Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用户角色 防火墙安全策略

用户角色防火墙策略允许管理员根据用户分配的角色,允许或限制用户访问网络。用户角色防火墙可实现更大的威胁缓解,提供更具信息性的取证资源,改进法规合规性的记录存档,以及增强日常接入调配。

了解用户角色防火墙

仅仅基于 IP 信息的网络安全实施、监控和报告很快就不足以满足当今动态和移动员工的需求。通过集成用户防火墙策略,管理员可以根据被分配的角色,允许或限制员工、承包商、合作伙伴和其他用户的网络访问。用户角色防火墙可实现更大的威胁缓解,提供更具信息性的取证资源,改进法规合规性的记录存档,以及增强日常接入调配。

用户角色防火墙触发两个操作:

  • 检索与流量相关联的用户和角色信息

  • 确定根据区域对上下文中的六个匹配标准要采取的操作

源身份字段用于区分用户角色防火墙和其他类型的防火墙。如果在特殊区域对的任何策略中指定源身份,则它是用户角色防火墙。必须先检索用户和角色信息,然后才能进行策略查找。如果在任何策略中未指定源身份,则不需要用户和角色查找。

要检索用户和角色信息,认证表将搜索具有对应于信息流的 IP 地址的条目。如果找到条目,则用户被归类为经认证的用户。如果未找到,则用户被归类为未通过身份验证的用户。

将检索与经过身份验证的用户关联的用户名和角色,以匹配策略。认证分类和检索到的用户和角色信息均用于匹配源身份字段。

信息流特征与策略规格匹配。在区域环境中,匹配用户或角色的第一个策略以及五个标准匹配标准将决定要应用于流量的操作。

以下部分介绍了用户和角色检索的交互以及策略查找流程、获取用户和角色分配的方法、配置用户角色防火墙策略的技巧,以及配置用户角色防火墙策略的示例。

用户角色检索和策略查找流程

对于策略查找,防火墙策略按区域对(从区域到区域)进行分组。在区域对上下文中,基于 IP 的防火墙策略根据五个标准(源 IP、源端口、目标 IP、目标端口和协议)与流量匹配。

用户角色防火墙策略包含第六项匹配标准 — 源身份。Source-identity 字段指定策略所适用的用户和角色。当在区域对内的任何策略中指定源标识字段时,必须先检索用户和角色信息,然后才能继续策略查找。(如果区域 any 对中所有策略均设置为 源标识字段或没有条目,则不需要用户和角色信息,并且五个标准匹配标准用于策略查找。)

用户识别表 (UIT) 为已认证的活动用户提供用户和角色信息。表中的每个条目将一个 IP 地址映射到经认证的用户,以及与该用户相关联的任何角色。

当信息流需要用户和角色数据时,将搜索每个注册 UIT 具有相同的 IP 地址的条目。如果用户未经过认证,表中没有该 IP 地址条目。如果不存在 UIT 条目,则用户被视为未通过身份验证的用户。

检索用户和角色信息后,将恢复策略查找。流量特征根据策略中的匹配标准进行匹配。策略的源身份字段可以指定一个或多个用户或角色,以及以下关键字:

认证用户

已认证用户。

未身份验证的用户

尚未经过认证的用户。

任何

所有用户,而不考虑身份验证。如果未对源标识字段进行配置或设置为区域对的所有策略中的任一,则仅匹配五个标准。

未知用户

由于身份验证服务器断开连接(例如断电)导致无法通过身份验证的用户。

例如,考虑分配给 mgmt 角色的用户-c。从信任区域到不信任区域的流量从 IP 地址 198.51.100.3 的用户 c 接收时,将启动策略查找。 表 1 表示用户角色防火墙中的三个策略,用于信任不信任区域对。

表 1:信任区域到不信任区域策略序列

src-zone

src-zone

dest-zone

src-IP

dest-IP

source-identity

Application

Action

Services

P1

信任

不可信

192.0.2.0

203.0.113.0

任何

http

否认

P2

信任

不可信

任何

任何

mgmt

任何

许可证

P3

信任

不可信

198.51.100.3

任何

员工

http

否认

先检查区域对的所有策略,以检查源标识选项。如果任何策略指定了用户、角色或关键字,则必须先进行用户和角色检索,然后才能继续策略查找。 表 1 显示策略 P2 将 mgmt 指定为源身份,从而成为用户角色防火墙。必须先检索用户和角色,然后才能继续策略查找。

注意:

如果在区域环境中的所有策略中未指定关键字 any 或未指定源身份,则不执行用户和角色检索。在这种情况下,仅剩余五个值与策略标准匹配。

2 中表示的 UIT 检查 IP 地址。由于已找到地址,因此用户名 user-c、为 user-c 列出的所有角色(此情况下为 mgmt 和员工)以及关键字认证 source-identity 用户均会成为将流量与策略字段匹配的数据。

表 2:UIT 身份验证详细信息

源 IP 地址

用户

角色

192.0.2.4

用户-a

员工

198.51.100.3

用户-c

管理, 员工

203.0.113.2

用户

承包商

策略查找将恢复,并将表 1 中每个策略中的匹配标准 传入流量进行比较。假设所有其他标准匹配,指定用户-c、mgmt、员工、认证用户或源身份字段中的任何一个策略可以是此流量的匹配项。策略 P1 匹配检索到的用户-c 角色之一,但源 IP 地址不匹配;因此,策略查找将持续。对于策略 P2,所有标准均与流量匹配;因此将遵循策略操作且允许流量。请注意,流量也匹配策略 P3,但用户防火墙策略是终端 — 当发现第一个策略匹配时,策略查找将结束。由于策略 P2 匹配所有标准,因此策略查找结束时且策略 P3 不检查。

策略还可以基于从用户和角色检索结果分配给用户的分类。为表 3 表示的相同区域对考虑一组不同的 策略。如果在 IP 198.51.100.5 时从 user-q 接收流量,则需要用户和角色检索,因为源身份字段至少在一个策略中指定。

表 3: 信任区域到不信任区域策略序列

policy-name

src-zone

dest-zone

src-IP

dest-IP

source-identity

application

action

Services

P1

信任

不可信

任何

任何

未经认证的用户

http

否认

P2

信任

不可信

任何

任何

mgmt

任何

许可证

P3

信任

不可信

198.51.100.3

任何

员工

http

否认

检查表 2 中的 UIT 条目时,未找到 IP 地址 198.51.100.5 条目。因此,此用户被视为未通过身份验证的用户。恢复策略查找时,流量与策略 P1 匹配,流量被拒绝。

了解用户识别表

在 SRX 系列设备上,用户识别表 (UIT) 包含每个经过身份验证的用户的 IP 地址、用户名和角色信息。条目按 IP 地址排序。当安全策略需要用户名和角色信息时,将检查所有 UIT。查找其中一个 UIT 条目中的 IP 地址表示该地址的用户已成功通过身份验证。

每个身份验证源都独立维护自己的 UIT 并提供用于访问数据的查询功能。支持三种类型的 UIT:本地认证表、统一接入控制 (UAC) 身份验证表和防火墙身份验证表。

本地认证表

在 SRX 系列设备上创建的静态 UIT 通过手动方式或编程方式CLI命令。本地认证表中的所有用户都被视为经过身份验证的用户。在找到匹配的 IP 地址时,会从表条目中检索用户和角色信息,并且与流量相关联。用户可以在设备上手动创建用户和角色信息,也可从第三方认证服务器端口,但本地认证表中的数据不会实时更新。

UAC 认证表

动态 UIT 从 Junos Pulse 接入控制推送到 SRX 系列设备。服务 UAC 认证表Junos Pulse 接入控制每个已认证用户的条目。只要更新了认证表,就会更新此表中的数据并推送到 SRX 系列设备。根据设备配置,认证可以在服务本身Junos Pulse 接入控制第三方身份验证服务器上进行。如果接入控制服务正在第三方服务器中继数据,则由访问控制服务对数据进行标记,以匹配其认证表的文件格式,然后推送到 SRX 系列设备。

防火墙身份验证表

在 SRX 上创建的动态 UIT, user-firewall 在安全策略中指定为防火墙认证类型时。当 SRX 系列设备上已使用防火墙认证时,此 UIT 可为 UAC 提供替代用户角色源。这样, user-firewall 在策略中将 选项指定为防火墙认证类型时,为通过验证定义的用户也可以用来作为用户名和角色的来源。

认证 user-firewall 类型启动防火墙认证以验证用户,方法是使用本地认证信息或外部认证服务器RADIUS LDAP 或 SecureID 身份验证方法。为防火墙认证指定此类型时,来自身份验证源的用户名和相关组(角色)映射到 IP 地址并添加到防火墙身份验证 UIT 中。

本地认证表

本地认证表通过插入或删除条目CLI管理。当动态 UIT 不可用时,本地认证表可以用作备份解决方案,或者将用户和角色信息分配给无法连接到网络的设备,如打印机或文件服务器。本地认证表可用于测试或演示用户角色防火墙如何在未配置防火墙认证或接入控制服务的情况下工作。

可通过 CLI 命令下载来自第三方身份验证源的 IP 地址、用户名和角色,并添加到本地CLI表中。如果认证源定义了用户和组,则组可配置为角色,并通常与用户相关联。

为了符合 UAC 认证表,用户名限制为 65 个字符,角色名称限制为 64 个字符。本地认证表在 SRX1500 及以上设备上最多包含 10,240 个身份验证条目,SRX650 和以下设备上有 5120 个身份验证条目,具体取决于安装的 Junos OS 版本。本地认证表上包含 5120 个认证条目vSRX。每个认证条目可关联多达 200 个角色。最大容量基于分配给每位用户的平均 10 个角色。这是为 UAC 认证表指定的相同容量。

使用以下命令将条目添加至本地认证表中。请注意,每个条目都使用 IP 地址作为键。

单个 CLI 中的角色选项最多接受 40 个角色。要将 40 多个角色与单个用户关联,您需要输入多个命令。添加或修改身份验证用户和角色条目时,请注意以下特征。

  • 角色名称不能与用户名相同。

  • add使用具有现有 IP 地址和用户名的选项可聚合角色条目。此表可支持每个用户多达 200 个角色。

  • add使用具有现有 IP 地址和新用户名的选项将覆盖该 IP 地址的现有用户名。

  • 角色聚合不会影响现有会话。

  • 要更改现有条目的角色列表,您需要删除现有条目,并添加新角色列表条目。

  • 要更改现有条目的 IP 地址,您需要删除现有条目,并添加新 IP 地址条目。

条目可以通过 IP 地址或用户名删除。

可通过以下命令清除本地认证表:

要显示本地认证表的内容,请使用以下 show... 命令:

选项 brief (默认)显示按 IP 地址顺序的表格格式的信息。用户名和角色列表将截短以适应格式。

选项 extensive 显示每个字段的全部内容。其他选项将显示限制为单个用户名、IP 地址或角色。

UAC 身份验证表

SRX 系列设备可以用作服务Junos Pulse 接入控制实施器。在此实施中,SRX 系列设备充当第 3 层实施点,通过从访问控制服务推送的基于 IP 的资源策略控制对资源的访问。

实施为用户角色防火墙后,SRX 系列设备可以通过类似方式访问 UAC 网络,以检索用户角色。在这种情况下,所有经过身份验证的用户的用户和角色信息均从接入控制服务推送。

SRX 系列设备配置类似于实施器。要建立通信,两台设备都需要配置和密码设置才能识别另一台设备。从 SRX 系列设备,将接入控制服务作为 infranet 控制器连接。

在接入控制服务中,将 SRX 系列设备定义为新实施器。使用在 SRX 系列设备上指定的相同密码。

用户和密码在访问控制服务上如标准认证配置中定义。一个或多个角色也可与用户相关联。对用户进行验证时,将包含 IP 地址、用户名和相关角色的条目添加到接入控制服务的 UAC 认证表中。

当两台设备之间的连接初始化时,UAC 认证表从接入控制服务推送到 SRX 系列设备。只要在接入控制服务上添加、删除或更新了条目,更新的 UAC 认证表就会推送到 SRX 系列设备。

对于用户角色防火墙实施,接入控制服务不需要资源访问策略。SRX 系列设备上的策略配置中提供了访问行为。如果在接入控制服务上定义了资源访问策略,则它们被推送到 SRX 系列设备,但除非特定的防火墙策略在策略的操作字段中实施 UAC 策略,否则不会使用。

以下 show services 命令显示 SRX 系列设备上 UAC 认证表的内容,确认此表已成功从接入控制服务推送:

SRX 系列设备将监控连接并检测与接入控制服务的通信是否丢失。根据 UAC 配置,SRX 系列设备会等待已配置的间隔响应,然后再发出其他请求。如果收到响应,则接入控制服务被视为正常工作。如果指定的超时期后未收到响应,则通信被视为丢失,并且会应用超时操作。以下 UAC 命令语法配置间隔、超时和超时操作:

在断开连接期间,如果尝试对断开连接的设备进行用户和角色查找,则无论超时操作如何,都会返回故障代码。如果无法访问所有身份验证源,则关键字 unknown-user 与 IP 地址相关联。恢复策略查找时,将未知用户作为源身份的策略与流量匹配。通过为未知用户实施特定策略,您可以创建一种处理身份验证丢失源的方法。

防火墙身份验证表

防火墙认证要求用户先向 SRX 防火墙进行身份验证,然后才能访问区域和设备。收到信息流时,系统会提示用户输入用户名和密码,并针对指定的有效用户配置文件进行验证。根据设备配置,防火墙身份验证可验证 telnet、HTTP、HTTPS(SRX5800、SRX5600 和 SRX5400 设备)和 FTP 流量是否在本地或由 RADIUS、LDAP 或 SecureID 身份验证服务器进行验证。

如果在设备上使用防火墙认证,则认证流程还可提供用户角色防火墙匹配标准所需的用户名和角色信息。在这种情况下,信息在称为防火墙认证表的 UIT 中收集并维护。层次结构中的一个或多个访问 edit access 策略定义了用于防火墙身份验证的身份验证方法。

防火墙认证表必须作为认证源启用,用于检索用户角色信息。选项 priority 指定了检查所有 UIT 的顺序。

在给定区域对的防火墙策略中firewall-authenticationpermit,为操作指定的服务将启动匹配信息流身份验证。认证user-firewall类型会为经过认证的用户生成 UIT 条目。在 选项中指定access-profile的名称标识要用于认证有效用户的配置文件。

UIT 表条目包含映射到已认证用户和用户关联组的流量的 IP 地址。用户不再活动时,将从表中移除条目。由于在流量和经过身份验证的用户发生变化时,不断添加和删除条目,因此防火墙认证表被视为动态的。

当同一区域对中的策略将 source-identity 字段指定为匹配标准的一部分时,所有启用的 UIT 将搜索对应于信息流 IP 地址的条目。如果发现,将检索关联的用户名和组进行源身份匹配。(用户认证组名称被视为源身份匹配的角色名称。)

使用用户和角色配置策略

不管在 SRX 系列设备上还是接入控制服务上定义,所有用户和角色均在 SRX 系列设备的用户角色文件中保持。要显示可用于调配的所有用户和角色,请使用以下 show security... 命令。

注意:

以下显示中不包含防火墙认证表中的用户名和角色。

  • 要显示可用于配置的所有角色,请使用 show security user-identification role-provision all 命令。请注意,所有 UIT 的角色都列出在一起。

  • 要显示可用于调配的所有用户,请使用 show security user-identification user-provision all 命令。

  • 要显示可用于配置的所有用户和角色,请使用 show security user-identification source-identity-provision all 命令。

提交策略配置后,将检查用户角色文件,以确定在策略中指定的所有用户和角色是否可用于配置。如果未找到用户或角色,警告将标识缺少的用户或角色,以便稍后可以定义。

注意:

即使尚未定义用户或角色,也承诺该策略。

通过防火墙身份验证获取用户名和角色信息

用户角色防火墙策略可与防火墙认证集成,以对用户进行身份验证以及检索用户名和角色信息。此信息映射到信息流的 IP 地址,存储在防火墙认证表中,用于用户角色防火墙策略实施。

以下CLI语句配置用户角色防火墙实施防火墙身份验证。

  1. 如果尚未建立,请定义用于防火墙身份验证的访问配置文件。如果现有访问配置文件提供实施所需的客户端数据,则您可以跳过此步骤。

    与其他防火墙认证类型一 [edit access profile] 样,在 层次结构中配置访问配置文件。它将客户端定义为防火墙用户,以及提供其访问权限的密码。使用以下命令定义配置文件,并添加客户端名称和密码以用于防火墙认证。

  2. 如果需要 HTTPS 信息流,请定义用于 SSL 终端服务的访问配置文件。如果现有 SSL 终端配置文件提供了实施所需的服务,则您可以跳过此步骤。

    SSL 终止配置文件在 层次结构 [edit services ssl] 中配置。

  3. 将防火墙认证表启用为认证源。

    优先级值确定了检查身份验证源的顺序。防火墙认证表的默认值为 150。(本地认证表为 100,统一接入控制 (UAC) 身份验证表为 200。)默认情况下,首先检查本地认证表,接下来检查防火墙认证表,如果启用,UAC 认证表为第三个。您可以通过更改一个或多个表的优先级值来更改此顺序。

  4. 配置允许用户防火墙认证信息流的策略。

    当未经过身份验证的流量允许用于防火墙认证时,将基于在此语句中配置的访问配置文件对用户进行验证。选项 ssl-termination-profile 仅适用于 HTTPS 流量。

    通过指定认证类型 user-firewall,防火墙认证表将随 IP 地址、用户名和与认证用户相关联的任何组名称传播。(防火墙身份验证的组名称由用户角色防火墙解释为角色。)来自此 IP 地址的任何进一步流量都将与防火墙身份验证表中的 IP 地址匹配,无需认证。相关用户名和角色从表中检索,用作后续安全策略中的潜在匹配标准。

为强制门户重定向配置用户角色防火墙

要自动将未身份验证的用户重定向到访问控制服务,请使用 UAC 强制门户功能。以下语法定义了强制门户的配置文件:

用于认证加密的 Kerberos 协议仅通过服务主名称 (SPN) 标识访问控制服务。协议不接受 IP 地址。因此,重定向 URL 的格式必须为

在此实施中,服务为 HTTP,主机名是接入控制服务的 FQDN。主机名之后指定的选项将附加信息传递给接入控制服务,将用户返回原始目标、SRX 系列设备或发起重定向的策略。您可以使用以下关键字和变量对配置选项:

?target=%dest-url%

指定用户试图访问的受保护资源。

&enforcer=%enforcer-id%

指定由访问控制服务配置为实施器时分配给 SRX 系列设备的 ID。

&policy=%策略 id%

指定重定向流量的安全策略的加密策略 ID。

以下语句定义了名为 auth-redirect 的强制门户的配置文件。强制门户会将未身份验证的用户重定向到接入控制服务的 URL,以便进行身份验证。成功通过身份验证后,流量将返回 SRX 系列设备。

定义的强制门户配置文件作为 UAC 配置的一部分显示。

定义配置文件后,当匹配特定标准时,策略可以将强制门户应用为应用程序服务。只要用户角色未经身份验证,身份验证重定向强制门户就会将流量从信任区域转移至不信任区域。以下示例定义策略 P1,将 auth-redirect 强制门户配置文件应用于来自信任方到不信任的任何 HTTP 流量:

示例:在 SRX 系列设备上配置用户角色防火墙

以下示例在 SRX 系列设备上配置用户角色防火墙。防火墙根据活动、经过身份验证的用户或者其关联角色控制从信任区域到不信任区域的访问。用户角色防火墙策略设定以下限制:

  • 只有经过身份验证的用户才能从信任区域到不信任区域。

    未经身份验证的用户将重定向至接入控制服务进行认证。

  • 区域环境中从 IP 192.0.2.0 到 IP 203.0.113.0 的流量受到限制。仅允许具有 dev-abc、http-juniper-accessibl 或 ftp 可访问角色的用户的流量。允许的流量由 AppFW 规则进一步评估。

    • 识别为 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量的允许流量被拒绝。

    • 允许任何其他应用程序使用允许的流量。

  • 允许从信任区域到不信任区域的其他所有流量。

要求

开始之前,请确保已配置和Junos OS版本 12.1 或更高版本的 SRX 系列设备。

此示例中的用户和角色信息与流量的 IP 地址相关联,由接入控制服务提供。有关配置接入控制服务器的说明,请参阅 从 Active Directory 身份验证服务器获取用户角色信息

概述

表 4 概括显示了满足此示例要求的防火墙。用户角色防火墙由四个策略组成。

表 4:用户角色防火墙策略

policy-name

src-zone

dest-zone

src-IP

dest-IP

source-identity

application

action

Services

用户角色-fw1

信任

不可信

任何

任何

未经认证的用户

http

许可证

UAC 强制门户

用户角色-fw2

信任

不可信

192.0.2.0

203.0.113.0

dev-abc http-juniper-accessibl ftp-accessible

http

许可证

AppFW 规则集 RS1

用户角色-fw3

信任

不可信

192.0.2.0

203.0.113.0

任何

http

否认

用户角色-fw4

信任

不可信

任何

任何

任何

http

许可证

source-identity由于为此防火墙中至少一个策略指定字段,因此必须先检索用户和角色信息,然后才能执行策略查找。流量源 IP 与 UIT 中的条目进行比较。如果找到源 IP 地址authenticated,则此用户关联的关键字、用户名和任何角色将存储好,稍后用于策略查找。如果在 UIT unauthenticated-user 中未找到 IP 地址的匹配条目,将存储该关键字用于策略查找。

检索用户名、角色和关键字后,策略查找将开始。传入信息流的特征将比较至每个策略的匹配标准。如果找到匹配项,将执行该策略中指定的操作。

策略匹配是终端事件,匹配后不会检查策略。策略序列影响为匹配信息流要采取的措施。此示例将按以下顺序应用策略:

用户角色-fw1

将 UAC 强制门户服务应用于将 HTTP 流量与未经过身份验证的用户关键字匹配,然后重定向至访问控制服务进行认证。还必须配置 UAC 配置文件,以识别强制门户规格。

用户角色-fw2

将 AppFW 规则集应用于地址 192.0.2.0 到地址 203.0.113.0 的所有 HTTP 流量,该地址具有匹配的用户名或角色。应用程序防火墙必须配置为定义规则集。

用户角色-fw3

拒绝从地址 192.0.2.0 到此区域对的 203.0.113.0 地址的剩余所有 HTTP 信息流。

用户角色-fw4

允许此区域对的剩余所有 HTTP 流量。

配置

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户指南 中的 配置模式下CLI编辑器 。

为未经过身份验证的用户配置重定向

逐步过程

当 IP 地址未在 UIT 中列出时,未身份验证的用户关键字用于策略查找。策略可以将流量重定向到 UAC 强制门户进行认证,而非拒绝对此流量的访问。

注意:

在面向"任意"用户的策略之前,针对未经过身份验证的用户放置重定向策略非常重要,这样 UAC 认证才不会受针对经过身份验证的用户的策略的影子。

要配置从 SRX 系列设备到接入控制服务的重定向:

  1. 在配置模式下,为强制门户 acs-device 配置 UAC 配置文件。

  2. 配置接入控制服务的重定向 URL 或强制门户的默认 URL。

    此策略指定了访问控制服务用于将用户引导回认证的默认目标和实施器变量。这样可以确保系统规格变更不会影响配置结果。

    注意:

    当 命令行中包含 变量( ?target=如 )时,您必须用引号将 URL 和变量括起来。

  3. 配置用户角色防火墙策略,在源身份未经过身份验证的用户时,将 HTTP 流量从区域信任重定向至不信任区域。强制门户配置文件名称指定为与此策略匹配的信息流要采取的措施。

  4. 如果完成策略配置,请提交更改。

结果

在配置模式下,输入 和 命令以确认 show services 您的 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

使用应用程序防火墙创建用户角色策略

逐步过程

此策略会基于用户和角色以及应用程序限制从 IP192.0.2.0 到 IP 203.0.113.0 的流量。配置定义了应用程序规则集,并应用于匹配用户角色信息流。

  1. 配置 AppFW 规则集 rs1。以下规则集拒绝 junos:FACEBOOK-ACCESS、junos:GOOGLE-TALK 或 junos:MEEBO 应用程序流量。它将默认设置(允许)应用于其余信息流。

  2. 配置策略以将 rs1 应用程序防火墙规则集应用于从 IP 192.0.2.0 到 IP 203.0.113.0(使用 dev-abc、http-mgmt 可访问或 ftp 可访问的用户角色)的流量。

  3. 如果完成配置策略,请提交更改。

结果

验证 AppFW 规则集配置是否正确。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

基于用户和角色创建剩余安全策略

逐步过程

以下过程为其余信息流配置策略。

  1. 配置策略以拒绝来源和目标地址相同但使用的用户和角色标准(在用户-角色-fw2 策略中指定的标准)的流量。

  2. 配置安全策略以允许从区域信任到区域不信任的所有其他 HTTP 流量。

结果

验证用户角色防火墙策略的内容和顺序。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

使用 UAC 配置资源策略

使用用户角色防火墙功能时,接入控制服务不需要资源策略。但是,如果存在资源策略,则它们被推送到连接的 SRX 系列设备。您可通过在策略配置中应用 UAC 应用程序服务来创建使用这些资源策略的策略。 表 5 显示了专门使用 UAC 资源策略的三个防火墙策略:

表 5:用户角色防火墙使用情况

policy-name

src-zone

dest-zone

src-IP

dest-IP

source-identity

application

action

Services

P1

区区 1

区区 2

任何

192.0.2.1

任何

http

许可证

UTM

P2

区区 1

区区 2

任何

net2

任何

http

许可证

IDP

P3

区区 1

区区 2

任何

任何

任何

任何

许可证

UAC

从区域 1 到区域 2 的流量的策略不会启动用户和角色检索,因为每个策略的源身份字段中都会指定任何。此示例允许到 IP 地址 192.0.2.1 的流量,但必须满足指定应用程序服务的处理要求,在这种情况下,UTM。net2 的信息流由标准处理要求IDP和处理。UAC 处理要求允许并处理剩余的任何信息流。

此防火墙策略的配置如下所示:

在此样本配置中,P1 和 P2 中的操作字段将分别应用为 IDP 和 UTM 配置的任何要求。通过指定 uac-policy 选项,推送到 SRX 系列设备的资源策略将确定是否可访问目标。

用户角色防火墙可以实施用户角色策略和从接入控制服务推送的资源策略。 表 6 显示了三个区区对的策略。

表 6:用户角色防火墙使用情况

policy-name

src-zone

dest-zone

src-IP

dest-IP

source-identity

application

action

Services

P1

区区 1

区区 2

任何

任何

未身份验证的用户

任何

许可证

UAC 强制门户

P2

区区 1

区区 2

任何

192.0.2.1

角色 2

http

许可证

IDP

P3

区区 1

区区 2

任何

net2

认证用户

http

许可证

UTM

P4

区区 1

区区 2

任何

任何

任何

任何

许可证

P5

区区 1

区区 3

任何

任何

任何

任何

许可证

UAC

P6

区区 2

区区 3

任何

任何

任何

任何

许可证

UAC

从区域 1 到区域 2 的流量受四个用户角色策略之一的影响。第一种策略使用 UAC 强制门户将未经身份验证的用户重定向到接入控制服务进行认证。

从区域 1 到区域 3 以及从区域 2 到区域 3 的流量访问由从接入控制服务推送的资源策略控制。