Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über die Richtlinienreihenfolge

Standardmäßig werden neue Richtlinien an das Ende einer Richtlinien-Suchliste verschoben. Daher ist es möglich, dass eine Richtlinie eine andere Richtlinie in den Schatten stellt oder überschattet. Die Reihenfolge der konfigurierten Richtlinien ist für die Verarbeitung des Datenverkehrs durch das Gerät von entscheidender Bedeutung. Die Richtliniensuche wird in der Reihenfolge durchgeführt, in der Richtlinien konfiguriert sind. Die erste Richtlinie, die mit dem Datenverkehr übereinstimmt, wird verwendet. Wenn eine bestimmte Richtlinie nach einer allgemeinen Richtlinie aufgeführt ist, ist es sehr wahrscheinlich, dass die spezifische Richtlinie nicht verwendet wird.

Wenn Sie z. B. zwei Richtlinien für dieselbe Quellzone, Zielzone, Quell-IP-Adresse und Ziel-IP-Adresse konfiguriert haben, aber eine Richtlinie über allow-all und eine Richtlinie über permit-mail verfügt, wird die Richtlinie mit permit-mail nie abgeglichen, wenn sie nach der Richtlinie mit allow-all aufgeführt wird.

Da Richtlinien in der Reihenfolge ihres Auftretens ausgeführt werden, müssen Sie Folgendes beachten:

  • Die Reihenfolge der Richtlinien ist wichtig.

  • Neu erstellte Richtlinien werden an das Ende der Richtlinienliste verschoben.

  • Sie können die Reihenfolge der Richtlinien ändern.

  • Die letzte Richtlinie in der Richtlinienliste ist die Standardrichtlinie, bei der standardmäßig der gesamte Datenverkehr verweigert wird.

Neuanordnen einer Richtlinie

Sie können die Überschatteung von Richtlinien korrigieren, indem Sie einfach die Reihenfolge der Richtlinien umkehren und die spezifischere Richtlinie an die erste Stelle setzen.

Hinweis:

Die Reihenfolge der Richtlinien ist in VPN-Umgebungen (Virtual Private Networks) äußerst wichtig. Wenn Sie zuerst eine VPN- oder Verschlüsselungsrichtlinie auflisten, wird sichergestellt, dass der VPN-Datenverkehr die Verschlüsselungsrichtlinie und nicht eine allgemeine Genehmigungsrichtlinie erreicht.

Die S. Nr. (Sequenznummer) auf der Seite "Zonenrichtlinie" können Sie die Richtlinien neu anordnen:

  • Verwenden Sie die S.-Nr. , um eine Zahl einzugeben, mit der die Richtlinienreihenfolge geändert werden soll.

  • Ziehen Sie eine ausgewählte Richtlinie per Drag & Drop von einem Speicherort an einen anderen.

Die Sequenznummer ändert sich, wenn Sie die Richtlinie ziehen oder manuell eine neue Sequenznummer eingeben. Die Sequenznummern aller Richtlinien unterhalb der neu verschobenen Richtlinie ändern sich ebenfalls.

Hinweis:

Die Drag & Drop-Funktion ist deaktiviert, wenn Sie die Richtlinienliste gefiltert haben.

Rangfolge für Richtlinienübereinstimmungen

Für Richtlinienübereinstimmungen ist es wichtig zu verstehen, wie die Firewall Richtlinien auswertet. Juniper nennt einen Sicherheitsrichtlinienkontext die Richtlinie, die sich innerhalb desselben Quell-Ziel-Zonenpaars befindet. Beispielsweise befinden sich alle Richtlinien innerhalb der Quellzonen-Vertrauenswürdigkeit und der Zielzonen-Unvertrauensstellung im selben Kontext. Abbildung 1 zeigt die Reihenfolge, in der Richtlinien nachgeschlagen werden.

Abbildung 1: Richtliniensuche Policy Lookup

In Bezug auf die Kontextrangfolge unterstützen Geräte der SRX-Serie die folgende Rangfolge:

  1. Übereinstimmung mit zoneninternen Richtlinien: Das erste Paket in einer unbekannten Sitzung wird ausgewertet, um festzustellen, ob die Quell- und Zielzone identisch sind. Dies tritt auf, wenn sich sowohl die Eingangs- als auch die Ausgangsschnittstelle in derselben Zone befinden. Diese Kontextübereinstimmung hat die höchste Priorität und wird zuerst abgeglichen.

  2. Interzonenübergreifende Richtlinien abgleichen: Wenn die Sitzung nicht mit einem zoneninternen Kontext oder einer Richtlinie übereinstimmt, gilt die nächste Richtlinie für einen Quellzonen- und Zielzonenkontext. Wenn der Kontext übereinstimmt, werden die Richtlinien innerhalb dieses Kontexts auf eine Übereinstimmung ausgewertet. Interzonenrichtlinien werden nur ausgewertet, wenn es keine übereinstimmende Übereinstimmung mit Intrazonenrichtlinien gibt.

  3. Globale Richtlinien: Wenn es keine Richtlinienübereinstimmung für Intrazonen- oder Interzonenrichtlinien gibt, ist die nächste Richtlinienübereinstimmung die globale Richtlinie. Eine globale Richtlinie stimmt mit einem beliebigen Zonenkontext überein, hat jedoch die gleichen Übereinstimmungskriterien für die Richtlinien wie jede andere Sicherheitsrichtlinie (z. B. Quell-IP-Adresse, Zieladresse, Dienste, Benutzerobjekt usw.). Dies ist der letzte Richtliniensatz, der nach Intrazonen- und Interzonenrichtlinien ausgewertet wird.

  4. Standardaktion: Diese Aktion wird ausgeführt, wenn es keine Übereinstimmung mit Intrazonen-, Interzonen- oder globalen Richtlinien gibt.

Zugehörige Dokumentation