Übersicht über Firewall-Richtlinien

Security Director bietet Ihnen zwei Arten von Firewall-Richtlinien:

• Geräterichtlinie: Typ der Firewall-Richtlinie, die pro Gerät erstellt wird. Diese Art von Richtlinie wird verwendet, wenn Sie eine eindeutige Firewall-Richtlinienkonfiguration pro Gerät übertragen möchten. Sie können Geräteregeln für eine Gerätefirewallrichtlinie erstellen.

  Security Director betrachtet ein logisches System oder ein Mandantensystem wie jedes andere Sicherheitsgerät und übernimmt die Sicherheitskonfiguration des logischen Systems oder Mandantensystems. In Security Director wird jedes logische System oder Mandantensystem als eindeutiges Sicherheitsgerät verwaltet.

  Bei einer Gerätezuweisung für eine Geräterichtlinie werden nur Geräte aus der aktuellen Domäne aufgelistet.

  Hinweis:

  Wenn Security Director das logische Root-System erkennt, erkennt das Root-lsys alle anderen Benutzer-lsys innerhalb des Geräts.

  Security Director ermöglicht es einem Gerät, über eine gerätespezifische Richtlinie zu verfügen und Teil mehrerer Gruppenrichtlinien zu sein. Regeln für ein Gerät werden in der folgenden Reihenfolge aktualisiert:

  • Regeln innerhalb von Richtlinien, die vor "gerätespezifischen Richtlinien" angewendet werden

  • Regeln innerhalb gerätespezifischer Richtlinien

  • Regeln innerhalb von Richtlinien, die nach "Gerätespezifische Richtlinien" angewendet werden

  Regeln innerhalb von Richtlinien, die vor "gerätespezifischen Richtlinien" angewendet werden, haben Vorrang und können nicht außer Kraft gesetzt werden. Sie können jedoch Regeln innerhalb von Richtlinien, die nach "Gerätespezifische Richtlinien" angewendet werden, außer Kraft setzen, indem Sie eine überschreibende Regel in den gerätespezifischen Richtlinien hinzufügen. In einem Unternehmensszenario können einem Gerät "Common-Must-Enforce"-Regeln aus den "Policies Applied Before Device Specific Policies" zugewiesen werden, und "Common-Nice-to-have"-Regeln können einem Gerät aus den "Policies Applied After Device Specific Policies" zugewiesen werden.

  Hinweis:

  Eine Ausnahme kann für jedes Gerät unter "Gerätespezifische Richtlinien" hinzugefügt werden. Eine vollständige Liste der auf ein Gerät angewendeten Regeln finden Sie unter Konfigurieren > Firewall-Richtlinie > Geräte. Wählen Sie ein Gerät aus, um die mit diesem Gerät verknüpften Regeln anzuzeigen.

  Die Richtlinie für alle Geräte ermöglicht die globale Durchsetzung von Regeln für alle Geräte, die von Security Director verwaltet werden. Die Richtlinie "Alle Geräte" ist Teil der globalen Domäne und in allen untergeordneten Domänen sichtbar, wenn die übergeordnete Ansicht aktiviert ist.

• Gruppe: Typ der Firewall-Richtlinie, die für mehrere Geräte freigegeben ist. Diese Art von Richtlinie wird verwendet, wenn Sie eine bestimmte Firewall-Richtlinienkonfiguration für eine große Anzahl von Geräten aktualisieren möchten. Sie können auswählen, ob die Richtlinienplatzierung vor gerätespezifisch oder nach gerätespezifisch erfolgen soll. Wenn eine Gruppenfirewallrichtlinie auf den Geräten aktualisiert wird, werden die Regeln in der folgenden Reihenfolge aktualisiert:

  • Regeln innerhalb von Richtlinien, die vor "gerätespezifischen Richtlinien" angewendet werden

  • Regeln innerhalb gerätespezifischer Richtlinien

  • Regeln innerhalb von Richtlinien, die nach "Gerätespezifische Richtlinien" angewendet werden

  Bei einer Gerätezuweisung für eine Gruppenrichtlinie werden nur Geräte aus der aktuellen und der untergeordneten Domäne (mit aktivierter übergeordneter Ansicht) aufgelistet. Geräte in der untergeordneten Domäne mit deaktivierter übergeordneter Ansicht werden nicht aufgeführt. Nicht alle Gruppenrichtlinien der Domäne "Global" sind in der untergeordneten Domäne sichtbar. Gruppenrichtlinien der globalen Domäne (einschließlich der Richtlinie "Alle Geräte") sind für die untergeordnete Domäne nicht sichtbar, wenn die übergeordnete Ansicht dieser untergeordneten Domäne deaktiviert ist. Nur die Gruppenrichtlinien der globalen Domäne, der Geräte aus der untergeordneten Domäne zugewiesen sind, sind in der untergeordneten Domäne sichtbar. Wenn in der globalen Domäne eine Gruppenrichtlinie vorhanden ist, der sowohl Geräte aus D1 als auch aus den globalen Domänen zugewiesen sind, ist nur diese Gruppenrichtlinie der globalen Domäne in der D1-Domäne zusammen mit den Geräten der D1-Domäne sichtbar. In der Domäne D1 sind keine anderen Geräte, d. h. die Geräteausnahmerichtlinie, der Domäne "Global" sichtbar.

  Es ist nicht möglich, eine Gruppenrichtlinie der globalen Domäne von der untergeordneten Domäne aus zu bearbeiten. Dies gilt auch für die Richtlinie "Alle Geräte". Das Ändern der Richtlinie, das Löschen der Richtlinie, das Verwalten eines Snapshots, der Snapshot-Richtlinie und das Abrufen der Richtliniensperre ist ebenfalls nicht zulässig. Ebenso können Sie diese Aktionen nicht für die Geräteausnahmerichtlinie der Domäne D1 aus der Domäne "Global" ausführen. Sie können Gruppenrichtlinien aus der aktuellen Domäne priorisieren. Gruppenrichtlinien aus den anderen Domänen werden nicht aufgeführt.

Hinweis:

Gruppenrichtlinien, die vor (vor) oder nach (nach) gerätespezifischen Richtlinien über Security Director angewendet werden:

• Funktioniert separat für globale und zonenbasierte Richtlinien.

• Ändern Sie nicht die Rangfolge der Junos-SRX-Richtlinien, wie in der Übersicht über die Richtlinienreihenfolge angegeben.

Die Grundeinstellungen einer Firewall-Richtlinie werden aus dem Richtlinienprofil abgerufen. Zu den Grundeinstellungen gehören Protokolloptionen, Firewall-Authentifizierungsschemata und Optionen für die Datenverkehrsumleitung.

Firewall-Richtlinien werden in einer tabellarischen Ansicht angezeigt. Sie können eine Richtlinie auswählen und Regeln entweder inline oder über das Symbol + anwenden. Weitere Informationen finden Sie unter Erstellen von Firewallrichtlinienregeln.

Ab Junos Space Security Director, Version 19.3R1, können Sie der standardmäßigen Firewall-Richtlinienregel eine IPS-Richtlinie zuweisen. Die CLI wird für die IPS-Richtlinie zusammen mit der Standard-Firewall-Richtlinie (der die IPS-Richtlinie zugewiesen ist) für Geräte mit Junos OS Version 18.2 und höher generiert. Da der IPS-Richtlinienname direkt in der Firewall-Richtlinienregel verwendet wird, ist die Anweisung [edit security idp active-policy policy-name] ab Junos OS Version 18.2 veraltet. Sie können die veraltete aktive Richtlinien-CLI aus Security Director importieren und in eine neue CLI konvertieren. Sie können die IPS-Richtlinie für die veraltete aktive Richtlinie für Junos OS Version 18.2 und höher importieren. Nachdem die IPS-Richtlinie importiert wurde, werden die Regeln, die der Firewallrichtlinie für das Gerät zugeordnet sind, mit den IPS-Richtliniendetails aktualisiert. Bei einer nachfolgenden Aktualisierung von Security Director werden die neuen Firewallrichtlinien-CLIs in der Vorschau zum Anfügen von IDP angezeigt, die auf dem Gerät aktualisiert werden können.

Hinweis:

• Auf einem Gerät mit Junos OS Version 18.2 müssen Sie allen Regeln in der Firewall-Richtlinie dieselbe IPS-Richtlinie zuweisen, andernfalls schlägt der Commit fehl.

• Auf einem Gerät mit Junos OS Version 18.3 und höher können Sie den Regeln in der Firewall-Richtlinie eine andere IPS-Richtlinie zuweisen. Sie müssen eine Standard-IDP-Richtlinie festlegen, andernfalls schlägt der Commit fehl.