统一策略支持流
从 Junos OS 18.2R1 版开始,SRX 系列防火墙支持统一策略,允许在安全策略中对动态第 7 层应用进行精细控制和实施。统一策略是一种安全策略,可让您将动态应用用作现有 5 元组或 6 元组(带用户防火墙的 5 元组)匹配条件的一部分,以检测应用随时间的变化。
统一策略允许您将动态应用程序用作应用程序中的策略匹配标准。将应用识别 (AppID) 应用于流量时,AppID 会检查多个数据包并识别应用。识别应用后,将最终策略应用于会话。允许、拒绝、拒绝或重定向等策略操作将根据策略应用于流量。
在初始策略查找阶段(发生在识别动态应用之前),如果潜在策略列表中存在多个策略,则 SRX 系列防火墙将应用默认安全策略,直到出现更明确的匹配。与应用程序最匹配的策略是最终策略。
有关统一策略的详细信息,请参阅 [统一安全性策略、 统一策略的应用程序标识支持以及 了解统一策略的 IDP 策略支持。]
实现统一策略的流优先路径
设备在检查流的第一个数据包时,会确定相应的安全策略,并执行安全策略查找。在此过程中观察到以下情况:
如果流量与旧有安全策略或最终策略匹配,则会创建会话。
如果潜在策略列表中存在多个策略,并且存在安全策略冲突,则应用默认安全策略。
如果潜在策略列表中有多个策略,并且策略操作不允许流量,则会话将关闭。将生成日志消息以指示会话关闭的原因。在策略冲突阶段需要默认安全策略,因为潜在策略列表中的每个策略对于 MSS、TCP SYN 检查、会话超时间隔等都有不同的配置值。在这种情况下,应用默认安全策略时,将应用该策略中配置的所有值。匹配默认安全策略时,将对会话应用策略操作。
-
默认安全策略为系统定义策略。此策略无法删除。
-
默认策略是在每个逻辑系统级别上创建的,类似于全局默认策略。
-
会话超时间隔和会话日志值来自默认安全策略,默认值(如 TCP-MSS 和 TCP SYN)来自流配置。
-
应用默认策略时,将分配策略操作的潜在元数据。潜在元数据将根据潜在策略列表进行更新。
-
具有默认安全策略有助于在潜在策略列表中解决问题。
-
可以有许多与默认安全策略匹配的会话;但是,在允许的流量的策略中定义的应用服务可以不同。保存每个会话的安全流信息。
-
当 SRX 系列防火墙在机箱群集模式下运行时,信息将与流会话和机箱群集实时对象 (RTO) 一起从主节点同步到辅助节点。
-
识别出最终应用时,将应用与最终应用匹配的安全策略。后续数据包将根据最终策略进行处理。
了解流快速路径
在流量中的第一个数据包遍历设备并为其建立会话之后,将进行快速路径处理。当设备使用默认策略检查安全流会话时,它会执行安全策略查找,并观察到以下情况:
如果现有应用程序标识需要更新,则重复策略查找过程。重复此过程,直到在安全流会话中返回并替换显式策略。如果返回隐式策略,则流量将被拒绝并关闭会话。
识别出最终应用时,将应用与流量匹配的最终策略。如果默认策略和最终策略中的策略操作相似,则最终策略将替换安全流会话中的默认策略。如果默认策略和最终策略中的策略操作不同,则将保留默认策略并关闭安全流会话。
注意:当具有拒绝操作的最终策略和默认策略匹配时,安全流会话将关闭。
要更新会话,可以使用最终策略中的会话超时、日志或计数器配置。
为默认安全性策略配置会话日志
默认安全策略是管理潜在策略列表中的策略冲突所必需的。您可以在默认安全策略配置中为所需会话设置会话日志:
您可以使用以下命令在会话结束时和会话开始时启用日志记录:
建议在 pre-id-default-policy 中启用会话关闭日志记录。这将确保在流量无法离开 pre-id-default-policy 时由 SRX 生成安全日志。这些事件通常是由于瞻博网络深度包检测 (JDPI) 无法对流量进行正确分类所致。这些事件还可能表示可能试图规避应用程序识别 (AppID) 引擎。
为默认安全性策略配置会话超时
您可以在默认安全策略配置中为所需会话设置会话超时。您可以使用以下 set security policies pre-id-default-policy then session-timeout 命令指定 UDP、TCP、ICMP 和 ICMP6 会话的超时值:
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。