在此页面上
重新排序安全策略
重新排序安全策略允许在创建策略后移动策略。Junos OS 提供了一个工具,用于验证策略列表中的策略顺序是否有效。
了解安全策略排序
Junos OS 提供了一个工具,用于验证策略列表中的策略顺序是否有效。
一个策略可能会使另一个策略黯然失色或 遮蔽。请考虑以下示例:
示例 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
示例 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
在示例 1 和 2 中,策略 permit-mail 是在策略 permit-all 之后从一个区域到另一个 trust 区域 untrust配置的。来自区域 untrust 的所有流量都与第一个策略 permit-all 匹配,默认情况下是允许的。没有与策略匹配的 permit-mail流量。
由于 Junos OS 从列表顶部开始执行策略查找,因此当它找到所接收流量的匹配项时,它在策略列表中不会处于任何位置。要更正前面的示例,您可以简单地颠倒策略的顺序,将更具体的策略放在最前面:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
在有数十或数百个策略的情况下,一个策略被另一个策略黯然失色可能不那么容易检测到。要检查策略是否被隐藏,请输入以下命令之一:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
此命令报告影子和影子策略。然后,管理员有责任纠正这种情况。
策略 影子 的概念是指策略列表中较高的策略始终先于后续策略生效的情况。由于策略查找始终使用它找到的第一个策略,该策略与源和目标区域、源和目标地址以及应用程序类型的五部分元组匹配,因此,如果另一个策略应用于同一元组(或元组的子集),则策略查找将使用列表中的第一个策略,并且永远不会到达第二个策略。
参见
示例:重新排序安全策略
此示例演示如何在创建策略后移动策略。
要求
准备工作:
创建区域。请参见 示例:创建安全区域。
配置通讯簿并创建要在策略中使用的地址。请参阅 示例:配置通讯簿和地址集。
概述
要对策略重新排序以更正影子,只需颠倒策略的顺序,将更具体的策略放在最前面。
配置
程序
分步过程
要对现有策略重新排序,请执行以下操作:
通过输入以下命令对两个现有策略重新排序:
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security policies 命令。