全局安全策略
安全策略是一种有状态防火墙策略,通过定义在计划时间允许从特定 IP 源到特定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。为避免在每个可能的上下文中创建多个策略,您可以创建包含所有区域的全局策略或包含多个区域的多区域策略。使用全局策略,您可以通过引用用户定义的地址或预定义地址来调节地址和应用程序的流量,无论其安全区域如何,还可以在一个策略中提供对多个源区域和多个目标区域的访问。
全球政策概述
在 Junos OS 有状态防火墙中,安全策略强制执行传输流量规则,包括哪些流量可以通过防火墙,以及流量通过防火墙时需要对流量执行的操作。安全策略要求流量进入一个安全区域并退出另一个安全区域。这种从区域和目标区域的组合称为 context.每个上下文都包含一个有序的策略列表。每个策略都按照其在上下文中定义的顺序进行处理。流量通过匹配策略的从区域、到区域、源地址、目标地址以及流量在其协议标头中携带的应用程序来进行分类。与任何其他安全策略一样,每个全局策略都具有以下操作:允许、拒绝、拒绝、记录、计数。
您可以从用户界面配置安全策略。安全策略通过定义在计划时间允许从特定 IP 源到特定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。这在大多数情况下效果很好,但不够灵活。例如,如果要对流量执行操作,则必须为每个可能的上下文配置策略。为避免在每个可能的上下文中创建多个策略,您可以创建包含所有区域的全局策略或包含多个区域的多区域策略。
使用全局策略,您可以通过引用用户定义的地址或预定义地址“any”来调节包含地址和应用程序的流量,无论其安全区域如何。这些地址可以跨越多个安全区域。例如,如果要提供与多个区域的访问权限,则可以创建地址为“any”的全局策略,其中包含所有区域中的所有地址。选择“any”地址可匹配任何 IP 地址,当在任何全局策略配置中将“any”用作源/目标地址时,它将匹配任何数据包的源/目标地址。
使用全局策略,您还可以在一个策略中提供对多个源区域和多个目标区域的访问权限。但是,出于安全原因并避免欺骗流量,我们建议在创建多区域策略时使用相同的匹配标准(源地址、目标地址、应用程序)和相同的操作。例如,在 图 1 中,如果创建包含 DMZ 和 Untrust from 区域的多区域策略,则来自 DMZ 区域的 203.0.113.0/24 的欺骗流量可以成功匹配该策略并到达“信任到”区域中的受保护主机。
没有从区域和到区域信息的全局策略不支持 VPN 隧道,因为 VPN 隧道需要特定的区域信息。
执行策略查找时,将按以下顺序检查策略:区域内(信任到信任)、区域间(信任到不信任),然后是全局。与常规策略类似,上下文中的全局策略是有序的,以便将第一个匹配的策略应用于流量。
如果您有全局策略,请确保未在区域内或区域间策略中定义“全部捕获”规则,例如匹配源任意、匹配目标任意或匹配应用程序任意,因为不会检查全局策略。如果您没有全局策略,建议您在区域内或区域间策略中包含“拒绝所有”操作。如果确实有全局策略,则应在全局策略中包含“全部拒绝”操作。
在逻辑系统中,您可以为每个逻辑系统定义全局策略。一个逻辑系统中的全局策略与其他安全策略位于不同的上下文中,并且其优先级低于策略查找中的常规安全策略。例如,如果执行策略查找,则常规安全策略优先于全局策略。因此,在策略查找中,首先搜索常规安全策略,如果没有匹配项,则执行全局策略查找。
参见
示例:配置无区域限制的全局策略
与 Junos OS 中的其他安全策略不同,全局策略不引用特定的源和目标区域。全局策略引用可跨越多个安全区域的预定义地址“任意”或用户定义的地址。全局策略使您能够灵活地对流量执行操作,而不受任何区域限制。例如,您可以创建全局策略,以便每个区域中的每个主机都可以访问公司网站,例如 www.example.com。当存在许多安全区域时,使用全局策略是一种方便的快捷方式。流量通过匹配其源地址、目标地址以及流量在其协议标头中携带的应用程序来进行分类。
此示例说明如何配置全局策略以拒绝或允许流量。
要求
准备工作:
查看防火墙安全策略。
配置通讯簿并创建要在策略中使用的地址。
请参阅 示例:配置通讯簿和地址集。
创建一个应用程序(或应用程序集),指示策略适用于该类型的流量。
请参阅 示例:配置安全策略应用程序和应用程序集。
概述
此配置示例说明如何配置全局策略,以完成多个安全策略(使用区域)可以完成的任务。全局策略 gp1 允许所有流量,而策略 gp2 拒绝所有流量。
拓扑
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要将全局策略配置为允许或拒绝所有流量,请执行以下操作:
创建地址。
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
创建全局策略以允许所有流量。
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
创建全局策略以拒绝所有流量。
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
结果
在配置模式下,输入 show security policies 和 show security policies global 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
验证全局策略配置
目的
验证全局策略 gp1 和 gp2 是否已根据需要配置。
行动
在操作模式下,输入 show security policies global 命令。
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
意义
输出显示有关设备上配置的所有全局策略的信息。
示例:配置具有多个区域的全局策略
与 Junos OS 中的其他安全策略不同,全局策略允许您创建多区域策略。当存在许多安全区域时,全局策略是一种方便的快捷方式,因为它使您能够在一个全局策略中配置多个源区域和多个目标区域,而不必为每个从区域/到区域对创建单独的策略,即使其他属性(如源地址或目标地址)相同也是如此。
概述
此配置示例说明如何配置全局策略,以完成多个安全策略本可以完成的任务。全局策略 Pa 允许从区域 1 和 2 到区域 3 和 4 的所有流量。
拓扑
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置具有多个区域的全局策略,请执行以下操作:
创建全局策略以允许从区域 1 和 2 到区域 3 和 4 的任何流量。
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
结果
在配置模式下,输入show security policiesglobal命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
如果完成设备配置,请从配置模式输入 commit 。