Neuanordnung von Sicherheitsrichtlinien
Durch die Neuanordnung der Sicherheitsrichtlinie können die Richtlinien verschoben werden, nachdem sie erstellt wurden. Junos OS stellt CLI-Anweisungen und Befehle bereit, um die Reihenfolge der Richtlinien in der Richtlinienliste zu überprüfen und die Reihenfolge bei Bedarf zu ändern.
Anzeigen und Ändern der Reihenfolge von Sicherheitsrichtlinien
Sicherheitsrichtlinien werden in der Reihenfolge ihres Erscheinens in der Konfigurationsdatei ausgeführt, Sie sollten Folgendes beachten:
- Die Reihenfolge der Richtlinien ist wichtig.
- Neue Richtlinien werden an das Ende der Richtlinienliste gesetzt.
- Bei der letzten Richtlinie handelt es sich um die Standardrichtlinie, die standardmäßig die gesamte Aktion zum Verweigern des gesamten Datenverkehrs vornimmt.
Wenn Sie die Anzahl der Sicherheitsrichtlinien konfiguriert haben, ist es möglich, dass eine Richtlinie eine andere Richtlinie in den Schatten stellt. In diesem Fall:
- Mit dem
show security shadow-policiesBefehl können Sie die Liste der abgeschatteten Richtlinien in der Richtlinienliste anzeigen. - Sie können die Reihenfolge der Richtlinien ändern und die spezifischere Richtlinie vor andere setzen, indem Sie die
insertand-Anweisungbeforeverwenden.
Betrachten Sie die folgenden Beispiele:
Beispiel 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Beispiel 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
In den Beispielen 1 und 2, wobei die Richtlinie permit-mail nach der Richtlinie permit-all von Zone trust zu Zone untrustkonfiguriert wird. Der gesamte Datenverkehr, der aus der Zone untrust kommt, stimmt mit der ersten Richtlinie permit-all überein und wird standardmäßig zugelassen. Die Richtlinie permit-mail"Kein Datenverkehr stimmt überein".
Da Junos OS eine Richtliniensuche beginnend am Anfang der Liste durchführt, wird die Richtlinienliste nicht weiter unten angezeigt, wenn eine Übereinstimmung für den empfangenen Datenverkehr gefunden wird. Um das vorherige Beispiel zu korrigieren, können Sie einfach die Reihenfolge der Richtlinien umkehren und die spezifischere Richtlinie an die erste Stelle setzen:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
In Fällen, in denen es Dutzende oder Hunderte von Richtlinien gibt, ist die Verdrängung einer Richtlinie durch eine andere möglicherweise nicht so einfach zu erkennen. Um zu überprüfen, ob Richtlinien geshadowt werden, geben Sie einen der folgenden Befehle ein:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Mit diesem Befehl werden die Richtlinien für Shadowing und Shadowing gemeldet. Es liegt dann in der Verantwortung des Administrators, die Situation zu korrigieren.
Das Konzept der Richtlinienabschattung bezieht sich auf die Situation, in der eine Richtlinie, die in der Richtlinienliste weiter oben steht, immer vor einer nachfolgenden Richtlinie wirksam wird. Da bei der Richtliniensuche immer die erste gefundene Richtlinie verwendet wird, die mit dem fünfteiligen Tupel der Quell- und Zielzone, der Quell- und Zieladresse und des Anwendungstyps übereinstimmt, verwendet die Richtliniensuche die erste Richtlinie in der Liste und erreicht nie die zweite, wenn eine andere Richtlinie für dasselbe Tupel (oder eine Teilmenge des Tupels) gilt.