Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Sicherheitsrichtlinien

Sicherheitsrichtlinien – Überblick

Die Konnektivität von Endgeräten hängt von der Erreichbarkeit (dem korrekten Weiterleitungsstatus im Netzwerk) und der Sicherheit (Konnektivität muss zulässig sein) bestimmt. Richtlinien müssen zwischen L2- und L3-Domänen sowie zwischen granulareren L2-/L3-IP-Endpunkten angegeben werden. Sicherheitsrichtlinien ermöglichen es Ihnen, Datenverkehr zwischen den granulareren Endgeräten zu erlauben oder zu verweigern. Sie steuern den datenverkehr zwischen virtuellen Netzwerken (ACLs auf SVIs) und den externen zu internen Datenverkehr (ACLs in Leaf-Randgeräten, nur externe Endgeräte). ACLs werden in der entsprechenden Gerätesyntax gerendert und auf Durchsetzungspunkte angewendet. Durch Hinzufügen eines neuen VXLAN-Endgeräts (z. B. Hinzufügen eines Racks oder Hinzufügen eines Leafs zu einem virtuellen Netzwerk) wird die ACL automatisch auf der virtuellen Netzwerkschnittstelle platziert. Durch Hinzufügen eines neuen generischen Systems External Connectivity Point (ECP) (Enforcement Point) werden ACL automatisch für externe Endgerätegruppen platziert. Sie können Sicherheitsrichtlinien auf Layer 2 IPv4-fähige Blueprints anwenden (IPv6 wird nicht unterstützt). Informationen zu unterstützten Geräten finden Sie in der Tabelle Konnektivität (von Leaf-Layer) in der Funktionsmatrix im Abschnitt Referenz.

Sicherheitsrichtlinien bestehen aus einem Quellpunkt (Subnetz oder IP-Adresse), einem Zielpunkt (Subnetz oder IP-Adresse) und Regeln zum Zulassen oder Ablehnen von Datenverkehr zwischen diesen Punkten basierend auf Protokoll. Regeln sind zustandslos, was bedeutet, dass Antworten auf erlaubten eingehenden Datenverkehr den Regeln für ausgehenden Datenverkehr (und umgekehrt) unterliegen.

Regeln können die Protokollierung des Datenverkehrs umfassen. Die ACL ist so konfiguriert, dass Übereinstimmungen mit einem beliebigen Mechanismus protokolliert werden, der auf dem Gerät unterstützt wird. Die Protokollkonfiguration ist lokal für das Netzwerkgerät; Es ist nicht auf dem Apstra-Server. Das Analysieren dieser Protokolle liegt außerhalb des Geltungsbereichs dieses Dokuments.

Für eine bidirektionale Sicherheitsrichtlinie erstellen Sie zwei Instanzen der Richtlinie, eine für jede Richtung.

Sie können mehr als eine Richtlinie auf jedes Subnetz/jeden Endpunkt anwenden, was bedeutet, dass die Reihenfolge von Regeln auswirkungen auf das Verhalten hat. Zwischen Routing-Zonen, virtuellen Netzwerken und IP-Endpunkten besteht eine implizite Hierarchie, sodass Sie berücksichtigen müssen, wie Richtlinien auf verschiedenen Hierarchieebenen angewendet werden. Wenn der Übereinstimmungssatz einer Regel den Übereinstimmungssatz der anderen Regel enthält (vollständige Eindämmung), können die Regeln konflikte bestehen. Sie können die Regeln so festlegen, dass sie zuerst spezifischere Regeln ausführen ("Ausnahme"-Fokus/-modus) oder weniger spezifisch zuerst ("Fokus/Modus außer Kraft setzen").

Regeln können auch konflikte, wenn es eine vollständige Eindämmungssituation zwischen den Regeln gibt, die Aktion jedoch dieselbe ist. In diesem Fall besteht Kompressionspotenzial durch die Verwendung der weniger spezifischen Regel, und die spezifischere Regel wird zu einer "Schatten"-Regel. Wenn widersprüchliche Regeln erkannt werden, werden Sie benachrichtigt und die Lösung angezeigt.

Einige Fälle, in denen widersprüchliche Regeln identifiziert werden, sind nachfolgend beschrieben:

  • Regeln in Richtlinien zwischen verschiedenen IP-Endpunktpaaren (auch wenn eines mit beiden Paaren gemeinsam ist) sind nicht überlappend, da die IP-Adressenpaare unterschiedlich sind. Dies führt zu einer unzusammenhängenen Übereinstimmung aus der Perspektive von Quell-IP/Ziel-IP (unterschiedliche "IP-Signatur").
  • Regeln in Richtlinien zwischen denselben IP-Endgeräten können Felder überschneiden (z. B. Ziel-Port); Die Apstra-Software prüft darauf.
  • Regeln in Richtlinien zwischen verschiedenen virtuellen Netzwerkpaaren (auch wenn ein virtuelles Netzwerk mit beiden Paaren gemeinsam ist) sind nicht überlappend, da die Subnetzpaare unterschiedlich sind. Dies führt zu einer unzusammenhängenen Übereinstimmung aus der Perspektive der Quell-IP/Ziel-IP (unterschiedliche "IP-Signatur").
  • Regeln in Richtlinien zwischen denselben virtuellen Netzwerken können Felder überschneiden (z. B. Zielport); Die Apstra-Software prüft darauf.
  • Wenn IP-Endpunktgruppen verwendet werden, ergeben sich daraus eine Reihe von IP-Endpunktpaaren, sodass die obige Diskussion über IP-Endpunktpaare gilt.
  • Regeln in Richtlinien zwischen einem IP-Endgerätpaar und einem Paar übergeordneter virtueller Netzwerke haben aus sicht der IP-Signatur eine Eindämmung. Die Apstra-Software analysiert die Überschneidung von Zielport/Protokoll und klassifiziert sie als vollständigen oder nicht vollständigen Containment-Konflikt.
  • Regeln in Richtlinien zwischen einem IP-Endpunktpaar und einem Paar virtueller Netzwerke, bei denen mindestens ein virtuelles Netzwerk nicht übergeordnetes Netzwerk ist, sind nicht konfliktfrei (unterschiedliche "IP-Signatur").
  • Regeln in Richtlinien zwischen einem IP-Endpunktpaar und einem IP-Endpunkt – virtuelles Netzwerkpaar, bei dem das virtuelle Netzwerk ein übergeordnetes Ist, haben eine vollständige Eingrenzung aus der Perspektive der IP-Signatur; Die Apstra-Software analysiert die verbleibenden Felder.
  • Regeln in Richtlinien, die externe IP-Endgeräte oder Endpunktgruppen enthalten, müssen aus der Perspektive der IP-Signatur analysiert werden, da externe Punkte an keine hierarchischen Annahmen gebunden sind.
  • Eine Routing-Zone ist eine Reihe von virtuellen Netzwerken und IP-Endpunkten, sodass die obigen Diskussionen gelten.

Endgeräte werden in Sicherheitsrichtlinien nicht unterstützt, wenn:

  • Quellpunkt ist ein externer Endpunkt oder eine externe Endgerätegruppe
  • Zielpunkt ist intern (internes Endgerät, interne Endgerätegruppe, virtuelles Netzwerk, Routing-Zone)

Um die Zusammensetzung nutzbar zu machen, kann es sowohl aus der Analysesicht als auch aus dem Verständnis der resultierenden Zusammensetzung nützlich sein, die Anzahl der Sicherheitsrichtlinien zu begrenzen, die für ein bestimmtes Endgerät/eine bestimmte Gruppe gelten können.

Parameter für Sicherheitsrichtlinien

Die Sicherheitsrichtlinien umfassen die folgenden Details:

Beschreibung der Parameter
Namen Nur 32 Zeichen oder weniger, Unterstriche, Gedankenstriche und alphanumerische Zeichen
Beschreibung Optional
Aktiviert
  • EIN , um eine Sicherheitsrichtlinie zu aktivieren (Standard)
  • AUS , um die Sicherheitsrichtlinie zu deaktivieren
Schilder Optional
Quellpunkttyp
  • Internes Endgerät (verknüpft mit VNs – ip/32-Adresse enthalten)
  • Externes Endgerät (enthält /32 oder Subnetz)
  • Externe Endgerätegruppe
  • Interne Endgerätegruppe
  • Virtuelles Netzwerk (enthält Subnetz)
  • Routing Zone (logische Erfassung aller virtuellen Netzwerke und internen IP-Endgeräte)
Quellpunkt
  • Interne Endgeräte
  • Externes Endgerät
  • Externe Endgerätegruppe
  • Interne Endgerätegruppe
  • Virtuelles Netzwerk
  • Routing-Zone
Zielpunkttyp Quellpunkt (zuvor erstellt)
Zielpunkt Zielpunkt (zuvor erstellt)
Regelaktionen
  • Verweigern
  • Ablehnen und Protokollieren
  • Genehmigung
  • Genehmigung und Protokoll
Regelprotokolle
  • TCP
  • UDP
  • IP
  • ICMP
Quell-Port Für TCP- und IP-Protokolle
Ziel-Port Für TCP- und IP-Protokolle

Navigieren Sie im Entwurf zu "Staged > Policies > Security Policies > Policies" , um zu den Sicherheitsrichtlinien zu gelangen. Sie können Sicherheitsrichtlinien erstellen, klonen, bearbeiten und löschen.

Sicherheitsrichtlinien erstellen

Erstellen Sie vor dem Erstellen von Sicherheitsrichtlinien Routing-Zonen, virtuelle Netzwerke, Endgeräte und Endpunktgruppen in dieser Reihenfolge. Sie sind die Grundlage für die Erstellung von Sicherheitsrichtlinien.

So erstellen Sie Sicherheitsrichtlinien:

  1. Navigieren Sie im Entwurf zu "Staged > Policies > Security Policies > Policies", und klicken Sie auf "Sicherheitsrichtlinie erstellen".
  2. Geben Sie einen Namen ein, und wenn die Richtlinie aktiviert werden soll, lassen Sie den Standard. Andernfalls klicken Sie auf den Schalter Aktiviert, um ihn zu deaktivieren.
  3. Wählen Sie einen Quellpunkttyp aus, und geben Sie den Quellpunkt ein.
  4. Wählen Sie einen Zielpunkttyp aus und geben Sie den Zielpunkt ein.
  5. Klicken Sie auf Regel hinzufügen, und geben Sie dann einen Namen und (optional) Eine Beschreibung ein.
  6. Wählen Sie eine Aktion aus der Dropdown-Liste aus (Ablehnen, Ablehnen & Protokoll, Zulassen, Zulassen & Protokoll).
  7. Wählen Sie ein Protokoll aus der Dropdown-Liste aus (TCP, UDP, IP ICMP).
  8. Wenn Sie TCP oder UDP gewählt haben, geben Sie einen Port (oder Portbereich) für Quelle und Ziel ein. (Wenn Sie TCP/UDP-Port-Aliase erstellt haben, werden diese in der Dropdown-Liste angezeigt.
  9. Um eine weitere Regel hinzuzufügen, klicken Sie auf Regel hinzufügen und konfigurieren Sie wie oben.
    Hinweis:

    Rechts neben der Schaltfläche "Regel hinzufügen " können Sie automatisch eine Richtlinie mit Blockierungslistentyp erstellen, indem Sie auf "Alle ablehnen " oder auf "Allowlist-Typ"-Richtlinie klicken, indem Sie auf "Alle zulassen" klicken.
  10. Sie können die Regelreihenfolge anpassen, indem Sie in jeder Regel auf die Schaltflächen "Nach oben" oder "Nach unten" klicken.
  11. Klicken Sie auf "Create", um die Richtlinie zu inszenieren und zur Tabellenansicht zurückzukehren.

Richtlinienfehler

  1. Überprüfen Sie die Sicherheitsrichtlinie in der Tabellenansicht auf Fehler, die rot hervorgehoben sind.
  2. Klicken Sie auf die Schaltfläche "Fehler anzeigen", um Details anzuzeigen.
  3. Wenn Sie Fehler beheben, wird die Richtlinie nicht mehr rot hervorgehoben und das Feld "Fehler" ist leer.

Wenn Sie die phasenierten Änderungen aktivieren möchten, binden Sie diese an den Entwurf.

Sicherheitsrichtlinie bearbeiten

  1. Navigieren Sie im Navigationsmenü links zu "Staged > Policies > Security Policies > Policies", und klicken Sie auf die Schaltfläche "Bearbeiten", um die Richtlinie zu bearbeiten.
  2. Nehmen Sie Ihre Änderungen vor.
  3. Klicken Sie auf Bearbeiten, um die Änderungen vorzunehmen und zur Tabellenansicht zurückzukehren.

Sicherheitsrichtlinie löschen

  1. Navigieren Sie im Navigationsmenü links zu Inszenierte >-Richtlinien > Sicherheitsrichtlinien > Richtlinien, und klicken Sie auf die Schaltfläche Löschen, um die richtlinie zu löschen.
  2. Klicken Sie auf "Delete", um den Löschvorgang zu veranlassen und zur Tabellenansicht zurückzukehren.

Konflikte mit Sicherheitsrichtlinien

Navigieren Sie im Entwurf zu "Staged > Policies > Security Policies > Conflicts" , um alle erkannten Konflikte zu sehen (Spalte Regelkonflikte ). Konflikte werden nach Möglichkeit automatisch aufgelöst. Standardmäßig werden spezifischere Richtlinien angewendet, bevor weniger spezifische, aber Sie können diese Sicherheitsrichtlinieneinstellungen ändern. Klicken Sie zum Anzeigen von Konfliktdetails auf das Symbol in der Spalte Regelkonflikte .

Wenn der Konflikt automatisch aufgelöst wurde, wird durch AOS gelöst in der Spalte Status angezeigt.

Sicherheitsrichtlinieneinstellungen

Sie können konfigurieren, wie Sie Konflikte lösen möchten und ob Datenverkehr zugelassen oder verweigert werden soll.

  1. Navigieren Sie im Entwurf zu "Staged > Policies > Security Policies > Settings".
  2. Wählen Sie die optionen nach Bedarf aus.
    • Konfliktlösung
      • Genaueres zuerst – es wird eine spezifischere IP-Richtlinie verwendet (Standard)
      • Generischer zuerst – weniger spezifische IP-Richtlinien werden verwendet
      • Deaktiviert – deaktiviert die Konfliktlösung
    • Standardaktion
      • Zulassen – Erlaubt Datenverkehr (Standard)
      • Zulassen und Protokollieren – Erlaubt den Datenverkehr und protokolliert ihn
      • Ablehnen – Verweigert Datenverkehr
      • Deny & Log – verweigert Datenverkehr und protokolliert ihn
  3. Klicken Sie auf Änderungen speichern, um die Änderungen vorzunehmen.

Wenn Sie die phasenierten Änderungen aktivieren möchten, binden Sie diese an den Entwurf.