Globale Sicherheitsrichtlinien
Eine Sicherheitsrichtlinie ist eine zustandsbehaftete Firewall-Richtlinie und steuert den Datenverkehrsfluss von einer Zone in eine andere Zone, indem sie die Art des Datenverkehrs definiert, der von bestimmten IP-Quellen zu bestimmten IP-Zielen zu geplanten Zeiten zulässig ist. Um zu vermeiden, dass mehrere Richtlinien in jedem möglichen Kontext erstellt werden, können Sie eine globale Richtlinie erstellen, die alle Zonen umfasst, oder eine Richtlinie mit mehreren Zonen, die mehrere Zonen umfasst. Mithilfe einer globalen Richtlinie können Sie den Datenverkehr mit Adressen und Anwendungen, unabhängig von ihren Sicherheitszonen, regulieren, indem Sie auf benutzerdefinierte Adressen oder die vordefinierte Adresse verweisen, und auch den Zugriff auf mehrere Quellzonen und mehrere Zielzonen in einer Richtlinie ermöglichen.
Überblick über globale Richtlinien
In einer zustandsbehafteten Firewall mit Junos OS erzwingen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr, d. h. welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Sicherheitsrichtlinien erfordern, dass Datenverkehr in eine Sicherheitszone gelangt und eine andere Sicherheitszone verlässt. Diese Kombination aus einer Von-Zone und einer Bis-Zone wird als context. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Jede Richtlinie wird in der Reihenfolge verarbeitet, in der sie innerhalb eines Kontexts definiert ist. Der Datenverkehr wird klassifiziert, indem die Von-Zone, die Bis-Zone, die Quelladresse, die Zieladresse und die Anwendung, die der Datenverkehr in seinem Protokollheader trägt, der Richtlinie zugeordnet wird. Jede globale Richtlinie hat, wie jede andere Sicherheitsrichtlinie, die folgenden Aktionen: Zulassen, Verweigern, Ablehnen, Protokollieren, Zählen.
Sie können eine Sicherheitsrichtlinie über die Benutzeroberfläche konfigurieren. Sicherheitsrichtlinien steuern den Datenverkehrsfluss von einer Zone in eine andere Zone, indem sie die Art des Datenverkehrs definieren, der von bestimmten IP-Quellen zu bestimmten IP-Zielen zu geplanten Zeiten zulässig ist. Das funktioniert in den meisten Fällen gut, ist aber nicht flexibel genug. Wenn Sie z. B. Aktionen für Datenverkehr ausführen möchten, müssen Sie Richtlinien für jeden möglichen Kontext konfigurieren. Um zu vermeiden, dass mehrere Richtlinien in jedem möglichen Kontext erstellt werden, können Sie eine globale Richtlinie erstellen, die alle Zonen umfasst, oder eine Richtlinie mit mehreren Zonen, die mehrere Zonen umfasst.
Mithilfe einer globalen Richtlinie können Sie den Datenverkehr mit Adressen und Anwendungen unabhängig von ihren Sicherheitszonen regulieren, indem Sie auf benutzerdefinierte Adressen oder die vordefinierte Adresse "any" verweisen. Diese Adressen können sich über mehrere Sicherheitszonen erstrecken. Wenn Sie z. B. den Zugriff auf oder von mehreren Zonen aus gewähren möchten, können Sie eine globale Richtlinie mit der Adresse "any" erstellen, die alle Adressen in allen Zonen umfasst. Die Auswahl der "any"-Adresse stimmt mit einer beliebigen IP-Adresse überein, und wenn "any" als Quell-/Zieladresse in einer globalen Richtlinienkonfiguration verwendet wird, stimmt sie mit der Quell-/Zieladresse eines beliebigen Pakets überein.
Mit einer globalen Richtlinie können Sie auch Zugriff auf mehrere Quellzonen und mehrere Zielzonen in einer Richtlinie gewähren. Es wird jedoch empfohlen, aus Sicherheitsgründen und zur Vermeidung von Spoofing des Datenverkehrs beim Erstellen einer Multizonenrichtlinie identische Übereinstimmungskriterien (Quelladresse, Zieladresse, Anwendung) und eine identische Aktion zu verwenden. Wenn Sie z. B. in Abbildung 1 eine Multizonen-Richtlinie erstellen, die DMZ- und nicht vertrauenswürdige Von-Zonen enthält, könnte das Spoofing des Datenverkehrs von 203.0.113.0/24 aus der DMZ-Zone erfolgreich mit der Richtlinie übereinstimmen und den geschützten Host in der Trust to-Zone erreichen.
Globale Richtlinien ohne Von- und Bis-Zonen-Informationen unterstützen keine VPN-Tunnel, da für VPN-Tunnel bestimmte Zoneninformationen erforderlich sind.
Wenn eine Richtliniensuche durchgeführt wird, werden Richtlinien in der folgenden Reihenfolge überprüft: zonenintern (Trust-to-Trust), zonenübergreifend (Trust-to-Untrust) und dann global. Ähnlich wie bei regulären Richtlinien werden globale Richtlinien in einem Kontext so angeordnet, dass die erste übereinstimmende Richtlinie auf den Datenverkehr angewendet wird.
Wenn Sie über eine globale Richtlinie verfügen, stellen Sie sicher, dass Sie in den zoneninternen oder zonenübergreifenden Richtlinien keine "Catch-all"-Regel definiert haben, z. B. "Quelle beliebig abgleichen", Ziel beliebig abgleichen oder Anwendung abgleichen, da die globalen Richtlinien nicht überprüft werden. Wenn Sie nicht über eine globale Richtlinie verfügen, wird empfohlen, dass Sie die Aktion "Alle ablehnen" in Ihre zoneninternen oder zonenübergreifenden Richtlinien aufnehmen. Wenn Sie über eine globale Richtlinie verfügen, sollten Sie die Aktion "Alle ablehnen" in die globale Richtlinie aufnehmen.
In logischen Systemen können Sie globale Richtlinien für jedes logische System definieren. Globale Richtlinien in einem logischen System stehen in einem anderen Kontext als andere Sicherheitsrichtlinien und haben bei einer Richtliniensuche eine niedrigere Priorität als reguläre Sicherheitsrichtlinien. Wenn z. B. eine Richtliniensuche durchgeführt wird, haben reguläre Sicherheitsrichtlinien Vorrang vor globalen Richtlinien. Daher werden bei einer Richtliniensuche zuerst reguläre Sicherheitsrichtlinien durchsucht, und wenn es keine Übereinstimmung gibt, wird eine globale Richtliniensuche durchgeführt.
Siehe auch
Beispiel: Konfigurieren einer globalen Richtlinie ohne Zoneneinschränkungen
Im Gegensatz zu anderen Sicherheitsrichtlinien in Junos OS verweisen globale Richtlinien nicht auf bestimmte Quell- und Zielzonen. Globale Richtlinien verweisen auf die vordefinierte Adresse "beliebige" oder benutzerdefinierte Adressen, die sich über mehrere Sicherheitszonen erstrecken können. Globale Richtlinien bieten Ihnen die Flexibilität, Aktionen für Datenverkehr ohne Zonenbeschränkungen durchzuführen. Sie können z. B. eine globale Richtlinie erstellen, sodass jeder Host in jeder Zone auf die Unternehmenswebsite zugreifen kann, z. B. www.example.com. Die Verwendung einer globalen Richtlinie ist eine praktische Abkürzung, wenn viele Sicherheitszonen vorhanden sind. Datenverkehr wird klassifiziert, indem die Quelladresse, die Zieladresse und die Anwendung, die der Datenverkehr im Protokollheader enthält, abgeglichen werden.
In diesem Beispiel wird gezeigt, wie eine globale Richtlinie so konfiguriert wird, dass Datenverkehr verweigert oder zugelassen wird.
Anforderungen
Bevor Sie beginnen:
Überprüfen Sie die Sicherheitsrichtlinien der Firewall.
Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien, Übersicht über globale Richtlinien, Grundlegendes zu Sicherheitsrichtlinienregeln undGrundlegendes zu Sicherheitsrichtlinienelementen.
Konfigurieren Sie ein Adressbuch und erstellen Sie Adressen für die Verwendung in der Richtlinie.
Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt.
Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen.
Übersicht
Dieses Konfigurationsbeispiel zeigt, wie eine globale Richtlinie konfiguriert wird, die das erreicht, was mehrere Sicherheitsrichtlinien (mithilfe von Zonen) erreicht hätten. Die globale Richtlinie gp1 lässt den gesamten Datenverkehr zu, während die Richtlinie gp2 jeglichen Datenverkehr ablehnt.
Topologie
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie eine globale Richtlinie, um jeglichen Datenverkehr zuzulassen oder zu verweigern:
Erstellen Sie Adressen.
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
Erstellen Sie die globale Richtlinie, um den gesamten Datenverkehr zuzulassen.
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
Erstellen Sie die globale Richtlinie, um jeglichen Datenverkehr abzulehnen.
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security policies global eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der globalen Richtlinienkonfiguration
Zweck
Stellen Sie sicher, dass die globalen Richtlinien gp1 und gp2 wie erforderlich konfiguriert sind.
Aktion
Geben Sie im Betriebsmodus den show security policies global Befehl ein.
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
Bedeutung
In der Ausgabe werden Informationen zu allen auf dem Gerät konfigurierten globalen Richtlinien angezeigt.
Beispiel: Konfigurieren einer globalen Richtlinie mit mehreren Zonen
Im Gegensatz zu anderen Sicherheitsrichtlinien in Junos OS können Sie mit globalen Richtlinien Multizonen-Richtlinien erstellen. Eine globale Richtlinie ist eine praktische Abkürzung, wenn viele Sicherheitszonen vorhanden sind, da sie es Ihnen ermöglicht, mehrere Quellzonen und mehrere Zielzonen in einer globalen Richtlinie zu konfigurieren, anstatt für jedes Von-/Bis-Zonen-Paar eine separate Richtlinie erstellen zu müssen, selbst wenn andere Attribute wie Quelladresse oder Zieladresse identisch sind.
Anforderungen
Bevor Sie beginnen:
Überprüfen Sie die Sicherheitsrichtlinien der Firewall.
Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien, Übersicht über globale Richtlinien, Grundlegendes zu Sicherheitsrichtlinienregeln und Grundlegendes zu Sicherheitsrichtlinienelementen.
Erstellen Sie Sicherheitszonen.
Übersicht
Dieses Konfigurationsbeispiel zeigt, wie eine globale Richtlinie konfiguriert wird, die das erreicht, was mehrere Sicherheitsrichtlinien erreicht hätten. Die globale Richtlinie Pa lässt den gesamten Datenverkehr aus den Zonen 1 und 2 in die Zonen 3 und 4 zu.
Topologie
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine globale Richtlinie mit mehreren Zonen:
Erstellen Sie eine globale Richtlinie, um jeglichen Datenverkehr von den Zonen 1 und 2 zu den Zonen 3 und 4 zuzulassen.
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies global Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .