全局安全策略
安全策略是一种状态防火墙策略,通过定义在定时允许从特定 IP 源到特定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。为避免在每个可能的上下文中创建多个策略,您可以创建包含所有区域的全局策略,也可以创建包含多个区域的多区域策略。使用全局策略,您可以通过引用用户定义的地址或预定义地址来调节带有地址和应用的流量,而不管其安全区域如何,还可以在一个策略中提供对多个源区域和多个目标区域的访问。
全球策略概述
在 Junos OS 状态防火墙中,安全策略会强制执行传输流量规则,包括哪些流量可以通过防火墙,以及流量通过防火墙时需要执行的作。安全策略要求流量进入一个安全区域并退出另一个安全区域。from-zone 和 to-zone 的这种组合称为 context。每个上下文都包含一个有序的策略列表。每个策略都按照在上下文中定义的顺序进行处理。通过匹配策略的“从区域”、“到区域”、“源地址、目标地址以及流量在其协议标头中携带的应用来对流量进行分类。与任何其他安全策略一样,每个全局策略都具有以下作:允许、拒绝、拒绝、记录、计数。
您可以从用户界面配置安全策略。安全策略通过定义在预定时间允许从特定 IP 源到特定 IP 目标的流量类型,控制从一个区域到另一个区域的流量流。这在大多数情况下都很好用,但不够灵活。例如,如果要对流量执行作,则必须为每个可能的上下文配置策略。为避免在每个可能的上下文中创建多个策略,您可以创建包含所有区域的全局策略,也可以创建包含多个区域的多区域策略。
使用全局策略,您可以通过引用用户定义的地址或预定义地址“any”来调节带有地址和应用的流量,而不管其安全区域如何。这些地址可以跨越多个安全区域。例如,如果要提供对多个区域的访问,则可以创建地址为“any”的全局策略,其中包含所有区域中的所有地址。选择“any”地址与任何 IP 地址匹配,当“any”在任何全局策略配置中用作源/目标地址时,它将匹配任何数据包的源/目标地址。
使用全局策略,您还可以在一个策略中提供对多个源区域和多个目标区域的访问。但是,出于安全原因和避免欺骗流量,我们建议您在创建多区域策略时使用相同的匹配条件(源地址、目标地址、应用程序)和相同的作。例如,在 图 1 中,如果创建包含 DMZ 和不信任发件人区域的多区域策略,则来自 DMZ 区域的 203.0.113.0/24 欺骗流量可以成功匹配该策略并到达受信任收件人区域中的受保护主机。
没有“从区域”和“到区域”信息的全局策略不支持 VPN 隧道,因为 VPN 隧道需要特定的区域信息。
执行策略查找时,将按以下顺序检查策略:区域内(信任到信任)、区域间(信任到不信任),然后是全局。与常规策略类似,对上下文中的全局策略进行排序,以便将第一个匹配的策略应用于流量。
如果您有全局策略,请确保尚未在区域内或区域间策略中定义“包罗万象”规则,例如,匹配源 any、匹配目标 any 或匹配应用程序 any,因为不会检查全局策略。如果没有全局策略,则建议在区域内或区域间策略中包含“全部拒绝”作。如果确实有全局策略,则应在全局策略中包含“全部拒绝”作。
在逻辑系统中,您可以为每个逻辑系统定义全局策略。一个逻辑系统中的全局策略与其他安全策略位于不同的上下文中,并且在策略查找中的优先级低于常规安全策略。例如,如果执行策略查找,则常规安全策略优先于全局策略。因此,在策略查找中,首先搜索常规安全策略,如果没有匹配项,则执行全局策略查找。
另见
示例:配置没有区域限制的全局策略
与 Junos OS 中的其他安全策略不同,全局策略不引用特定的源区域和目标区域。全局策略引用可跨越多个安全区域的预定义地址“任意”或用户定义的地址。全局策略使您能够灵活地对流量执行作,不受任何区域限制。例如,您可以创建全局策略,以便每个区域中的每台主机都可以访问公司网站,例如 www.example.com。当存在多个安全区域时,使用全局策略是一种方便的快捷方式。流量通过匹配其源地址、目标地址以及流量在其协议标头中携带的应用程序来分类。
此示例说明如何配置全局策略以拒绝或允许流量。
要求
开始之前:
查看防火墙安全策略。
配置通讯簿并创建用于策略的地址。
请参阅 示例:配置通讯簿和地址集。
创建一个应用程序(或应用程序集),指示策略适用于该类型的流量。
请参阅 示例:配置安全策略应用程序和应用程序集。
概述
此配置示例说明如何配置全局策略,以完成多个安全策略(使用区域)本应实现的功能。全局策略 gp1 允许所有流量,而策略 gp2 拒绝所有流量。
拓扑学
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要配置全局策略以允许或拒绝所有流量,请执行以下作:
创建地址。
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
创建全局策略以允许所有流量。
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
创建全局策略以拒绝所有流量。
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
结果
在配置模式下,输入 show security policies 和 show security policies global 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
验证全局策略配置
目的
验证全局策略 gp1 和 gp2 是否已根据需要进行配置。
行动
在作模式下,输入 show security policies global 命令。
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
意义
输出显示有关设备上配置的所有全局策略的信息。
示例:配置具有多个区域的全局策略
与 Junos OS 中的其他安全策略不同,全局策略允许您创建多区域策略。当存在多个安全区域时,全局策略是一种方便的快捷方式,因为它允许您在一个全局策略中配置多个源区域和多个目标区域,而不必为每个从区域/到区域对创建单独的策略,即使其他属性(如源地址或目标地址)相同也是如此。
概述
此配置示例说明如何配置全局策略以完成多个安全策略本应完成的任务。全局策略 Pa 允许从区域 1 和 2 到区域 3 和 4 的所有流量。
拓扑学
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置具有多个区域的全局策略,请执行以下作:
创建全局策略以允许从区域 1 和 2 到区域 3 和 4 的任何流量。
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
结果
在配置模式下,输入show security policiesglobal命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
如果完成设备配置,请从配置模式输入 commit 。