在此页面上
安全策略重新排序
安全策略重新排序允许在创建策略之后四处移动策略。Junos OS提供了一个工具来验证策略列表中的策略顺序是否有效。
了解安全策略的排序
Junos OS提供了一个工具来验证策略列表中的策略顺序是否有效。
一个策略可能会超越,也可以 使影子成为另一个策略。考虑以下示例:
示例 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
示例 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
在示例 1 和 2 中,策略permit-mailpermit-all在从区域到区域的策略之后trust配置untrust。来自区域的所有流量untrust均匹配第一个策略permit-all,并且默认允许。没有流量与策略匹配permit-mail。
由于Junos OS从列表顶部开始执行策略查找,因此在发现与接收的流量匹配时,其在策略列表中没有显示任何更低。要更正上一个示例,只需反向策略的顺序,首先放置更具体的策略:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
如果策略数十或数百个,则一个策略之花样可能并不易被检测到。要检查策略是否被影子,请输入以下任一命令:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
此命令报告影子和影子策略。然后管理员有责任纠正这种情况。
策略影子 的概念是指 策略列表中较高的策略始终在后续策略之前生效的情况。由于策略查找始终使用第一个策略,因此它会找到与源和目标区域、源和目标地址以及应用程序类型的五元组匹配;如果另一个策略应用于同一元组(或元组的一个子集),策略查找会使用列表中的第一个策略,并且永远不会到达第二个。
另请参阅
示例:安全策略重新排序
此示例显示如何在创建策略后四处移动策略。
要求
开始之前:
创建区域。请参阅 示例:创建安全区域。
配置地址簿并创建地址,供在策略中使用。请参阅 示例:配置地址簿和地址集。
概述
要重新排序策略以纠正影子情况,只需反向策略的顺序,首先进行更为具体的策略。
配置
程序
逐步过程
要重新排序现有策略:
输入以下命令,对两个现有策略重新排序:
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security policies 命令。