升级后开始使用统一策略
总结 阅读本主题,了解如何在升级到 Junos OS 版本(19.4R3 或 20.2R3)后开始使用统一策略。
从 Junos OS 18.2R1 版开始,您可以配置统一策略。将使用动态应用程序作为匹配条件之一的统一策略配置时,由此产生的配置无需执行配置应用程序防火墙 (AppFW)、IDP 和 UTM 配置所需的一些附加步骤。请参阅 SRX 系列统一策略简介 视频,了解统一策略。
随着在 Junos OS 18.2 版中引入统一策略,部分命令被弃用(而不是立即移除)以提供向后兼容性。这使您能够使旧配置符合新配置。
升级到 Junos OS 19.4R3 或 20.2R3 版时,当您尝试提交包含弃用命令的配置时,安全设备将显示以下警告:
我们建议您迁移到统一策略,使配置与支持的功能保持最新。
Security Director 管理的 SRX 系列设备上的统一策略
Security Director 提供简单的迁移工具,可将传统防火墙策略转换为统一策略。我们建议使用 Security Director 20.3 或更高版本,将传统安全策略转换为统一策略。
图 1 显示了 Security Director 中的可用选项,您可以使用该选项将安全策略转换为统一策略。
例子:
有关使用 Security Director 帮助进行策略迁移的更多信息,请参阅 [Security Director] 在 SRX 18.2 及更高版本上使用 Security Director 和 In Focus Security Director 管理 IDP、AppFW 和 UTM。
您可以使用 Security Director 快速准确地创建策略,如以下示例所示:
要配置统一策略,请导航至 “配置>防火墙策略>统一策略 ”页面。
要配置 IPS 策略,请导航至 配置>IPS 策略>策略 页面。
要配置 UTM 策略,请导航至 配置>UTM 策略 页面。
SRX 系列设备上的统一策略
以下部分详细介绍了旧版本中不支持的配置,以及如何在新版本中启用这些配置。
应用程序安全
Junos OS 15.1X49 | 统一策略(Junos OS 18.2 版后) |
---|---|
配置单个应用程序防火墙规则,以基于应用程序允许或拒绝流量。
|
创建使用动态应用程序作为匹配标准的安全策略,以获得与应用程序防火墙相同的功能。
|
例子: 以下示例显示了使用 15.1X49 的应用程序防火墙配置与 19.4R3-S1 在统一策略中的配置之间的差异。我们举了一个设置应用程序防火墙规则以阻止 Facebook 应用程序的示例。
升级前
set security policies from-zone untrust to-zone trust policy policy1 match source-address any set security policies from-zone untrust to-zone trust policy policy1 match destination-address any set security policies from-zone untrust to-zone trust policy policy1 match application junos-http set security policies from-zone untrust to-zone trust policy policy1 then permit application-services application-firewall rule-set rs1 set security application-firewall rule-sets rs1 rule r1 match dynamic-application [junos:FACEBOOK-ACCESS] set security application-firewall rule-sets rs1 rule r1 then deny set security application-firewall rule-sets rs1 default-rule permit
升级后
set security policies from-zone trust to-zone untrust policy policy-1 match source-address any set security policies from-zone trust to-zone untrust policy policy-1 match destination-address any set security policies from-zone trust to-zone untrust policy policy-1 match application any set security policies from-zone trust to-zone untrust policy policy-1 match dynamic-application junos:FACEBOOK-ACCESS set security policies from-zone trust to-zone untrust policy policy-1 then reject profile profile1
IDP 策略
Junos OS 15.1X49 | 统一策略(Junos OS 18.2 版后) |
---|---|
将 IDP 策略分配为活动 IDP 策略,并将其用作安全策略中的匹配标准,以执行入侵检测和防御。 |
配置多个 IDP 策略并将其应用于安全策略。您甚至可以将其中一个 IDP 策略定义为默认策略。 |
|
按防火墙规则指定多个 IDP 策略:
|
例子: 以下示例显示了使用 15.1X49 的 IDP 配置和统一策略在 19.4R3 中的配置之间的差异。请注意,在统一策略中,您可以灵活地配置多个 IDP 策略。
升级前
set security idp active-policy recommended set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match source-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match destination-address any set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 match application junos:GMAIL set security policies from-zone Zone1 to-zone Zone2 policy idp-app-policy-1 then permit application-services idp
升级后
set security idp idp-policy recommended set security idp idp-policy idpengine set security idp default-policy recommended set from-zone trust to-zone untrust policy P2 match source-address any set from-zone trust to-zone untrust policy P2 match destination-address any set from-zone trust to-zone untrust policy P2 match application junos-defaults set from-zone trust to-zone untrust policy P2 match dynamic-application junos:GMAIL set from-zone trust to-zone untrust policy P1 then permit application-services idp-policy recommended set from-zone trust to-zone untrust policy P2 then permit application-services idp-policy idpengine
Utm
Junos OS 15.1X49 | 统一策略(Junos OS 18.2 版后) |
---|---|
在每个功能配置文件下配置统一威胁管理 (UTM) 功能参数。
|
在默认配置下配置 UTM 功能。UTM 默认配置会应用您可能错过的特定 UTM 功能配置的参数。
|
例子: 以下示例显示了使用 15.1X49 的 UTM 配置和 19.4R3-S1 在统一策略中的配置之间的差异。我们使用的是您安全设备上的 Sophos 防病毒配置示例。
升级前
edit security utm feature-profile anti-virus mime-whitelist edit security utm feature-profile anti-virus url-whitelist edit security utm feature-profile anti-virus sophos-engine
升级后
edit security utm default-configuration anti-virus mime-whitelist edit security utm default-configuration anti-virus url-whitelist edit security utm default-configuration anti-virus sophos-engine
有关在设备上配置安全功能的更多信息,请参阅 产品文档 和 Day One+。
下一步
现在,您都可以探索最新 Junos OS 版本提供的新功能和增强功能。请参阅 升级到 Junos OS 19.4R3 版后了解新功能。