Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

升级后开始使用统一策略

总结 阅读本主题,了解如何在升级到 Junos OS 版本(19.4R3 或 20.2R3)后开始使用统一策略。

从 Junos OS 18.2R1 版开始,您可以配置统一策略。将使用动态应用程序作为匹配条件之一的统一策略配置时,由此产生的配置无需执行配置应用程序防火墙 (AppFW)、IDP 和 UTM 配置所需的一些附加步骤。请参阅 SRX 系列统一策略简介 视频,了解统一策略。

随着在 Junos OS 18.2 版中引入统一策略,部分命令被弃用(而不是立即移除)以提供向后兼容性。这使您能够使旧配置符合新配置。

升级到 Junos OS 19.4R3 或 20.2R3 版时,当您尝试提交包含弃用命令的配置时,安全设备将显示以下警告:

我们建议您迁移到统一策略,使配置与支持的功能保持最新。

Security Director 管理的 SRX 系列设备上的统一策略

Security Director 提供简单的迁移工具,可将传统防火墙策略转换为统一策略。我们建议使用 Security Director 20.3 或更高版本,将传统安全策略转换为统一策略。

图 1 显示了 Security Director 中的可用选项,您可以使用该选项将安全策略转换为统一策略。

图 1:Security Director:转换为统一策略 Security Director: Convert to Unified Policies

例子:

有关使用 Security Director 帮助进行策略迁移的更多信息,请参阅 [Security Director] 在 SRX 18.2 及更高版本上使用 Security Director 和 In Focus Security Director 管理 IDP、AppFWUTM

您可以使用 Security Director 快速准确地创建策略,如以下示例所示:

要配置统一策略,请导航至 “配置>防火墙策略>统一策略 ”页面。

要配置 IPS 策略,请导航至 配置>IPS 策略>策略 页面。

要配置 UTM 策略,请导航至 配置>UTM 策略 页面。

SRX 系列设备上的统一策略

以下部分详细介绍了旧版本中不支持的配置,以及如何在新版本中启用这些配置。

应用程序安全

Junos OS 15.1X49 统一策略(Junos OS 18.2 版后)

配置单个应用程序防火墙规则,以基于应用程序允许或拒绝流量。

  • set security application-firewall 层次结构级别配置规则和规则集。
  • 应用应用程序防火墙功能

    set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services application-firewall rule-set.

创建使用动态应用程序作为匹配标准的安全策略,以获得与应用程序防火墙相同的功能。

set security policies from-zone <zone> to-zone <zone> policy <policy> match dynamic-application <application-name>

例子: 以下示例显示了使用 15.1X49 的应用程序防火墙配置与 19.4R3-S1 在统一策略中的配置之间的差异。我们举了一个设置应用程序防火墙规则以阻止 Facebook 应用程序的示例。

升级前

升级后

IDP 策略

Junos OS 15.1X49 统一策略(Junos OS 18.2 版后)

将 IDP 策略分配为活动 IDP 策略,并将其用作安全策略中的匹配标准,以执行入侵检测和防御。

配置多个 IDP 策略并将其应用于安全策略。您甚至可以将其中一个 IDP 策略定义为默认策略。

  • 指定活动 IDP 策略:

    set security idp active-policy <IDP policy name>

  • 在安全策略中应用 IDP 策略:

    set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services idp

按防火墙规则指定多个 IDP 策略:

set security policies from-zone <zone> to-zone <zone> policy <policy-1> then permit application-services <IDP-policy-name-1>

set security policies from-zone <zone> to-zone <zone> policy <policy-2> then permit application-services <IDP-policy-name-2>

set security idp default-policy <IDP-policy name>

例子: 以下示例显示了使用 15.1X49 的 IDP 配置和统一策略在 19.4R3 中的配置之间的差异。请注意,在统一策略中,您可以灵活地配置多个 IDP 策略。

升级前

升级后

Utm

Junos OS 15.1X49 统一策略(Junos OS 18.2 版后)

在每个功能配置文件下配置统一威胁管理 (UTM) 功能参数。

  • set security utm feature-profile anti-virus

  • set security utm feature-profile anti-spam
  • set security utm feature-profile web-filtering
  • set security utm feature-profile content-filtering

在默认配置下配置 UTM 功能。UTM 默认配置会应用您可能错过的特定 UTM 功能配置的参数。

  • set security utm default-configuration anti-virus

  • set security utm default-configuration anti-spam
  • set security utm default-configuration web-filtering
  • set security utm default-configuration content-filtering

例子: 以下示例显示了使用 15.1X49 的 UTM 配置和 19.4R3-S1 在统一策略中的配置之间的差异。我们使用的是您安全设备上的 Sophos 防病毒配置示例。

升级前

升级后

有关在设备上配置安全功能的更多信息,请参阅 产品文档Day One+

下一步

现在,您都可以探索最新 Junos OS 版本提供的新功能和增强功能。请参阅 升级到 Junos OS 19.4R3 版后了解新功能