安全策略概述
瞻博网络 Security Director Cloud 提供创建、修改和删除安全策略并将设备与安全策略相关联的功能。安全策略通过对通过设备的流量强制实施规则来提供安全功能。根据安全策略规则中定义的操作允许或拒绝流量。安全策略规则控制从规则中定义的端点派生的上下文中的传输流量。基于规则的安全策略可以将传输层(第 4 层)和应用层(第 7 层)安全构造合并到单个规则中。序列的选择和分配基于规则定义中的终结点隐式进行。安全规则由源和目标终结点、IP 地址、用户标识、URL 类别、服务和应用程序组成。
如果设备(CPE 或新一代安全性)运行的是 Junos OS 18.2R1 或更高版本,则安全策略将充当统一的安全策略。在统一安全策略中,动态应用程序可与现有匹配条件一起用作匹配条件。因此,设备上不会配置单独的应用程序安全性来允许或阻止流向应用程序的流量。
安全策略提供以下功能:
- 根据正在使用的应用程序允许、拒绝、拒绝、重定向或隧道传输流量。
- 不仅可以识别 HTTP,还可以识别在其上运行的任何应用程序,使您能够正确实施策略。例如,应用程序安全规则可以阻止来自 Facebook 的 HTTP 流量,但允许 Web 访问来自 Microsoft Outlook 的 HTTP 流量。
- 通过指定以下一项或多项进行高级安全保护:
- 入侵防御系统 (IPS) 配置文件
- 内容安全配置文件
- SSL 代理配置文件
规则分为基于区域的规则和全局规则。
- 基于区域的规则是以区域作为源终结点和目标终结点的规则。 表 1 列出了可以为基于区域的规则定义的参数。
- 全局规则提供了对流量执行操作的灵活性,而没有任何区域限制。全局规则的参数如 表1 所示。
表 1:基于区域的规则和全局规则的参数 源 目标 应用程序 /服务 操作 高级安全选项 支持的选项 区
地址
身份
区
地址
网址类别
应用
服务
许可证
否认
拒绝
重 定向
隧道
IPS 配置文件
内容安全配置文件
SSL 代理配置文件
附表
测 井
规则选项
安全策略和规则顺序概述
安全策略和规则按其出现的顺序执行。您必须注意以下几点:
-
安全策略和安全策略中的规则从上到下应用。例如,安全策略 P1 有两个规则 :规则 a 和 规则 b。安全策略 P2 有两个规则 :规则 a 和 规则 b。安全策略 P1 的序列号为 1 ,安全策略 P2 的序列号为 2。部署后,将按以下顺序应用安全策略和规则:
-
P1 规则-a
-
P1 规则-b
-
P2 规则-a
-
P2 规则-b
-
-
新创建的安全策略和规则位于列表末尾。
-
您可以更改安全策略和规则的顺序。有关详细信息,请参阅对安全策略重新排序和对安全策略规则重新排序。
-
策略列表中的最后一个安全策略是默认策略,其默认操作是拒绝所有流量。
-
一个安全策略规则可以屏蔽另一个安全策略规则。