Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

统一策略对流的支持

从 Junos OS 18.2R1 版开始,SRX 系列防火墙支持统一策略,从而允许在安全策略中精细控制和实施动态第 7 层应用程序。统一策略是一种安全策略,使您能够将动态应用程序用作匹配条件,作为现有 5 元组或 6 元组(带用户防火墙的 5 元组)匹配条件的一部分,以检测应用程序随时间的变化。

统一策略允许您将动态应用程序用作应用程序中的策略匹配标准。在对流量应用应用程序标识 (AppID) 时,AppID 会检查多个数据包并识别应用程序。识别应用程序后,最终策略将应用于会话。允许、拒绝、拒绝或重定向等策略操作将根据策略应用于流量。

在初始策略查找阶段(在识别动态应用程序之前发生),如果潜在策略列表中有多个策略,SRX 系列防火墙将应用默认安全策略,直到发生更明确的匹配。与应用程序最匹配的策略是最终策略。

有关统一策略的更多信息,请参阅 [统一安全策略统一策略的应用程序识别支持了解统一策略的 IDP 策略支持

统一策略的流优先路径

当设备检查流的第一个数据包时,它会确定相应的安全策略,并执行安全策略查找。在此过程中,观察到以下情况:

  • 如果流量与旧安全策略或最终策略匹配,则会创建会话。

  • 如果潜在策略列表中有多个策略,并且存在安全策略冲突,则应用默认安全策略。

  • 如果潜在策略列表中有多个策略,并且策略操作不允许流量,则会话将关闭。将生成一条日志消息以指示会话关闭的原因。在策略冲突阶段需要默认安全策略,因为潜在策略列表中的每个策略都有不同的 MSS、TCP SYN 检查、会话超时间隔等配置值。在这种情况下,当应用默认安全策略时,将应用在该策略中配置的所有值。匹配默认安全策略时,将对会话应用策略操作。

    注意:
    • 默认安全策略是系统定义的策略。此策略无法删除。

    • 默认策略在每个逻辑系统级别创建,类似于全局默认策略。

    • 会话超时间隔和会话日志值从默认安全策略中利用,TCP-MSS 和 TCP SYN 等默认值从流配置中利用。

  • 应用默认策略时,将分配策略操作的潜在元数据。潜在元数据根据潜在策略列表进行更新。

    注意:
    • 拥有默认安全策略有助于在潜在策略列表中解析。

    • 可以有许多会话与默认安全策略匹配;但是,策略中为允许的流量定义的应用程序服务可以不同。将保存每个会话的安全流信息。

    • 当 SRX 系列防火墙在机箱群集模式下运行时,信息将与流会话和机箱群集实时对象 (RTO) 一起从主节点同步到辅助节点。

  • 识别最终应用程序后,将应用与最终应用程序匹配的安全策略。后续数据包将根据最终策略进行处理。

了解流快速路径

在流中的第一个数据包遍历设备并为其建立会话后,将对其进行快速路径处理。当设备使用默认策略检查安全流会话时,它会执行安全策略查找,并观察到以下情况:

  • 如果现有应用程序标识需要更新,则会重复执行策略查找过程。重复此过程,直到在安全流会话中返回并替换显式策略。如果返回隐式策略,流量将被拒绝并关闭会话。

  • 识别最终应用程序后,将应用与流量匹配的最终策略。如果默认策略和最终策略中的策略操作相似,则最终策略将替换安全流会话中的默认策略。如果默认策略和最终策略中的策略操作不同,则会保留默认策略并关闭安全流会话。

    注意:

    当具有拒绝操作的最终策略和默认策略匹配时,将关闭安全流会话。

  • 要更新会话,将使用最终策略中的会话超时、日志或计数器配置。

为默认安全策略配置会话日志

需要默认安全策略来管理潜在策略列表中的策略冲突。您可以在默认安全策略配置中为所需会话设置会话日志:

您可以使用以下命令在会话结束时和会话开始时启用日志记录:

  1. 为输入全局 pre-id-default-policy 的策略生成Session_Create日志。
    谨慎:

    为 配置pre-id-default-policy日志记录可能会session-init生成大量日志。进入 SRX 且最初匹配pre-id-default-policy的每个会话都将生成一个事件。建议仅将此选项用于故障排除目的。

  2. 为关闭而不退出全局 pre-id-default-policy 的策略生成Session_Close日志。

我们建议在 pre-id 默认策略中启用会话关闭日志记录。这将确保在流无法离开 pre-id-default-policy 时,SRX 会生成安全日志。这些事件通常是由于瞻博网络深度包检测 (JDPI) 无法对流量进行正确分类造成的。这些事件还可能表示可能试图逃避应用程序识别 (AppID) 引擎。

配置默认安全策略的会话超时

您可以在默认安全策略配置中为所需会话设置会话超时。您可以使用以下命令 set security policies pre-id-default-policy then session-timeout 指定 UDP、TCP、ICMP 和 ICMP6 会话的超时值:

  • 指定 TCP 会话的超时值(以秒为单位):
  • 指定 UDP 会话的超时值(以秒为单位):
  • 指定 ICMP 会话的超时值(以秒为单位):
  • 指定 ICMP6 会话的超时值(以秒为单位):

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
18.2R1
从 Junos OS 18.2R1 版开始,SRX 系列防火墙支持统一策略,从而允许在安全策略中精细控制和实施动态第 7 层应用程序。统一策略是一种安全策略,使您能够将动态应用程序用作匹配条件,作为现有 5 元组或 6 元组(带用户防火墙的 5 元组)匹配条件的一部分,以检测应用程序随时间的变化。