Neuanordnen von Sicherheitsrichtlinien
Die Neuanordnung der Sicherheitsrichtlinien ermöglicht es, die Richtlinien zu verschieben, nachdem sie erstellt wurden. Junos OS bietet ein Tool, mit dem Sie überprüfen können, ob die Reihenfolge der Richtlinien in der Richtlinienliste gültig ist.
Grundlegendes zur Reihenfolge von Sicherheitsrichtlinien
Junos OS bietet ein Tool, mit dem Sie überprüfen können, ob die Reihenfolge der Richtlinien in der Richtlinienliste gültig ist.
Es ist möglich, dass eine Richtlinie eine andere Richtlinie in den Schatten stellt oder überschattet. Betrachten Sie die folgenden Beispiele:
Beispiel 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Beispiel 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
In den Beispielen 1 und 2, in denen die Richtlinie permit-mail
nach der Richtlinie permit-all
von Zone trust
zu Zone untrust
konfiguriert wird. Der gesamte Datenverkehr, der aus der Zone untrust
kommt, entspricht der ersten Richtlinie permit-all
und wird standardmäßig zugelassen. Kein Datenverkehr stimmt mit der Richtlinie permit-mail
überein.
Da Junos OS eine Richtliniensuche vom Anfang der Liste aus durchführt, wird die Richtlinienliste nicht weiter unten angezeigt, wenn eine Übereinstimmung für den empfangenen Datenverkehr gefunden wird. Um das vorherige Beispiel zu korrigieren, können Sie einfach die Reihenfolge der Richtlinien umkehren und die spezifischere zuerst setzen:
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
In Fällen, in denen es Dutzende oder Hunderte von Richtlinien gibt, ist es möglicherweise nicht so einfach zu erkennen, dass eine Richtlinie durch eine andere in den Schatten gestellt wird. Geben Sie einen der folgenden Befehle ein, um zu überprüfen, ob Richtlinien geschattet werden:
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Dieser Befehl meldet die Shadowing- und Shadowed-Richtlinien. Es liegt dann in der Verantwortung des Administrators, die Situation zu korrigieren.
Das Konzept des Policy Shadowing bezieht sich auf die Situation, in der eine Richtlinie, die in der Richtlinienliste weiter oben steht, immer vor einer nachfolgenden Richtlinie wirksam wird. Da bei der Richtliniensuche immer die erste Richtlinie verwendet wird, die mit dem fünfteiligen Tupel der Quell- und Zielzone, der Quell- und Zieladresse und des Anwendungstyps übereinstimmt, verwendet die Richtliniensuche die erste Richtlinie in der Liste und erreicht nie die zweite, wenn eine andere Richtlinie auf dasselbe Tupel (oder eine Teilmenge des Tupels) angewendet wird.
Siehe auch
Beispiel: Neuanordnen von Sicherheitsrichtlinien
Dieses Beispiel zeigt, wie Richtlinien verschoben werden, nachdem sie erstellt wurden.
Anforderungen
Bevor Sie beginnen:
Erstellen Sie Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie das Adressbuch und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Übersicht
Um Richtlinien neu anzuordnen, um Schatten zu korrigieren, können Sie einfach die Reihenfolge der Richtlinien umkehren und die spezifischere Richtlinie an die erste Stelle setzen.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So ordnen Sie vorhandene Richtlinien neu an:
Ordnen Sie zwei vorhandene Richtlinien neu an, indem Sie den folgenden Befehl eingeben:
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security policies
Befehl ein.