Globale Sicherheitsrichtlinien
Eine Sicherheitsrichtlinie ist eine Stateful-Firewall-Richtlinie und steuert den Datenverkehrsfluss von einer Zone zu einer anderen Zone, indem sie die Art(en) des Datenverkehrs definiert, der von bestimmten IP-Quellen zu bestimmten IP-Zielen zu festgelegten Zeiten zulässig ist. Um zu vermeiden, dass mehrere Richtlinien für jeden möglichen Kontext erstellt werden, können Sie eine globale Richtlinie erstellen, die alle Zonen umfasst, oder eine Richtlinie mit mehreren Zonen, die mehrere Zonen umfasst. Mithilfe einer globalen Richtlinie können Sie den Datenverkehr mit Adressen und Anwendungen unabhängig von deren Sicherheitszonen regulieren, indem Sie auf benutzerdefinierte Adressen oder die vordefinierte Adresse verweisen und außerdem den Zugriff auf mehrere Quellzonen und mehrere Zielzonen in einer Richtlinie ermöglichen.
Globaler Richtlinienüberblick
In einer Stateful-Firewall von Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Sicherheitsrichtlinien erfordern, dass der Datenverkehr in eine Sicherheitszone eintritt und eine andere Sicherheitszone verlässt. Diese Kombination aus einer Von-Zone und einer Bis-Zone wird als . context Jeder Kontext enthält eine geordnete Liste von Richtlinien. Jede Richtlinie wird in der Reihenfolge verarbeitet, in der sie in einem Kontext definiert ist. Der Datenverkehr wird klassifiziert, indem er die Von-Zone, Bis-Zone, Quelladresse, Zieladresse und die Anwendung, die der Datenverkehr im Protokoll-Header trägt, der Richtlinie entspricht. Jede globale Richtlinie hat, wie jede andere Sicherheitsrichtlinie, die folgenden Aktionen: zulassen, ablehnen, ablehnen, protokollieren, zählen.
Sie können eine Sicherheitsrichtlinie über die Benutzeroberfläche konfigurieren. Sicherheitsrichtlinien steuern den Datenverkehrsfluss von einer Zone in eine andere Zone, indem sie die Art(en) des Datenverkehrs definieren, der von bestimmten IP-Quellen zu bestimmten IP-Zielen zu festgelegten Zeiten zulässig ist. Das funktioniert in den meisten Fällen gut, ist aber nicht flexibel genug. Wenn Sie z. B. Aktionen für den Datenverkehr ausführen möchten, müssen Sie Richtlinien für jeden möglichen Kontext konfigurieren. Um zu vermeiden, dass mehrere Richtlinien für jeden möglichen Kontext erstellt werden, können Sie eine globale Richtlinie erstellen, die alle Zonen umfasst, oder eine Richtlinie mit mehreren Zonen, die mehrere Zonen umfasst.
Mithilfe einer globalen Richtlinie können Sie den Datenverkehr mit Adressen und Anwendungen unabhängig von deren Sicherheitszonen regulieren, indem Sie auf benutzerdefinierte Adressen oder die vordefinierte Adresse "any" verweisen. Diese Adressen können sich über mehrere Sicherheitszonen erstrecken. Wenn Sie z. B. den Zugriff auf oder aus mehreren Zonen gewähren möchten, können Sie eine globale Richtlinie mit der Adresse "beliebig" erstellen, die alle Adressen in allen Zonen umfasst. Die Auswahl der "any"-Adresse stimmt mit jeder IP-Adresse überein, und wenn "any" als Quell-/Zieladresse in einer globalen Richtlinienkonfiguration verwendet wird, stimmt sie mit der Quell-/Zieladresse eines beliebigen Pakets überein.
Mithilfe einer globalen Richtlinie können Sie auch den Zugriff auf mehrere Quellzonen und mehrere Zielzonen in einer Richtlinie gewähren. Aus Sicherheitsgründen und zur Vermeidung von Spoofing von Datenverkehr wird jedoch empfohlen, beim Erstellen einer Richtlinie mit mehreren Zonen identische Übereinstimmungskriterien (Quelladresse, Zieladresse, Anwendung) und eine identische Aktion zu verwenden. Wenn Sie in Abbildung 1 z. B. eine Richtlinie für mehrere Zonen erstellen, die DMZ und Nicht vertrauenswürdig von Zonen enthält, könnte das Spoofing des Datenverkehrs von 203.0.113.0/24 aus der DMZ-Zone erfolgreich mit der Richtlinie übereinstimmen und den geschützten Host in der Zone "Vertrauen an" erreichen.
Globale Richtlinien ohne Von-Zonen- und Bis-Zonen-Informationen unterstützen VPN-Tunnel nicht, da VPN-Tunnel bestimmte Zoneninformationen erfordern.
Bei der Richtliniensuche werden Richtlinien in der folgenden Reihenfolge überprüft: zonenintern (Trust-to-Trust), zonenübergreifend (Trust-to-Trust), dann global. Ähnlich wie bei regulären Richtlinien werden globale Richtlinien in einem Kontext so angeordnet, dass die erste übereinstimmende Richtlinie auf den Datenverkehr angewendet wird.
Wenn Sie über eine globale Richtlinie verfügen, stellen Sie sicher, dass Sie in den Richtlinien innerhalb der Zone oder zwischen den Zonen keine "Catch-All"-Regel definiert haben, z. B. "Quelltext abgleichen", "Ziel abgleichen" oder "Anwendung abgleichen", da die globalen Richtlinien nicht überprüft werden. Wenn Sie nicht über eine globale Richtlinie verfügen, wird empfohlen, dass Sie die Aktion "Alle verweigern" in Ihre Richtlinien innerhalb oder zwischen Zonen aufnehmen. Wenn Sie über eine globale Richtlinie verfügen, sollten Sie die Aktion "Alle ablehnen" in die globale Richtlinie aufnehmen.
In logischen Systemen können Sie fÃ1/4r jedes logische System globale Richtlinien definieren. Globale Richtlinien in einem logischen System befinden sich in einem anderen Kontext als andere Sicherheitsrichtlinien und haben eine niedrigere Priorität als reguläre Sicherheitsrichtlinien in einer Richtliniensuche. Wenn z. B. eine Richtliniensuche durchgeführt wird, haben reguläre Sicherheitsrichtlinien Vorrang vor globalen Richtlinien. Daher werden bei einer Richtliniensuche zuerst reguläre Sicherheitsrichtlinien durchsucht, und wenn es keine Übereinstimmung gibt, wird eine globale Richtliniensuche durchgeführt.
Siehe auch
Beispiel: Konfigurieren einer globalen Richtlinie ohne Zoneneinschränkungen
Im Gegensatz zu anderen Sicherheitsrichtlinien in Junos OS beziehen sich globale Richtlinien nicht auf bestimmte Quell- und Zielzonen. Globale Richtlinien verweisen auf die vordefinierte Adresse "beliebige" oder benutzerdefinierte Adressen, die sich über mehrere Sicherheitszonen erstrecken können. Globale Richtlinien bieten Ihnen die Flexibilität, Aktionen für den Datenverkehr ohne Zoneneinschränkungen durchzuführen. Sie können z. B. eine globale Richtlinie erstellen, sodass jeder Host in jeder Zone auf die Unternehmenswebsite zugreifen kann, z. B. www.example.com. Die Verwendung einer globalen Richtlinie ist eine praktische Abkürzung, wenn viele Sicherheitszonen vorhanden sind. Der Datenverkehr wird klassifiziert, indem er seine Quelladresse, Zieladresse und die Anwendung, die der Datenverkehr in seinem Protokollheader trägt, abgleicht.
In diesem Beispiel wird gezeigt, wie eine globale Richtlinie konfiguriert wird, um Datenverkehr zu verweigern oder zuzulassen.
Anforderungen
Bevor Sie beginnen:
Überprüfen Sie die Sicherheitsrichtlinien der Firewall.
Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien, Globale Richtlinienübersicht, Grundlegendes zu Sicherheitsrichtlinienregeln undGrundlegendes zu Sicherheitsrichtlinienelementen.
Konfigurieren Sie ein Adressbuch, und erstellen Sie Adressen für die Verwendung in der Richtlinie.
Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt.
Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Überblick
In diesem Konfigurationsbeispiel wird gezeigt, wie eine globale Richtlinie konfiguriert wird, die das erreicht, was mehrere Sicherheitsrichtlinien (mithilfe von Zonen) erreicht hätten. Die globale Richtlinie gp1 lässt den gesamten Datenverkehr zu, während die Richtlinie gp2 den gesamten Datenverkehr ablehnt.
Topologie
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine globale Richtlinie, um den gesamten Datenverkehr zuzulassen oder abzulehnen:
Erstellen Sie Adressen.
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
Erstellen Sie die globale Richtlinie, um den gesamten Datenverkehr zuzulassen.
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
Erstellen Sie die globale Richtlinie, um jeglichen Datenverkehr abzulehnen.
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security policies global eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der globalen Richtlinienkonfiguration
Zweck
Stellen Sie sicher, dass die globalen Richtlinien gp1 und gp2 wie erforderlich konfiguriert sind.
Aktion
Geben Sie im Betriebsmodus den show security policies global Befehl ein.
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
Bedeutung
In der Ausgabe werden Informationen zu allen globalen Richtlinien angezeigt, die auf dem Gerät konfiguriert sind.
Beispiel: Konfigurieren einer globalen Richtlinie mit mehreren Zonen
Im Gegensatz zu anderen Sicherheitsrichtlinien in Junos OS können Sie mit globalen Richtlinien Multizonen-Richtlinien erstellen. Eine globale Richtlinie ist eine praktische Abkürzung, wenn viele Sicherheitszonen vorhanden sind, da Sie damit mehrere Quellzonen und mehrere Zielzonen in einer globalen Richtlinie konfigurieren können, anstatt für jedes Von-Zone/Bis-Zonen-Paar eine separate Richtlinie erstellen zu müssen, selbst wenn andere Attribute, z. B. Quell-Adresse oder Ziel-Adresse, identisch sind.
Anforderungen
Bevor Sie beginnen:
Überprüfen Sie die Sicherheitsrichtlinien der Firewall.
Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien, Globale Richtlinienübersicht, Grundlegendes zu Sicherheitsrichtlinienregeln und Grundlegendes zu Sicherheitsrichtlinienelementen.
Erstellen von Sicherheitszonen.
Überblick
Dieses Konfigurationsbeispiel zeigt, wie eine globale Richtlinie konfiguriert wird, die das erreicht, was mehrere Sicherheitsrichtlinien erreicht hätten. Die globale Richtlinie Pa lässt den gesamten Datenverkehr von den Zonen 1 und 2 zu den Zonen 3 und 4 zu.
Topologie
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine globale Richtlinie mit mehreren Zonen:
Erstellen Sie eine globale Richtlinie, um jeglichen Datenverkehr von den Zonen 1 und 2 zu den Zonen 3 und 4 zuzulassen.
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies global Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.