Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 SRX 系列防火墙上配置应用策略

按照以下步骤设置控制对应用程序的访问的策略。

应用策略是瞻博网络 WAN 保证设计中的安全策略,您可以在其中定义哪些网络和用户可以访问哪些应用,以及根据哪种流量定向策略访问。要定义应用策略,您必须创建网络、应用和流量引导配置文件。然后,将这些详细信息用作匹配条件,以允许访问或阻止来自应用程序或目标的访问。

在Juniper Mist™云门户中,“ 网络”或“用户” 设置确定源区域。 “应用程序 + 流量转向” 设置确定目标区域。在瞻博网络® SRX 系列防火墙中,流量引导路径决定了目标区域,因此请确保将流量引导配置文件分配给应用策略。

应用策略说明:

  • 您可以通过以下三种方式之一定义应用策略:在组织级别、在 WAN 边缘模板内或在中心配置文件内。

  • 在组织级别定义应用策略时,可以在多个 WAN 边缘模板或中心配置文件中导入并使用该策略。也就是说,您可以遵循“定义一次,使用多次”的模型。

  • 直接在 WAN 边缘或中心配置文件中定义应用策略时,策略的范围将限制在该 WAN 边缘模板内,或仅在该中心配置文件内。您不能在其他模板或配置文件中重复使用该策略。

  • Mist按照策略在策略列表中的显示顺序评估和应用策略。

    注意:对于 Session Smart 路由器,策略顺序并不重要。最好将全局策略放在策略列表的末尾。

配置应用策略

要配置应用程序策略,请执行以下作:

  1. 在Juniper Mist云门户中,选择“组织> WAN >应用策略”,以创建组织级别策略。
    如果要在 WAN 边缘模板或中心配置文件级别创建策略,请选择“ WAN > WAN 边缘模板”或“ 中心配置文件”> 选择所需的模板或配置文件。
  2. 向下滚动到“应用程序策略”部分,然后单击“添加应用程序策略”
    注意:

    您可以通过单击 导入应用程序策略 选项将全局策略导入到 WAN 边缘模板或中心配置文件中。

    Juniper Mist云门户以灰色显示导入的策略,以区别于模板或配置文件中定义的本地策略。
  3. 单击 “名称 ”列下的新字段,为策略命名,然后单击蓝色复选标记以应用更改。

    下图(图 1)显示了配置应用程序策略时可用的选项。

    图 1:应用程序策略配置选项 Application Policy Configuration Options
    下表 ( 表1) 解释了可用于应用程序策略的配置选项。
    表 1:应用程序策略选项
    字段 说明
    不。

    数字的缩写。此条目指示应用程序策略的位置。Mist 按策略的位置(即策略在此字段中列出的顺序)评估和应用策略。
    名字 应用程序策略的名称。您最多可以使用 32 个字符来命名应用程序,包括字母数字、下划线和破折号。
    网络/用户

    网络和网络用户。网络是您网络中请求的来源。您可以从可用的网络列表中选择一个网络。如果已将用户关联到网络,则Mist门户会在下拉菜单中以格式显示详细信息 user.network
    行动

    策略作。选择以下策略作之一:

    • 允许
    应用/目标

    目标端点。应用程序确定策略中使用的目标。

    您可以从已定义的应用程序列表中选择应用程序。
    IDP

    (选答)入侵检测和防御 (IDP) 配置文件。选择任一 IDP 配置文件:

    • 标准 — 标准配置文件是默认配置文件,表示瞻博网络推荐的一组 IDP 签名和规则。这些措施包括:

      关闭客户端和服务器 TCP 连接。

      丢弃当前数据包和所有后续数据包

    • 严格 — 严格配置文件包含一组与标准配置文件类似的 IDP 签名和规则。但是,当系统检测到攻击时,配置文件会主动阻止在网络中检测到的任何恶意流量或其他攻击。

    • 警报

      —警报配置文件仅生成警报,不执行任何其他作。警报配置文件仅适用于低严重性攻击。IDP 签名和规则与标准配置文件中的相同。

    • 仅严重 (SRX) — 仅严重配置文件适用于严重性攻击。当系统检测到严重攻击时,此配置文件会采取适当的措施。我们建议将“严重 – 仅 SRX”配置文件用于 SRX300 系列防火墙。

    • - 未应用 IDP 配置文件。

    您在应用程序策略中应用的 IDP 配置文件将执行流量检查,以检测并防止对允许的流量的入侵。
    高级安全服务(仅限 SRX)

    您可以在 SRX 系列防火墙 的高级安全服务 下的应用策略中配置以下安全 AI 原生边缘功能:

    • 安全套接字层 (SSL) 转发代理 — SSL 转发代理充当中介,在客户端与服务器之间执行 SSL 加密和解密。SSL 转发代理是透明代理;也就是说,它在客户端和解密客户端与服务器之间,但服务器和客户端都无法检测到其存在。以下 SSL 代理配置文件可根据密码类别提供:弱、中和强。

    • 防病毒 - 您可以创建防病毒配置并将其与应用策略关联。您可以从一组预定义配置(默认配置、仅 HTTP(S) 配置和无 FTP)中进行选择,也可以创建自定义防病毒配置。

    注意:这些功能需要额外的设备端许可证。
    流量引导

    流量引导配置文件。流量控制配置文件定义一个或多个流量路径。

    将策略部署到 WAN 边缘辐射设备或中心设备需要转向配置文件。
    命中次数 应用策略命中计数(允许/阻止/过滤)显示流量命中给定应用策略的次数。
    注意:

    “编号”(订单号)和“流量引导”字段不可用于组织级应用策略。直接在 WAN 边缘或中心配置文件中定义应用策略时,需要指定订单号和流量引导选项。
    注意:允许从 WAN 到 LAN 的流量的应用策略 必须配置配置了目标 NAT 的网络。此配置启用要推送到 SRX 系列防火墙的应用策略。有关更多信息,请参阅 为 SRX 系列防火墙配置网络中的表 1。
  4. 根据表 2 中提供的详细信息完成配置。
    表 2:应用策略示例
    S.No。 规则名称 网络 目标 转向
    1 辐条到集线器-DMZ 都。分支-LAN1 通过 HUB1-LAN1 集线器-LAN
    2 中心 DMZ 到分支 HUB1-LAN1 通过 分支-LAN1 覆盖
    3 Spoke-to-Spoke-on-Hub-Hairpin 都。分支-LAN1 通过 分支-LAN1 覆盖
    4 集线器 DMZ 到互联网 HUB1-LAN1 通过 任何 杠杆收购
    5 spokes-traffic-cbo-on-hub 都。分支-LAN1 通过 任何 杠杆收购
  5. 点击保存

    图 2 显示了新创建的应用程序策略列表。

    图 2:应用程序策略摘要 Application Policies Summary

重新排序和删除应用程序策略

重新排序应用程序策略允许您在创建策略后移动策略。

Mist评估策略并按策略在策略列表中出现的顺序执行策略时,应注意以下事项:

  • 策略顺序很重要。因为策略评估从列表的顶部开始

  • 新策略将移至策略列表的末尾。

选择一个策略,然后使用向上箭头或向下箭头更改顺序。您可以随时更改保单顺序。

图 3:更改策略顺序 Changing Policy Order

若要删除应用程序策略,请选择要删除的应用程序策略,然后单击窗格右上角显示的 “删除 ”。

在网络和应用程序中使用相同的 IP 地址和前缀

在应用策略配置中,“ 网络/用户 ”属于源区域,“ 应用/目标 ”属于目标区域。

当您为不同的目的定义网络和应用程序时,您可以对它们使用相同的 IP 地址和前缀;也就是说,它们在一个策略中充当源,在另一个策略中充当目标。

请考虑 图 4 中的策略。

图 4:应用程序策略详细信息 Application Policies Details

在这里,您有一个 Network/Users SPOKE-LAN1,其 IP 地址为 192.168.200.0/24,用于分支 LAN 接口。屏幕截图显示,以下策略以不同的方式使用同一网络:

  • Spoke-to-Spoke-via-Hub — 此策略允许通过集线器的入站和出站分支流量。在这里,我们既定义了网络,又定义 SPOKE-LAN1 了应用。

  • Spoke-to-Hub-DMZ — 此策略允许 Spoke-to-Hub 流量。在这里,我们定义为 SPOKE-LAN1 网络

  • Hub-DMZ to-Spoke — 此策略允许中心到分支流量。在这里,我们定义为 SPOKE-LAN1 一个应用。

另见