意图,并将其转换为设备理解的规则集。顺序的选择和分配基于意图定义中的端点隐式发生。意图由源终结点和目标终结点组成。终结点可以是应用程序 (L7)、站点或站点组、IP 地址/地址组、服务或部门。
从 CSO 5.0.1 版开始,如果设备(CPE 或新一代防火墙)运行的是 Junos OS 18.2R1 或更高版本,则防火墙策略将充当统一防火墙策略。在统一防火墙策略中,动态应用程序可与现有匹配条件一起用作匹配条件。因此,设备上不会配置单独的应用程序防火墙来允许或阻止流向应用程序的流量。
但是,如果设备运行的版本早于 Junos OS 18.2R1 版,则防火墙策略不会充当统一防火墙策略,并且将继续在设备上配置应用程序防火墙。
有关统一防火墙策略的信息,请参阅 统一安全策略 。
防火墙策略通过对通过设备的流量强制执行意图来提供安全功能。根据定义为防火墙策略意图的操作,允许或拒绝流量。
防火墙策略提供以下功能:
根据正在使用的应用程序允许、拒绝或拒绝流量。
不仅可以识别 HTTP,还可以识别在其上运行的任何应用程序,使您能够正确实施策略。例如,应用程序防火墙意图可以阻止来自 Facebook 的 HTTP 流量,但允许 Web 访问来自 Microsoft Outlook 的 HTTP 流量。
通过指定以下一项或多项来启用高级安全保护:
内容安全配置文件
SSL 代理配置文件
入侵防御系统 (IPS) 配置文件
在 CSO 中,意图分为基于区域的意图和基于企业的意图。
基于区域的意图是以区域作为源端点和目标端点的意图。具有基于区域的意图的策略可应用于 SD-WAN 站点和新一代防火墙站点。 表 1 中列出了可以为基于区域的意图定义的参数。
表 1:基于区域的意图 源端点
目标端点
高级安全选项
支持的选项
区
地址
用户
区
地址
服务(L4 端口/协议)
应用程序(动态应用程序)
SSL 代理配置文件
内容安全配置文件
IPS 配置文件
调度
测 井
注意:不能在基于区域的意图中选择部门或站点作为终结点。分配给策略的站点适用于基于区域的意图,并会自动考虑进行部署。
基于企业的意图是包含站点、站点组、部门、地址作为源和目标终结点的意图。具有基于企业意图的防火墙策略只能应用于 SD-WAN 站点。 表 2 中列出了可以为基于企业的意图定义的参数。
表 2:基于企业的意图 源终端节点
目标端点
高级安全选项
支持的选项
网站
站点组
部门
地址
用户
网站
站点组
部门
地址
用户
服务/应用
内容安全配置文件
IPS 配置文件
调度
测 井
注意:不能选择区域作为基于企业的意图的源端点或目标端点。
在 CSO 4.1 及更早版本中添加的意图现在称为基于企业的意图。