Planen von Sicherheitsrichtlinien
Scheduler ist eine Sicherheitsfunktion, mit der eine Richtlinie für eine bestimmte Dauer aktiviert werden kann. Sie können Scheduler für ein einzelnes (nicht wiederkehrendes) oder wiederkehrendes Zeitfenster definieren, in dem eine Richtlinie aktiv ist. Sie können Scheduler unabhängig von einer Richtlinie erstellen, d. h., ein Scheduler kann von keiner Richtlinie verwendet werden.
Übersicht über Sicherheitsrichtlinienplaner
Scheduler sind leistungsstarke Funktionen, mit denen eine Richtlinie für einen bestimmten Zeitraum aktiviert werden kann. Sie können Scheduler für ein einzelnes (nicht wiederkehrendes) oder wiederkehrendes Zeitfenster definieren, in dem eine Richtlinie aktiv ist. Sie können Scheduler unabhängig von einer Richtlinie erstellen, d. h., ein Scheduler kann von keiner Richtlinie verwendet werden. Wenn Sie jedoch möchten, dass eine Richtlinie innerhalb eines geplanten Zeitraums aktiv ist, müssen Sie zuerst einen Scheduler erstellen.
Wenn bei einem Scheduler eine Zeitüberschreitung auftritt, wird die zugeordnete Richtlinie deaktiviert. Für alle Sitzungen, die der Richtlinie zugeordnet sind, wird anschließend nur dann ein Timeout ausgegeben, wenn policy-rematch verwendet wird
Wenn eine Richtlinie einen Verweis auf einen Scheduler enthält, bestimmt der Zeitplan, wann die Richtlinie aktiv ist, d. h., wann sie als mögliche Übereinstimmung für Datenverkehr verwendet werden kann. Mit Schedulern können Sie den Zugriff auf eine Ressource für einen bestimmten Zeitraum einschränken oder eine Einschränkung aufheben.
Die folgenden Richtlinien gelten für Planer:
Einem Scheduler können mehrere Richtlinien zugeordnet sein. Eine Richtlinie kann jedoch nicht mehreren Schedulern zugeordnet werden.
Eine Richtlinie ist während des Zeitraums aktiv, in dem der Scheduler, auf den sie verweist, ebenfalls aktiv ist.
Wenn ein Scheduler deaktiviert ist, ist die Richtlinie für die Richtliniensuche nicht verfügbar.
Ein Scheduler kann wie folgt konfiguriert werden:
Der Scheduler kann für ein einzelnes Zeitfenster aktiv sein, das durch ein Startdatum und eine Startzeit sowie ein Stoppdatum und eine Stoppzeit angegeben wird.
Der Scheduler kann für immer aktiv sein (wiederkehrend), aber wie im Tagesplan angegeben. Der Zeitplan an einem bestimmten Tag (Zeitfenster) hat Vorrang vor dem Tagesplan.
Der Scheduler kann innerhalb eines Zeitfensters aktiv sein, das im Wochentagsplan angegeben ist.
Der Scheduler kann eine Kombination aus zwei Zeitfenstern (täglich und Zeitfenster) haben.
Beispiel: Konfigurieren von Schedulern für einen Tagesplan mit Ausnahme eines Tages
In diesem Beispiel wird gezeigt, wie Planer für Paketübereinstimmungsprüfungen jeden Tag von 8:00 bis 17:00 Uhr konfiguriert werden, außer sonntags.
Anforderungen
Bevor Sie beginnen:
Informieren Sie sich über Planer für Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.
Konfigurieren Sie Sicherheitszonen, bevor Sie diese Konfiguration anwenden.
Übersicht
Scheduler sind leistungsstarke Funktionen, mit denen eine Richtlinie für einen bestimmten Zeitraum aktiviert werden kann. Sie können Scheduler für ein einzelnes (nicht wiederkehrendes) oder wiederkehrendes Zeitfenster definieren, in dem eine Richtlinie aktiv ist. Wenn Sie möchten, dass eine Richtlinie innerhalb eines geplanten Zeitraums aktiv ist, müssen Sie zuerst einen Scheduler erstellen.
Um einen Scheduler zu konfigurieren, geben Sie einen aussagekräftigen Namen sowie eine Start- und Stoppzeit für den Scheduler ein. Sie können auch Kommentare anhängen.
In diesem Beispiel gehen Sie wie folgt vor:
Geben Sie den Scheduler sch1 an, der es zulässt, dass eine Richtlinie, die auf ihn verweist, jeden Tag von 8:00 bis 17:00 Uhr außer sonntags für Paketübereinstimmungsprüfungen verwendet werden kann.
Hinweis:Verwenden Sie das 24-Stunden-Format (hh:mm), um die Stunden und Minuten für die Tageszeit anzugeben.
Erstellen Sie eine Richtlinie, abc, und geben Sie die Übereinstimmungsbedingungen und die Aktion an, die für Datenverkehr ausgeführt werden sollen, der den angegebenen Bedingungen entspricht. und binden Sie die Planer an die Richtlinie, um den Zugriff während der angegebenen Tage zu ermöglichen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set schedulers scheduler sch1 daily start-time 08:00 stop-time 17:00 set schedulers scheduler sch1 sunday exclude set security policies from-zone green to-zone red policy abc match source-address any set security policies from-zone green to-zone red policy abc match destination-address any set security policies from-zone green to-zone red policy abc match application any set security policies from-zone green to-zone red policy abc then permit set security policies from-zone green to-zone red policy abc scheduler-name sch1 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen Scheduler:
Legen Sie einen Zeitplaner fest.
[edit schedulers ] user@host# set scheduler sch1 daily start-time 08:00 stop-time 17:00 user@host# set scheduler sch1 sunday exclude
Geben Sie die Übereinstimmungsbedingungen für die Richtlinie an.
[edit security policies from-zone green to-zone red policy abc] user@host# set match source-address any destination-address any application any
Geben Sie die Aktion an.
[edit security policies from-zone green to-zone red policy abc] user@host# set then permit
Ordnen Sie den Scheduler der Richtlinie zu.
[edit security policies from-zone green to-zone red policy abc ] user@host# set scheduler-name sch1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show schedulers Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
[user@host]show schedulers
scheduler sch1 {
daily {
start-time 08:00 stop-time 17:00;
sunday exclude;
}
[edit]
[user@host]show security policies
from-zone green to-zone red {
policy abc {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
scheduler-name sch1;
}
}
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob Scheduler aktiv sind
Zweck
Überprüfen Sie, ob Scheduler aktiviert sind oder nicht.
Aktion
Geben Sie im Betriebsmodus den show schedulers Befehl ein.
Überprüfen geplanter Richtlinien
Zweck
Zeigen Sie Informationen zu geplanten Sicherheitsrichtlinien an.
Aktion
Verwenden Sie den show schedulers CLI-Befehl, um Informationen zu den auf dem System konfigurierten Planern anzuzeigen. Wenn ein bestimmter Scheduler identifiziert wird, werden nur für diesen Scheduler detaillierte Informationen angezeigt.
user@host# show schedulers
scheduler sche1 {
/* This is sched1 */
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
}
scheduler sche2 {
daily {
all-day;
}
sunday {
start-time 16:00 stop-time 17:00;
}
friday {
exclude;
}
}
scheduler sche3 {
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
daily {
start-time 10:00 stop-time 17:00
}
sunday {
start-time 12:00 stop-time 14:00;
start-time 16:00 stop-time 17:00;
}
monday {
all-day;
}
friday {
exclude;
}
}
Bedeutung
In der Ausgabe werden Informationen zu den auf dem System konfigurierten Schedulern angezeigt. Überprüfen Sie die folgenden Informationen:
Tägliche (wiederkehrende) und einmalige (nicht wiederkehrende) Planer sind korrekt konfiguriert.
Scheduler sind aktiv, wenn Richtlinien zugeordnet sind.