Beispiele für Firewall-Richtlinien
In diesem Thema finden Sie Anhand verschiedener Beispiele Informationen dazu, wie Die Absichten von Firewallrichtlinien, die Sie als Teil Ihrer Firewall-Richtlinie definieren, von Contrail Service Orchestration (CSO) behandelt werden. Jedes der Beispiele bietet eine detaillierte Erklärung dafür, wie ein über die CSO-GUI definierter Firewall-Richtlinienabsatz in die Konfiguration im System aufgelöst wird.
Weitere Informationen finden Sie unter Firewall-Richtlinienübersicht und Hinzufügen von Firewall-Richtlinienabsichten.
Zum besseren Verständnis wurden alle Beispiele für die Verwendung der in Abbildung 1 dargestellten Topologie definiert. In dieser Topologie gibt es zwei Standorte: Standort A und Standort B. Jeder Standort hat zwei Abteilungen, die wie folgt definiert sind:
Standort A – IT (LAN-Segment LS1) und Finanzen (LAN-Segment LS2).
Standort B – Finanzen (LAN-Segment LS3) und Vertrieb (LAN-Segment LS4).
Die folgenden Definitionen gelten für alle Beispiele:
Beim Erstellen eines Standorts können Sie einige der WAN-Schnittstellen als Breakout-Schnittstellen festlegen. Diese WAN-Schnittstellen können sowohl Site-to-Site-Datenverkehr (durch die Trust Zone) als auch Breakout-Datenverkehr (durch die nicht vertrauenswürdige Zone) übertragen. Die WAN-Schnittstellen können auch ausschließlich für die Schleppung von Breakout-Datenverkehr vorgesehen werden.
Eine Vertrauenszone bezieht sich auf die Overlay-Schnittstelle, die alle GRE-Tunnelschnittstellen enthält, z. B. gr-0/0/0.1, gr-0/0/0.2 und IPSec-Schnittstellen wie st0.1, st0.2, die zwischen den Standorten erstellt wurden.
Eine nicht vertrauenswürdige Zone bezieht sich auf die Underlay-Schnittstellen (zugrunde liegende physische Schnittstellen), wie ge-0/0/0, ge-0/0/1.
Wenn Sie eine Adresse oder einen Service als Zielendpunkt auswählen, betrachtet CSO sie als im Internet gehostete Adresse oder einen Service, es sei denn, die ausgewählte Adresse oder der ausgewählte Dienst ist mit einem Standort verknüpft.
Tabelle 1 erfasst die Adressen, die den in der in Abbildung 1 dargestellten Topologie verwendeten LAN-Segmenten zugeordnet sind.
Tabelle 1: Definition von LAN-Segmenten Website
Abteilung
LAN-Segment
LAN-Segment-Adresse
Standort A
ES
LS1
192.0.2.0/24
Standort A
Finanzen
LS2
192.168.1.0/24
Standort B
Finanzen
LS3
198.51.100.0/24
Standort B
Verkauf
LS4
203.0.113.0/24
Die folgenden Beispiele helfen Ihnen, die Erstellung absichtsbasierter Firewall-Richtlinien für verschiedene Datenverkehrsszenarien über Quellen und Ziele hinweg zu verstehen.
Beispiel 1: Firewall-Richtlinie, die Datenverkehr von Abteilungen an Standort A zu den Abteilungen an Standort B zulässt
Definieren Sie eine Firewall-Richtlinie, die den Datenverkehr von den Abteilungen an Standort A zu den Abteilungen an Standort B zulässt.
Tabelle 2 zeigt die definierten Firewall-Richtlinienabsichten:
Quelle |
Ziel |
Aktion |
|---|---|---|
Standort A |
Standort B |
Genehmigung |
Tabelle 3 zeigt, wie diese Firewall-Richtlinienabsicht aufgelöst wird:
Website |
Quellenabteilung |
Quelladresse |
Zone |
Zieladresse |
Service |
Absicht erstellt |
|---|---|---|---|---|---|---|
Standort A |
Finanzen |
[LS2] |
Vertrauen |
[LS3, LS4] |
Jegliche |
Absicht 1__0 |
ES |
[LS1] |
Vertrauen |
[LS3, LS4] |
Jegliche |
Absicht 1__1 |
|
Standort B |
Vertrauen |
[LS3, LS4] |
Verkauf |
[LS2] |
Jegliche |
Absicht 1__0 |
Vertrauen |
[LS3, LS4] |
Finanzen |
[LS1] |
Jegliche |
Absicht 1__1 |
Konfigurationsausgabebeispiel
Beispiel für die Konfiguration, die Datenverkehr von den Abteilungen an Standort A zu den Abteilungen am Standort B zulässt.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone FINANCE to-zone trust {
policy Intent_1__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address [ls-198.51.100.0/24-SP50-L3,
ls-203.0.113.0/24-SP50-L4];
application any;
}
then {
permit;
}
}
}
from-zone IT to-zone trust {
policy Intent_1__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address [ls-198.51.100.0/24-SP50-L3,
ls-203.0.113.0/24-SP50-L4];
application any;
}
then {
permit;
}
}
}
Beispiel der Konfiguration, die Datenverkehr von den Abteilungen an Standort B zu den Abteilungen an Standort A zulässt.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone trust to-zone SALES {
policy Intent_1__0 {
match {
source-address [ls-198.51.100.0/24-SP50-L3,
ls-203.0.113.0/24-SP50-L4];
destination-address ls-192.0.2.0/24-S42-L1;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone FINANCE {
policy Intent_1__1 {
match {
source-address [ls-198.51.100.0/24-SP50-L3,
ls-203.0.113.0/24-SP50-L4];
destination-address ls-192.168.1.0/24-SP50-L2;
application any;
}
then {
permit;
}
}
}
Beispiel 2: Firewall-Richtlinie, die allen Abteilungen an Standort A und B den Internetzugang ermöglicht
Definieren Sie eine Firewall-Richtlinie, die allen Abteilungen an Den Standorten A und B den Zugriff auf das Internet ermöglicht.
Tabelle 4 zeigt die definierten Firewall-Richtlinienabsichten:
Quelle |
Ziel |
Aktion |
|---|---|---|
Standort A |
http, https, icmp-ping, dns |
Genehmigung |
Standort B |
http, https, icmp-ping, dns |
Genehmigung |
Tabelle 5 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Website |
Quellenabteilung |
Quelladresse |
Zone |
Zieladresse |
Service |
Absicht erstellt |
|---|---|---|---|---|---|---|
Standort A |
Finanzen |
[LS2] |
Nicht vertrauenswürdig |
Jegliche |
http, https, icmp-ping, dns |
Absicht 1__0 |
ES |
[LSI] |
Nicht vertrauenswürdig |
Jegliche |
http, https, icmp-ping, dns |
Absicht 1__1 |
|
Standort B |
Verkauf |
[LS4] |
Nicht vertrauenswürdig |
Jegliche |
http, https, icmp-ping, dns |
Absicht 1__0 |
Finanzen |
[LS3] |
Nicht vertrauenswürdig |
Jegliche |
http, https, icmp-ping, dns |
Absicht 1__1 |
Konfigurationsausgabebeispiel
Beispiel der Konfiguration, die allen Abteilungen an Standort A den Internetzugang ermöglicht.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy Intent_1__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application [junos-http junos-dns-tcp junos-https
junos-icmp-ping];
}
then {
permit;
}
}
}
from-zone IT to-zone untrust {
policy Intent_1__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application [junos-http junos-dns-tcp junos-https
junos-icmp-ping];
}
then {
permit;
}
}
}
policy-rematch;
Beispiel der Konfiguration, die allen Abteilungen an Standort B den Internetzugang ermöglicht.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Sales to-zone untrust {
policy Intent_1__0 {
match {
source-address ls-203.0.113.0/24-SP50-L4;
destination-address any;
application [junos-http junos-dns-tcp junos-https
junos-icmp-ping];
}
then {
permit;
}
}
}
from-zone Finance1 to-zone untrust {
policy Intent_1__1 {
match {
source-address ls-198.51.100.0/24-SP50-L3;
destination-address any;
application [junos-http junos-dns-tcp junos-https
junos-icmp-ping];
}
then {
permit;
}
}
}
policy-rematch;
Beispiel 3: Firewall-Richtlinie, die allen öffentlichen Internetadressen den Zugriff auf die Vertriebsabteilung an Standort B ermöglicht
Definieren Sie eine Firewall-Richtlinie, die allen öffentlichen Internetadressen den Zugriff auf eine von der Vertriebsabteilung an Standort B gehostete Vertriebsanwendung ermöglicht.
In diesem Beispiel ist der Breakout nicht aktiviert und der MPLS-Verbindungstyp wird verwendet.
Tabelle 6 zeigt die definierten Firewall-Richtlinienabsichten:
Quelle |
Ziel |
Aktion |
|---|---|---|
Internet |
Vertrieb, Standort B |
Genehmigung |
Tabelle 7 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Quelladresse |
Zone |
Zieladresse |
Service |
Absicht erstellt |
|---|---|---|---|---|
Jede öffentliche Internetadresse |
Vertrauen in den Vertrieb (kein Breakout) |
[LS4] |
Jegliche |
Absicht 1__0 |
Beispiel für Konfigurationsausgaben
Beispiel einer Konfiguration, die es jeder öffentlichen Internetadresse ermöglicht, auf die Vertriebsabteilung an Standort B zuzugreifen.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone untrust to-zone Sales {
policy Intent_1__0 {
match {
source-address any;
destination-address ls-203.0.113.0/24-SP50-L4;
application any;
}
then {
permit;
}
}
}
Beispiel 4: Firewall-Richtlinie, die allen Abteilungen am Standort A den Zugriff auf soziale Medien ermöglicht
Definieren Sie eine Firewall-Richtlinie, die allen Abteilungen in Site A den Zugriff auf Facebook ermöglicht.
Tabelle 8 zeigt die definierten Firewall-Richtlinienabsichten:
Quelle |
Ziel |
Aktion |
|---|---|---|
Standort A |
Genehmigung |
Tabelle 9 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Website |
Quelladresse |
Zone |
Zieladresse |
Service |
Absicht erstellt |
Anwendungs-Firewall-Profil |
|---|---|---|---|---|---|---|
Standort A |
[LS2] |
Nicht vertrauenswürdig |
Jegliche |
Absicht 1__0 |
AppFwProfile_0 |
|
Standort A |
[LS1] |
Nicht vertrauenswürdig |
Jegliche |
Absicht 1__1 |
AppFwProfile_0 |
Beispiel für Konfigurationsausgaben
Beispiel für die Konfiguration, die den Zugriff auf Facebook für Site A steuert.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy Intent_1__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
}
from-zone IT to-zone untrust {
policy Intent_1__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
application-firewall {
rule-sets AppFwProfile_0 {
rule rule-1 {
match {
dynamic-application junos:FACEBOOK-APP;
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
}
Beispiel 5: Firewall-Richtlinie, die den Zugriff auf bestimmte Anwendungen für verschiedene Abteilungen steuert
Definieren Sie eine Firewall-Richtlinie, die den Zugriff auf bestimmte Anwendungen aus verschiedenen Abteilungen mit den folgenden Absichten steuert:
Die Finanzabteilungen an den Standorten A und B (die sich an verschiedenen geografischen Standorten befinden) dürfen auf die Nachrichtenanwendungen BBC und CNN zugreifen.
Der IT-Abteilung an Standort A wird der Zugriff auf die Nachrichtenanwendungen BBC und CNN verweigert.
Der Zugriff auf Telnet- und SSH-Anwendungen wird nur den Finanzabteilungen gewährt.
Der Zugriff auf Telnet- und SSH-Anwendungen wird allen Abteilungen mit Ausnahme der Finanzabteilung verweigert.
Tabelle 10 zeigt die Firewall-Richtlinienabsichten, die diese Anforderung erfüllen sollen:
Quelle |
Ziel |
Aktion |
|---|---|---|
Finanzabteilung, Standort A und Finanzabteilung, Standort B |
BBC und CNN |
Genehmigung |
IT-Abteilung, Standort A |
BBC und CNN |
Verweigern |
Finanzabteilung, Standort A und Finanzabteilung, Standort B |
Telnet und SSH |
Genehmigung |
Jede (alle Adressen mit Ausnahme der Finanzabteilung) |
Telnet und SSH |
Verweigern |
Die Anzahl der Absichten hängt von der Anzahl der Quellstandorte innerhalb der jeweiligen Abteilung und der Anzahl der Zielstandorte ab.
Tabelle 11 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Quellenabteilung |
Quelladresse |
Zone |
Zieladresse |
Service |
Anwendungs-Firewall-Profil |
|---|---|---|---|---|---|
Finanzen |
[LS2] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Jegliche |
AppFwProfile_1 Genehmigung: CNN/BBC Def. Regel : Zulassen |
Finanzen |
[LS3] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Jegliche |
AppFwProfile_1 Genehmigung: CNN/BBC Def. Regel : Zulassen |
ES |
[LS1] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Jegliche |
AppFwProfile_3 Ablehnen: CNN/BBC Regel: Ablehnen |
Finanzabteilung, Standort A und Finanzabteilung, Standort B |
[LS2, LS3] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Telnet, SSH |
AppFwProfile_1-1 Genehmigung: Telnet/SSH Regel: Ablehnen |
IT-Abteilung, Standort A |
[LS1] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Telnet, SSH |
AppFwProfile_3-1 Ablehnen: Telnet/SSH Regel: Ablehnen |
Beispiel für Konfigurationsausgaben
Beispiel für die Konfiguration, die den Zugriff auf bestimmte Anwendungen für verschiedene Abteilungen an Standort A steuert.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone trust {
policy Intent_3 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application [junos-telnet junos-ssh];
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1-1;
}
}
}
}
}
policy Intent_1 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1;
}
}
}
}
}
policy Intent_4__0 {
match {
source-address any;
destination-address any;
application [junos-telnet junos-ssh];
}
then {
permit;
}
}
}
from-zone IT to-zone trust {
policy Intent_4__1-1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application [junos-telnet junos-ssh];
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_3-1;
}
}
}
}
}
policy Intent_2 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_3;
}
}
}
}
}
policy Intent_4__1 {
match {
source-address any;
destination-address any;
application [junos-telnet junos-ssh];
}
then {
deny;
}
}
}
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_1-1 {
rule rule-1 {
match {
dynamic-application [junos:BBC junos:CNN];
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets AppFwProfile_3 {
rule rule-2 {
match {
dynamic-application [junos:BBC junos:CNN];
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
rule-sets AppFwProfile_1 {
rule rule-3 {
match {
dynamic-application [junos:BBC junos:CNN];
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets AppFwProfile_3-1 {
rule rule-4 {
match {
dynamic-application [junos:BBC junos:CNN];
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
Beispiel einer Konfiguration, die den Zugriff auf bestimmte Anwendungen für verschiedene Abteilungen an Standort B steuert.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone trust {
policy appQoe-36600-Permit-rule {
match {
source-address any;
destination-address any;
application appQoe-36000;
}
then {
permit;
}
}
policy Intent_3 {
match {
source-address ls-198.51.100.0/24-SP50-L3;
destination-address any;
application [ junos-telnet junos-ssh ];
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1-1;
}
}
}
}
}
policy Intent_1 {
match {
source-address ls-198.51.100.0/24-SP50-L3;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1;
}
}
}
}
}
policy Intent_4__1 {
match {
source-address any;
destination-address any;
application [junos-telnet junos-ssh];
}
then {
deny;
}
}
}
from-zone Sales to-zone trust {
policy Intent_4__0 {
match {
source-address any;
destination-address any;
application [junos-telnet junos-ssh];
}
then {
deny;
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_1-1 {
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
match {
dynamic-application [junos:BBC junos:CNN];
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
rule-sets AppFwProfile_1 {
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
match {
dynamic-application [junos:BBC junos:CNN];
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
Beispiel 6: Firewall-Richtlinie, die den Zugriff auf Social Networking-Websites verweigert
Definieren Sie eine Firewall-Richtlinie, die den IT- und Finanzabteilungen an Standort A den Zugriff auf Netzwerkseiten wie Facebook und Twitter (definiert als Anwendungsgruppen-Social Networking) verweigert.
Tabelle 12 zeigt die Absicht der Firewall-Richtlinie, die zur Erfüllung dieser Anforderung benötigt wird:
Quelle |
Ziel |
Aktion |
|---|---|---|
IT und Finanzen, Standort A |
Application Group Social Networking (Facebook und Twitter) |
Verweigern |
Fügen Sie Standort A hinzu, wenn die IT- oder Finanzabteilung an verschiedenen Standorten vorhanden ist, Sie diese Firewall-Richtlinienabsicht jedoch nur auf die IT- oder Finanzabteilungen an Standort A anwenden möchten.
Tabelle 13 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Quellenabteilung |
Quelladresse |
Zone |
Zieladresse |
Service |
Anwendungs-Firewall-Profil |
|---|---|---|---|---|---|
Finanzen |
[LS2] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Jegliche |
AppFwProfile_0 Ablehnen: Social Networking (Apps) Regel: Ablehnen |
ES |
[LS1] |
Vertrauen/Nicht vertrauenswürdig |
Jegliche |
Jegliche |
AppFwProfile_1 Ablehnen: Social Networking (Apps) Regel: Ablehnen |
Beispiel für Konfigurationsausgaben
Beispiel einer Konfiguration, die Abteilungen an Standort A den Zugriff auf Social-Networking-Websites verweigert.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone IT to-zone untrust {
policy Intent_1__0 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
}
from-zone Finance to-zone untrust {
policy Intent_1__1 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
}
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
application-firewall {
rule-sets AppFwProfile_0 {
rule rule-b7e4ed02-e196-400a-88bf-f1de8973d30c-appFwRule {
match {
dynamic-application-group Socialnetwork;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
}
Beispiel 7: Firewall-Richtlinie, die den Zugriff auf eine Adresse über das Internet steuert (HTTP)
Definieren Sie eine Firewall-Richtlinie, die den Zugriff auf eine Adresse über das Internet (HTTP) für verschiedene Standorte oder Standortgruppen mit den folgenden Absichten steuert:
Ip-Adressenpräfixe von Standort A und Standort B sind für den Zugriff auf example.com erlaubt.
IP-Adresspräfix der Standortgruppe Q1 wird der Zugriff auf example-one.com verweigert. Standortgruppe Q1 besteht aus Standort A und Standort B.
Tabelle 14 zeigt die Firewall-Richtlinienabsichten, die zur Erfüllung dieser Anforderung benötigt werden:
Quelle |
Service |
Ziel |
Aktion |
|---|---|---|---|
IP-Adressenpräfix, Standort A und IP-Präfix, Standort B |
HTTP |
www.example.com |
Genehmigung |
IP-Adresspräfix, Standortgruppe Q1 |
HTTP |
www.example-one.com |
Verweigern |
Tabelle 15 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Quellenabteilung |
Quelladresse |
Zone |
Zieladresse |
Service |
Anwendungs-Firewall-Profil |
|---|---|---|---|---|---|
IT, Finanzabteilungen am Standort A |
[LS1, LS2] |
Vertrauen/Nicht vertrauenswürdig |
www.example.com |
Jegliche |
AppFwProfile_0 Genehmigung: HTTP Regel: Ablehnen |
Finanzen, Vertriebsabteilungen am Standort B |
[LS3, LS4] |
Vertrauen/Nicht vertrauenswürdig |
www.example.com |
Jegliche |
AppFwProfile_1 Genehmigung: HTTP Regel: Ablehnen |
IT, Finanzabteilungen am Standort A |
[LS1, LS2] |
Vertrauen/Nicht vertrauenswürdig |
www.example-one.com |
Jegliche |
AppFwProfile_2 Ablehnen: HTTP Regel: Ablehnen |
Finanzen, Vertriebsabteilungen am Standort B |
[LS3, LS4] |
Vertrauen/Nicht vertrauenswürdig |
www.example-one.com |
Jegliche |
AppFwProfile_3 Ablehnen: HTTP Regel: Ablehnen |
Beispiel für Konfigurationsausgaben
Beispiel für die Konfiguration, die den Zugriff auf eine Adresse über das Internet (HTTP) für Standort A steuert.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy Intent_4__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address www.example.com;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
policy Intent_1__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1;
}
}
}
}
}
}
from-zone IT to-zone untrust {
policy Intent_4__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
policy Intent_1__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1;
}
}
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_1 {
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
match {
dynamic-application junos:YOUTUBE;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
rule-sets AppFwProfile_0 {
rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
match {
dynamic-application junos:CNN;
ssl-encryption any;
}
then {
permit;
}
}
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
match {
dynamic-application junos:YOUTUBE;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
Beispiel für die Konfiguration, die den Zugriff auf eine Adresse über das Internet (HTTP) für Standort B steuert.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy Intent_4__1 {
match {
source-address ls-198.51.100.0/24-SP50-L3;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
policy Intent_1__1 {
match {
source-address ls-198.51.100.0/24-SP50-L3;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1;
}
}
}
}
}
}
from-zone Sales to-zone untrust {
policy Intent_4__0 {
match {
source-address ls-203.0.113.0/24-SP50-L4;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
}
}
policy Intent_1__0 {
match {
source-address ls-203.0.113.0/24-SP50-L4;
destination-address addr2;
application junos-http;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_1;
}
}
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_1 {
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
match {
dynamic-application junos:YOUTUBE;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
rule-sets AppFwProfile_0 {
rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
match {
dynamic-application junos:CNN;
ssl-encryption any;
}
then {
permit;
}
}
rule rule-ca2354d6-a7ba-488e-8c5a-91cbddfb9583-appFwRule {
match {
dynamic-application junos:YOUTUBE;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
Beispiel 8: Firewall-Richtlinie, die die Verwendung von HTTP oder FTP as a Service erlaubt oder verweigert
Definieren Sie eine Firewall-Richtlinie, bei der eine bestimmte IP-Adresse, die der IT-Abteilung gehört, die Verwendung von HTTP oder FTP als Service erlaubt oder verweigert wird.
Tabelle 16 zeigt die Firewall-Richtlinienabsichten, die zur Erfüllung dieser Anforderung benötigt werden:
Quelle |
Service |
Ziel |
Aktion |
|---|---|---|---|
192.0.2.0 |
HTTP |
example.com |
Genehmigung |
192.0.2.0 |
FTP |
example.com |
Verweigern |
Tabelle 17 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Quellenabteilung |
Quelladresse |
Zone |
Zieladresse |
Service |
|---|---|---|---|---|
IT, Standort A |
192.0.2.0 |
Vertrauen/Nicht vertrauenswürdig |
example.com |
FTP |
IT, Standort A |
192.0.2.0 |
Vertrauen/Nicht vertrauenswürdig |
example.com |
HTTP |
Beispiel für Konfigurationsausgaben
Beispiel für die Konfiguration, die den Zugriff auf HTTP ermöglicht
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone IT to-zone trust {
policy Intent_1__1 {
match {
source-address 192.0.2.0;
destination-address example.com;
application junos-ftp;
}
then {
deny;
}
}
policy Intent_4__1 {
match {
source-address 192.0.2.0;
destination-address example.com;
application junos-http;
}
then {
permit;
}
}
}
policy-rematch;
Beispiel 9: Firewall-Richtlinie, die den Finanzabteilungen an Standort A und Standort B den Zugriff auf BitTorrent verweigert
Definieren Sie eine Firewall-Richtlinie, die den Zugriff auf BitTorrent für die Finanzabteilungen an den Standorten A und B verweigert.
Tabelle 18 zeigt die Firewall-Richtlinienabsichten, die zur Erfüllung dieser Anforderung erforderlich sind:
Quelle |
Ziel |
Aktion |
|---|---|---|
Standort A, Finanzabteilung |
Bittorrent |
Verweigern |
Standort B, Finanzabteilung |
Bittorrent |
Verweigern |
Tabelle 19 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Website |
Quelladresse |
Zone |
Zielanwendung |
Service |
Anwendungs-Firewall-Profil |
|---|---|---|---|---|---|
Finanzabteilung, Standort A |
[LS2] |
Vertrauen/Nicht vertrauenswürdig |
Bittorrent |
Jegliche |
AppFwProfile_0 Deny: BitTorrent Regel: Ablehnen |
Finanzabteilung, Standort B |
[LS3] |
Vertrauen/Nicht vertrauenswürdig |
Bittorrent |
Jegliche |
AppFwProfile_0 Deny: BitTorrent Regel: Ablehnen |
Beispiel für Konfigurationsausgaben
Beispiel für die Konfiguration, die Site A den Zugriff auf BitTorrent ermöglicht.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy appQoe-36600-Permit-rule {
match {
source-address any;
destination-address any;
application appQoe-36000;
}
then {
permit;
}
}
policy Intent_1 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
log {
session-init;
session-close;
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_0 {
rule rule-2226740d-03a9-483c-b315-eddc9ae8619a-appFwRule {
match {
dynamic-application junos:BITTORRENT;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
Beispiel für die Konfiguration, mit der Standort B auf BitTorrent zugreifen kann.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance1 to-zone untrust {
policy appQoe-36600-Permit-rule {
match {
source-address any;
destination-address any;
application appQoe-36000;
}
then {
permit;
}
}
policy Intent_4 {
match {
source-address ls-198.51.100.0/24-SP50-L3;
destination-address any;
application any;
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
log {
session-init;
session-close;
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_0 {
rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
match {
dynamic-application junos:BITTORRENT;
ssl-encryption any;
}
then {
deny;
}
}
default-rule {
deny;
}
}
Beispiel 10: Firewall-Richtlinie, die Nutzern in Benutzergruppe A den Zugriff auf Facebook ermöglicht
Definieren Sie eine Firewall-Richtlinie, bei der den Benutzern, die Teil der Benutzergruppe A sind, nur Zugriff auf Facebook und keine anderen Anwendungen gewährt wird. Benutzergruppe A besteht aus Benutzern an Standort A.
Tabelle 20 zeigt die Absicht der Firewall-Richtlinie, die zur Erfüllung dieser Anforderung erforderlich ist:
Quelle |
Ziel |
Aktion |
|---|---|---|
Benutzergruppe A, Standort A |
Genehmigung |
Tabelle 21 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Website |
Benutzer/Benutzergruppe |
Quelladressbereich |
Zieladresse |
Anwendung |
|---|---|---|---|---|
Standort A |
Benutzergruppe A |
192.0.2.0 bis 192.0.2.20 |
Jegliche |
Beispiel für Konfigurationsausgaben
Beispiel einer Konfiguration, die Benutzern in Benutzergruppe A den Zugriff auf Facebook ermöglicht.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy appQoe-36600-Permit-rule {
match {
source-address any;
destination-address any;
application appQoe-36000;
}
then {
permit;
}
}
policy Intent_4__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application any;
source-identity "USERFW.LOCAL\Cert Publishers";
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
log {
session-init;
session-close;
}
}
}
}
from-zone IT to-zone untrust {
policy appQoe-36600-Permit-rule {
match {
source-address any;
destination-address any;
application appQoe-36000;
}
then {
permit;
}
}
policy Intent_4__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application any;
source-identity "USERFW.LOCAL\Cert Publishers";
}
then {
permit {
application-services {
application-firewall {
rule-set AppFwProfile_0;
}
}
}
log {
session-init;
session-close;
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_0 {
rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
match {
dynamic-application junos:FACEBOOK-APP;
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit services user-identification identity-management].
connection {
connect-method https;
port 443;
primary {
address 10.213.50.50;
client-id 1234;
client-secret "$ABC123"; ## SECRET-DATA
}
token-api oauth_token/oauth;
query-api user_query/v2;
}
batch-query {
items-per-batch 200;
query-interval 5;
}
ip-query {
query-delay-time 15;
}
Beispiel 11: Firewall-Richtlinie, die Benutzern B auf Site A den Zugriff auf YouTube mit aktivierter Inhaltssicherheit ermöglicht
Definieren Sie eine Firewall-Richtlinie, bei der dem auf Site A befindlichen Benutzer B nur Zugriff auf YouTube mit aktivierter Inhaltssicherheit gewährt wird. Der Benutzer hat keine Berechtigung für den Zugriff auf andere Anwendungen.
Tabelle 22 zeigt die Absicht der Firewall-Richtlinie, die zur Erfüllung dieser Anforderung benötigt wird:
Quelle |
Ziel |
Aktion |
|---|---|---|
Benutzer B, Standort A |
Youtube |
Genehmigung |
Tabelle 23 zeigt, wie diese Firewall-Richtlinienabsicht gelöst wird:
Website |
Quelladresse |
Benutzer/Benutzergruppe |
Zieladresse |
Inhaltssicherheit |
Anwendung |
|---|---|---|---|---|---|
Standort A |
192.0.2.22 |
Benutzer B |
Jegliche |
Aktiviert |
Beispiel für Konfigurationsausgaben
Beispiel der Konfiguration, mit der Benutzer B auf Site A den Zugriff auf YouTube bei aktivierter Inhaltssicherheit ermöglicht.
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security policies].
from-zone Finance to-zone untrust {
policy Intent_4__0 {
match {
source-address ls-192.168.1.0/24-SP50-L2;
destination-address any;
application any;
source-identity "userfw.local\CSO1";
}
then {
permit {
application-services {
utm-policy testUTM;
application-firewall {
rule-set AppFwProfile_0;
}
}
}
log {
session-init;
session-close;
}
}
}
}
from-zone IT to-zone untrust {
policy Intent_4__1 {
match {
source-address ls-192.0.2.0/24-S42-L1;
destination-address any;
application any;
source-identity "userfw.local\CSO1";
}
then {
permit {
application-services {
utm-policy testUTM;
application-firewall {
rule-set AppFwProfile_0;
}
}
}
log {
session-init;
session-close;
}
}
}
}
policy-rematch;
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security utm].
feature-profile {
web-filtering {
type juniper-local;
}
}
utm-policy testUTM {
web-filtering {
http-profile junos-wf-local-default;
}
anti-spam {
smtp-profile junos-as-defaults;
}
traffic-options {
sessions-per-client {
over-limit log-and-permit;
}
}
}
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit security application-firewall].
rule-sets AppFwProfile_0 {
rule rule-00f3879c-f3d7-4cb3-89b6-78328e3bff38-appFwRule {
match {
dynamic-application junos:FACEBOOK-APP;
ssl-encryption any;
}
then {
permit;
}
}
default-rule {
deny;
}
}
Die Hierarchieebene für das folgende Konfigurationsbeispiel ist [edit services user-identification identity-management].
connection {
connect-method https;
port 443;
primary {
address 10.213.50.50;
client-id 1234;
client-secret "$ABC123"; ## SECRET-DATA
}
token-api oauth_token/oauth;
query-api user_query/v2;
}
batch-query {
items-per-batch 200;
query-interval 5;
}
ip-query {
query-delay-time 15;
}
Beispiel 12: Firewall-Richtlinie, die den Zugriff auf das Internet blockiert und den Zugriff auf Google Drive ermöglicht.
Im folgenden Abschnitt finden Sie eine Beispiel-Firewall-Richtlinie, um den Zugriff auf das Internet zu blockieren und den Zugriff auf Google Drive zu ermöglichen. Die Firewall-Richtlinie hat eine unternehmensbasierte Absicht und eine zonenbasierte Absicht.
In Tabelle 24 ist eine absichtsbasierte Absicht zur Blockierung des Internetzugriffs angegeben.
Regelname |
Quellendpunkt |
Zielendpunkt |
Aktion |
|---|---|---|---|
EnterpriseIntent_1 |
Engg (Abteilung) |
Internet |
Verweigern |
Eine zonenbasierte Absicht, die den Zugriff auf Google Drive ermöglicht, ist in Tabelle 25 angegeben.
Regelname |
Quellendpunkt |
Zielendpunkt |
Aktion |
|---|---|---|---|
ZoneIntent_1 |
Engg (Zone) |
untrust(zone), google-drive |
Ermöglichen |
Die Absichten in Tabelle 24 und Tabelle 25 ergeben die Reihenfolge der Firewall-Regeln, die in Tabelle 26 angegeben ist.
Regelname |
Regelreihenfolge |
Quellendpunkt |
Zielendpunkt |
Aktion |
|---|---|---|---|---|
ZoneIntent_1 |
1 |
Engg (Zone) |
untrust(zone), google-drive |
Ermöglichen |
EnterpriseIntent_1 |
2 |
Engg (Abteilung) |
Internet |
Verweigern |