Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全策略重新排序

安全策略重新排序允许在创建策略之后四处移动策略。Junos OS提供了一个工具来验证策略列表中的策略顺序是否有效。

了解安全策略的排序

Junos OS提供了一个工具来验证策略列表中的策略顺序是否有效。

一个策略可能会超越,也可以 使影子成为另一个策略。考虑以下示例:

示例 1

示例 2

在示例 1 和 2 中,策略permit-mailpermit-all在从区域到区域的策略之后trust配置untrust。来自区域的所有流量untrust均匹配第一个策略permit-all,并且默认允许。没有流量与策略匹配permit-mail

由于Junos OS从列表顶部开始执行策略查找,因此在发现与接收的流量匹配时,其在策略列表中没有显示任何更低。要更正上一个示例,只需反向策略的顺序,首先放置更具体的策略:

如果策略数十或数百个,则一个策略之花样可能并不易被检测到。要检查策略是否被影子,请输入以下任一命令:

此命令报告影子和影子策略。然后管理员有责任纠正这种情况。

注意:

策略影子 的概念是指 策略列表中较高的策略始终在后续策略之前生效的情况。由于策略查找始终使用第一个策略,因此它会找到与源和目标区域、源和目标地址以及应用程序类型的五元组匹配;如果另一个策略应用于同一元组(或元组的一个子集),策略查找会使用列表中的第一个策略,并且永远不会到达第二个。

示例:安全策略重新排序

此示例显示如何在创建策略后四处移动策略。

要求

开始之前:

概述

要重新排序策略以纠正影子情况,只需反向策略的顺序,首先进行更为具体的策略。

配置

程序

逐步过程

要重新排序现有策略:

  1. 输入以下命令,对两个现有策略重新排序:

  2. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security policies 命令。