Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Richtlinienregeln Felder auf der Hauptseite

Auf dieser Seite erhalten Sie einen allgemeinen Überblick über die Einstellungen Ihrer Firewallrichtlinienregeln. Details helfen Ihnen, die Anzahl und Reihenfolge der Regeln pro Richtlinie zu verfolgen. Sie können diese Informationen filtern und sortieren, um besser zu verstehen, was Sie anzeigen möchten. In Tabelle 1 werden die Felder auf dieser Seite beschrieben.

Tabelle 1: Felder für Firewall-Richtlinienregeln auf der Hauptseite

Feld

Beschreibung

Seq.

Bestellnummer für die Police. Die Richtliniensuche wird in der Reihenfolge durchgeführt, in der die Richtlinien konfiguriert sind. Die erste Richtlinie, die mit dem Datenverkehr übereinstimmt, wird verwendet.

Anzahl der Treffer

Zeigt an, wie oft eine bestimmte Richtlinie basierend auf dem Datenverkehrsfluss verwendet wird. Die Trefferzahl ist die Anzahl der Treffer seit dem letzten Zurücksetzen. Klicken Sie auf den Wert für die Trefferanzahl, um die Details auf der Seite Details zur Trefferanzahl anzuzeigen.

Beispiel: Die Trefferanzahl ist besonders nützlich, wenn Sie einen großen Richtliniensatz verwenden und überprüfen möchten, welche Regeln häufig und welche selten verwendet werden. Wenn Sie feststellen, dass einige der Regeln nicht verwendet werden, können Sie überprüfen, ob die Regeln nicht von einer anderen Richtlinie überschattet werden. Auf diese Weise können Sie das Gerät verwalten, ohne den Datenverkehr manuell generieren zu müssen.

Name der Regel

Eindeutiger Name für die Regel.

Src. Zone

Quellzone (Bis-Zone), die den Kontext für die Richtlinie definiert. Zonenrichtlinien werden auf Datenverkehr angewendet, der in eine Sicherheitszone (Quellzone) in eine andere Sicherheitszone (Zielzone) eintritt. Diese Kombination aus einer Quellzone und einer Zielzone wird als Kontext bezeichnet.

Beispielsweise befinden sich alle Richtlinien innerhalb der Quellzonen-Vertrauenswürdigkeit und der Zielzonen-Nichtvertrauenswürdigkeit im selben Kontext.

Src. Adresse

Adressnamen oder Adresssatznamen, die als Übereinstimmungskriterien für eingehenden Datenverkehr verwendet werden sollen.

Es wird empfohlen, Adressgruppen zu erstellen, anstatt mehrere Adresseinträge zu verwenden. Wenn Ihre Organisation beispielsweise gemeinsame Anforderungen für ähnliche Zugriffsarten in verschiedenen Regeln hat, kann die Nutzung von Gruppen von Vorteil sein.

Sie können eine beliebige Anzahl von Objekten mit einem Satz haben (z. B. Host, Netzwerk, DNS, Platzhalter usw.)

Src. ID

Benutzer und Rollen, die als Übereinstimmungskriterien für die Richtlinie verwendet werden sollen.

Sie können je nach Benutzerrolle und Benutzergruppe unterschiedliche Richtlinienregeln haben.

Wenn Sie die Quellidentität in einer Richtlinie innerhalb des Zonenpaars angeben, werden Benutzer- und Rolleninformationen abgerufen, bevor die Richtliniensuche fortgesetzt werden kann. (Wenn alle Richtlinien im Zonenpaar auf "any" festgelegt sind oder keinen Eintrag im Feld "Quellidentität" haben, sind keine Benutzer- und Rolleninformationen erforderlich, und es werden nur die anderen fünf Standardübereinstimmungskriterien für die Richtliniensuche verwendet.)

Zielzone

Zielzone (Von-Zone), die den Kontext für die Richtlinie definiert.

Zonenrichtlinien werden auf Datenverkehr angewendet, der in eine Sicherheitszone (Quellzone) in eine andere Sicherheitszone (Zielzone) eintritt. Diese Kombination aus einer Quellzone und einer Zielzone wird als Kontext bezeichnet.

Beispielsweise befinden sich alle Richtlinien innerhalb der Quellzonen-Vertrauenswürdigkeit und der Zielzonen-Nichtvertrauenswürdigkeit im selben Kontext.

Zieladresse

Adressnamen oder Adresssatznamen, die als Übereinstimmungskriterien für ausgehenden Datenverkehr verwendet werden sollen.

Es wird empfohlen, Adressgruppen zu erstellen, anstatt mehrere Adresseinträge zu verwenden.

Wenn Ihre Organisation z. B. gemeinsame Anforderungen für ähnliche Zugriffsarten über verschiedene Regeln hinweg hat, kann die Nutzung von Gruppen von Vorteil sein.

Sie können eine beliebige Anzahl von Objekten mit einem Satz haben (z. B. Host, Netzwerk, DNS, Platzhalter usw.).

Service

Der Name des Dienstes (der Anwendung) in den Übereinstimmungskriterien verfügt über einen oder mehrere Dienst- oder Dienstsätze.

Es wird empfohlen, ein Serviceset zu erstellen und in einer Richtlinie auf den Namen des Sets zu verweisen, anstatt mehrere einzelne Servicenamen zu verwenden.

Beispielsweise können Sie für eine Gruppe von Mitarbeitern ein Serviceset erstellen, das alle genehmigten Services enthält. Mit Dienstobjekten können Sie Objekte angeben, die in den Übereinstimmungskriterien von Sicherheitsrichtlinien verwendet werden sollen. Sie können zahlreiche Attribute festlegen, um zu definieren, was die Übereinstimmungskriterien dieses Objekts sein sollen.

Aktion

Die Aktion gilt für den gesamten Datenverkehr, der die angegebenen Kriterien erfüllt.

  • Verweigern - Das Gerät verwirft automatisch alle Pakete für die Sitzung und sendet keine aktiven Kontrollmeldungen wie TCP-Zurücksetzen oder ICMP nicht erreichbar.

  • Ablehnen: Das Gerät sendet einen TCP-Reset, wenn das Protokoll TCP ist, und einen ICMP-Reset, wenn es sich bei den Protokollen um UDP, ICMP oder ein anderes IP-Protokoll handelt. Diese Option ist nützlich, wenn Sie mit vertrauenswürdigen Ressourcen konfrontiert sind, damit die Anwendungen keine Zeit mit dem Warten auf Zeitüberschreitungen verschwenden und stattdessen die aktive Meldung erhalten.

  • Zulassen: Das Gerät lässt Datenverkehr mit dem Typ der Firewall-Authentifizierung zu, den Sie auf die Richtlinie angewendet haben.

  • Tunnel – Das Gerät lässt Datenverkehr über die Art von VPN-Tunneling-Optionen zu, die Sie auf die Richtlinie angewendet haben.

Ab Junos Space Security Director, Version 16.1, können die Adress- und Serviceobjekte erstellt, verwaltet und per Drag & Drop auf die erforderlichen Regeln von der Seite mit den Firewall-Richtlinienregeln gezogen werden. Neben Adressen und Diensten können Sie auch Zonen per Drag & Drop verschieben. Wählen Sie in der Liste " Freigegebene Objekte" die Option "Adressen anzeigen" oder "Dienste anzeigen " aus, um die erforderlichen gemeinsam genutzten Objekte anzuzeigen. Um eine neue Adresse oder ein neues Serviceobjekt zu erstellen, klicken Sie auf das Pluszeichen (+). Sie können diese Objekte auch ändern, löschen und verwalten. Sie können nach jedem Objekt anhand seines Namens und seiner IP-Adresse im Suchfeld in der oberen rechten Ecke suchen.

Sie können mehrere Objekte per Drag & Drop auf die entsprechenden Spalten einer beliebigen Richtlinienregel ziehen. Security Director stellt sicher, dass Objekte in den unterstützten Spalten abgelegt werden, und lässt nicht zu, dass Objekte unter anderen Spalten abgelegt werden. Das Drag & Drop von Objekten wird in den Spalten "Quelladresse", "Zieladresse", "Quellzone", "Zielzone" und "Service" unterstützt. Eine einzelne Adresse oder mehrere Adressen können per Drag & Drop vom Quelladressfeld zum Zieladressfeld derselben Regel oder regelübergreifend gezogen werden. Ebenso können einzelne oder mehrere Dienste und Zonen per Drag & Drop über Regeln hinweg verschoben werden. Um mehrere Objekte in einer Adressen-, Zonen- oder Servicespalte anzuzeigen, klicken Sie auf das kleine horizontale Dreieck, um die Spalten zu erweitern.

Sie können Regeln auch per Drag & Drop in eine einzelne Regelgruppe oder über mehrere Regelgruppen hinweg ziehen.

Zugehörige Dokumentation

Tabelle der Versionshistorie
Release
Beschreibung
16.1
Ab Junos Space Security Director, Version 16.1, können die Adress- und Serviceobjekte erstellt, verwaltet und per Drag & Drop auf die erforderlichen Regeln von der Seite mit den Firewall-Richtlinienregeln gezogen werden. Neben Adressen und Diensten können Sie auch Zonen per Drag & Drop verschieben.